Logiciel Pegasus : les attaques « Zéro clic »

Le téléphone du Premier ministre espagnol, Pedro Sanchez, a bien été infecté par le logiciel Pegasus. C’est la première fois que l’espionnage d’un politique de ce rang est confirmé. Depuis l’affaire Snowden en 2013 sur les méthodes d’espionnage de la CIA et de la NSA, Pegasus est l’affaire de cyberespionnage la plus importante jamais révélée. Décryptage de cette surveillance de masse dévoilée par le consortium de médias du Projet Pegasus. 

C’est quoi le logiciel Pegasus?

Pegasus est un logiciel espion développé depuis 2011 par l’entreprise israélienne privée NSO Group. Il est décrit par l’entreprise comme un “outil décisif, destiné uniquement à la lutte contre le terrorisme et le crime organisé”. Mais l’analyse réalisée par le consortium de médias du Projet Pegasus montre que cette lutte contre le terrorisme n’est qu’une façade à une surveillance de masse généralisée. Le logiciel Pegasus a majoritairement infecté les téléphones portables de dirigeants politiques, militants, journalistes, avocats, opposants et défenseurs des droits de l’Homme.

Des attaques « zéro clic » 

Cet outil de surveillance installé dans les téléphones est en capacité d’écouter les appels et de récupérer toutes les données comme les photographies, le carnet d’adresses ou les messages échangés. Même sur des applications sécurisées telles Whatsapp ou Signal. Il peut également activer à distance la caméra et le micro du téléphone ciblé. Intraçable, Pegasus est conçu pour s’installer à distance sans que la cible ne soit obligée de cliquer sur un lien malveillant et efface toutes les traces de son passage. Ces attaques “zéro clic” s’infiltrent dans toutes les faiblesses de sécurité laissées par Apple et Androïd. Ce qui a pour conséquence d’alimenter en parallèle le marché des failles informatiques. 

Depuis les premières révélations, on compte une cinquantaine de pays clients du logiciel espion et dans le cadre du Projet Pegasus, 11 États sont pointés du doigt pour leur utilisation illégale : Maroc, Mexique, Arabie Saoudite, Inde, Indonésie, Émirats arabes unis, Kazakhstan, Azerbaïdjan, Togo, Rwanda et la Hongrie.

Et NSO ?

NSO, à l’origine du logiciel, est une entreprise qui a vu le jour en 2009 sous l’égide de Niv Carmi, Shalev Hulio et Omri Lavie. Leur start-up se consacre d’abord au développement d’une technologie qui permet de reconnaître un objet dans une vidéo afin de générer un lien d’achat. Passant sous les radars, NSO recrute au fil des années des hackers, majoritairement issus de l’unité 8200 (une unité de renseignement de l’Armée de défense d’Israël). Leur mission est alors de traquer des failles informatiques et de concevoir des logiciels pour les exploiter. Par la suite, c’est au tour d’anciens vétérans des services secrets de rejoindre leurs équipes. 

Alors que ces activités restent sous les radars pendant plusieurs années, tout bascule en 2016 quand Ahmed Mansoor se tourne vers le Citizen Lab. C’est dans ce département de l’université de Toronto spécialisé dans les logiciels espions que l’activiste émirati va faire vérifier son téléphone portable, qu’il pense surveillé. Leurs experts vont alors découvrir des traces du logiciel Pegasus. Ahmed Mansoor est la première cible civile d’une longue liste. 

Pegasus et la diplomatie israélienne

Deux ans plus tard, NSO se retrouve dans le scandale de l’assassinat du journaliste et dissident saoudien Jamal Khashoggi devant le consulat d’Arabie Saoudite. Le portable d’un de ses amis avec qui il avait échangé des messages très critiques sur le prince héritier Mohammed Ben Salman, avait été infecté. Le Projet Pegasus a par la suite révélé que l’entourage du journaliste avait également été visé par Pegasus après son assassinat.

