Initialement conçu par le NSO GROUP pour satisfaire les besoins financiers et géopolitiques de ses clients, ce logiciel collecteur de données personnelles avait fait l’objet de polémiques en juillet dernier. Après les suspicions d’utilisation du « cheval de Troie » du Maroc à l’encontre de la France, c’est au tour d’autres pays d’être sujets d’espionnage.
Pegasus est le produit vendu par l’entreprise de sécurité informatique israélienne NSO GROUP. Sur son site internet, nous pouvons lire qu’il a été conçu avec l’objectif de fournir une protection supplémentaire aux gouvernements contre les atteintes aux droits humains et avant tout aux attentats terroristes et aux atteintes à la sécurité nationale : “Tout simplement, le groupe NSO poursuit une mission pour sauver des vies, et l’entreprise exécutera avec conviction cette mission sans se décourager »*.
Grâce (ou à cause) des failles Zero Day, qui sont des vulnérabilités au sein des systèmes d’exploitation que les développeurs eux-mêmes n’ont pas remarqué, et aux failles Zero Clic qui permettent une intrusion dans l’appareil sans interaction de l’autre utilisateur, Pegasus ne connaît aucune difficulté. Il faudrait simplement fournir un numéro de téléphone pour que le logiciel s’immisce dans un smartphone, sans traces, ni barrières (messageries cryptées). Conversations, photos, messageries, tous types de documents lui sont alors accessibles.
50 000 numéros surveillés
Après la découverte de 50 000 numéros de téléphones ciblés par le logiciel, dont 1000 français y compris le président de la République Emmanuel Macron, c’est au quotidien israélien Calcalist de dénoncer l’utilisation du produit de NSO GROUP. Cette liste contenait journalistes, militants, opposants politiques aux clients de l’entreprise. Selon Calcalist, la police israélienne l’aurait utilisé sans autorisation préalable fournie par un tribunal. Seraient donc ciblés civils et opposants politiques à « Bibi », l’ancien premier ministre**.
À ce jour, l’achat du logiciel incite (à juste titre) à la défiance : si un chef d’Etat décide de l’acquérir, il est soupçonné de l’utiliser pour son intérêt propre. C’est ce qui s’est passé en Pologne ce 7 janvier : Jaroslaw Kaczynski, affirmant que l’achat de Pegasus servait uniquement à contrer la criminalité et la corruption au sein de son pays, se voit pourtant contredit par Citizen Lab, un laboratoire de cybersécurité canadien. Ce dernier confirme l’utilisation par M.Kaczynski contre trois personnes dont Krzysztof Brejza, principal opposant politique***.
Une entreprise irrépréhensible ?
C’est grâce à Forbidden Stories, Amnesty International et seize autres médias que l’on connaît ce scandale. Le collectif de journalistes avait publié une enquête en juillet 2021. Outre les scandales précédemment cités, l’usage de Pegasus a fait polémique avec, par exemple, la traque de nombreux journalistes hongrois, français, azéri, Jamal Khashoggi (mort en 2018), ou encore mexicains comme Cecilio Pineda (mort en 2017)****.
Pourtant, face à la multitude de problématiques issues de l’utilisation détournée du logiciel, NSO GROUP demeure impassible et rejette sa responsabilité dans chacune des affaires qui se sont formées. Sur leur site internet, suite à leur « rapport de transparence et de responsabilité », l’entreprise rétorque à Forbidden Stories le 18 juillet que « Nous aimerions souligner que NSO vend ses technologies seulement pour la défense de la loi et les agences de défense gouvernementales pour le seul but de sauver des vies à travers la prévention du crime et des actes terroristes. NSO ne gère pas le logiciel et n’a aucune visibilité sur les données »*****. À ce jour, l’entreprise mentionne bien que s’il y a utilisation frauduleuse du logiciel, une enquête sera lancée et le contrat avec le client pourrait prendre fin. Cependant, si l’entreprise n’est pas légalement responsable des utilisations du produit de ses clients, comme elle l’indique, les victimes de cette surveillance se sentent abandonnées face à l’invasion de leur vie privée.