NSO stoppera quelques mois son partenariat avec l’Arabie Saoudite. Mais le ministère de la Défense israélienne rétablira ce partenariat pour raisons diplomatiques. Car oui, le gouvernement israélien décide à qui NSO peut vendre Pegasus et l’oblige notamment à interdire le ciblage des numéros de trois pays : Israël, les États-Unis et la Russie. Même si récemment la police israélienne a été mise en cause quant à l’utilisation du logiciel sur des témoins clé du procès pour corruption de l’ancien Premier ministre Benjamin Netanyahu.

Véritable outil du soft power israélien, Pegasus est défendu par ses concepteurs comme un outil qui “sauve des milliers de vies dans le monde”. Toute responsabilité dans une utilisation malveillante est démentie. A l’aube des révélations du Projet Pegasus, le groupe “ nie fermement les fausses accusations portées dans [cette ] enquête. Ces accusations sont pour beaucoup des théories non corroborées, qui jettent de sérieux doutes sur la crédibilité de [leurs] sources”. L’entreprise soutient d’ailleurs n’avoir aucun accès direct sur les données de surveillance de ses clients, un fait contredit par plusieurs sources du Projet Pegasus.

Le Projet Pegasus : un long travail journalistique

Forbidden Stories, une association créée en 2015 par le journaliste Laurent Richard, se consacre aux enquêtes inachevées. Son mantra ? “Ils ont tué le messager, ils ne tueront pas le message”. Désireux de poursuivre le travail de ses pairs emprisonnés ou assassinés, Forbidden Stories est à l’origine de plusieurs enquêtes internationales comme le Projet Daphné en 2018 sur la corruption et le blanchiment d’argent à Malte ou le Projet Green Blood en 2019 sur les dérives de l’extraction minière.

Pour Pegasus, ils ont eu accès à 50 000 numéros de téléphone, potentiellement infectés depuis 2016. Ils décident alors de créer un consortium de 17 médias, dont fait partie Le Monde, Le Washington Post ou encore la cellule d’investigation de Radio France. Pendant plusieurs mois, les 80 journalistes étudient et identifient ces numéros, pays par pays. L’aide technique apportée par le Security Lab d’Amnesty International leur permet alors de les classer en trois catégories : sélectionné, ciblé et infecté. Les données analysées couvrent une dizaine de pays clients de NSO Group et sur 67 téléphones analysés, 37 d’entre eux présentaient des traces de Pegasus. 

Quels sont les États sur les bancs des accusés ?

L’utilisation frauduleuse du logiciel espion n’est pas l’apanage des régimes dictatoriaux, mais elle serait liée aux relations entretenues entre les pays et Israël selon l’enquête. Sur la liste des pays clients, on retrouve par exemple certaines monarchies comme Les Émirats arabes unies, le Bahreïn ou le Maroc qui ont toutes reconnues diplomatiquement Israël. Mais aussi des pays liés par des traités commerciaux comme le Mexique qui depuis 2008 achètent des armes à l’État Hébreu. Ces deux derniers pays sortent cependant du lot dans cette affaire de cyberespionnage par l’ampleur de leur surveillance. 

Mexique : le client n°1

Le premier contrat qui lie le Secrétariat de la défense nationale mexicaine (Sedena) avec NSO Group remonte à 2011, soit l’année du lancement de Pegasus. Selon l’enquête, le pays aurait ciblé environ 15 000 personnes entre 2014 et 2017. Dans cette liste de numéros, on retrouve des personnalités politiques, des journalistes, des avocats, des diplomates, mais aussi des personnes perçues comme opposants politiques. Les parents des 43 étudiants d’Ayotzinapa disparu après leurs arrestations par la police en 2014 et les membres du principal syndicat enseignant en lutte contre les mesures du gouvernement ont par exemple été espionnés. Une surveillance de masse qui aurait coûté plusieurs centaines de millions de dollars alors que la moitié de la population vit sous le seuil de pauvreté. 

Le Maroc doublement accusé

Le Maroc est quant à lui mis en cause vis-à-vis de l’Algérie et de la France. Concernant son voisin algérien, le pays du roi Mohammed VI est accusé d’avoir espionné plus de 6 000 numéros appartenant à de hauts responsables politiques et militaires, des diplomates, militants politiques et chefs du service de renseignement. Un scandale qui survient au moment où les relations entre les deux pays sont plus que conflictuelles, notamment sur la question du Sahara occidental. Un conflit qu’on vous explique dans le débat «  Pour ou contre l’indépendance du Sahara occidental ? « 

(https://ledrenche.ouest-france.fr/pour-ou-contre-l-independance-du-sahara-occidental/ )

Pour ce qui est de la France, le Projet Pegasus a dévoilé plusieurs milliers de numéros français ciblés par le logiciel, mettant en avant des diplomates, des hauts fonctionnaires et des élus. Les journalistes ont identifié plus précisément les noms de quinze membres du gouvernement comme cibles potentielles. On retrouve dans cette liste, l’ancien Premier ministre Edouard Philippe, Bruno Le Maire, Christophe Castaner, et même le Président Emmanuel Macron.

Toutes ces personnalités n’ont pas un lien direct avec le Maroc, mais elles ont fait à un moment l’actualité. Comme François de Rugy qui a été infecté au moment de sa démission du gouvernement en 2019 ou de Cédric Villani lors de son entrée en campagne municipale. Il est néanmoins important de notifier, que la présence de ces numéros signifie qu’un des clients de Pegasus s’y est intéressé et à envisagé une infection, sans obligation de réussite.

Des accusations démenties par le NSO Group et par le Maroc qui a d’ailleurs intenté des poursuites pour diffamation contre les journaux du Projet Pegasus, Forbidden Stories et Amnesty International. Des poursuites jugées irrecevables par le tribunal correctionnel de Paris en mars 2022. 

Quelle réponse européenne au soft power israélien? 

En Europe, plusieurs pays sont mis en cause dans leur utilisation du logiciel espion. La Hongrie a reconnu l’année dernière que son ministère de l’Intérieur avait bien acheté Pegasus tout en assurant la légalité de leurs actions. La Pologne et les services secrets allemands ont également admis l’utilisation du logiciel . Mais ces dernières semaines, un pays est sous le feu des projecteurs : l’Espagne. 

L’arroseur arrosé

Citizen Lab a révélé qu’une soixantaine d’indépendantistes catalans avaient été ciblés entre 2017 et 2020 par les services de renseignements espagnols (CNI). Sa directrice, Paz Esteban, a reconnu l’espionnage de 18 indépendantistes, en insistant sur le cadre légal de ces démarches. Un scandale qui a pris une tout autre mesure après les révélations sur l’infection du téléphone portable du Premier ministre Pedro Sanchez, de la ministre de la Défense Margarita Robles ainsi que du ministre de l’Intérieur Fernando Grande-Marlaska. Paz Esteban, la première femme nommée à la tête du centre de renseignement, a été limogée après ces révélations. 

L’ampleur de cette affaire a relancé le débat sur la législation mise en place par l’Union européenne sur les pratiques d’espionnage. Pour le moment, le contrôle des exportations de logiciels espions et de biens technologiques à double usage est réglementé par l’arrangement de Wassenaar de 1996. S’il a connu plusieurs mises à jour, il est jugé non contraignant juridiquement du fait que les Etats restent les seuls décisionnaires dans les autorisations de transactions et d’exportation. Par ailleurs des pays comme Israël n’en sont toujours pas signataires. 

L’appel des ONG

80 organisations de défense des droits de l’Homme dont Amnesty International et RSF réclament à l’Union européenne d’interdire l’utilisation de Pegasus. Car si plusieurs enquêtes sont en cours dans différents pays européens, aucune sanction n’a pour le moment été mise en place, contrairement aux États-Unis. Le département du commerce américain a en effet inscrit NSO Group dans leur liste noire, limitant drastiquement leurs relations commerciales . Amnesty International demande également l’organisation d’un moratoire sur l’utilisation des technologies de cybersurveillance, espérant ainsi réglementer leur vente, leur utilisation et rédiger un cadre réglementaire et « respectueux des droits humains”.