Forbidden Stories est une association de journalisme à but non lucratif basée à Paris. L'association a récemment mis la main sur une importante fuite de données qui, à en croire les analystes, pourrait être la plus grande affaire de cyberespionnage depuis les révélations d'Edouard Snowden en 2013 sur les agissements de la NSA. La fuite concerne plus de 50 000 numéros de téléphone ciblés pour la surveillance par les clients de la société israélienne NSO Group. Elle montre comment cette technologie a été systématiquement détournée de son usage initial et utilisée à mauvais escient pendant des années.
NSO Group est une entreprise israélienne de sécurité informatique fondée en 2010 et implantée à Herzelia en Israël. Il est considéré comme un leader mondial dans le secteur en pleine expansion et largement non réglementé des logiciels espions privés. Elle a été rachetée en 2014 par la société Francisco Partners pour 110 millions de dollars. NSO Group affirme que son logiciel, connu sous le nom de Pegasus, qu'il vend aux clients gouvernementaux est destiné à "collecter des données à partir des appareils mobiles de personnes spécifiques, soupçonnées d'être impliquées dans des activités criminelles graves et terroristes".
Pegasus a des capacités étendues : le logiciel espion peut être installé à distance sur un smartphone sans nécessiter aucune action de la part de son propriétaire. Une fois installé, il permet aux clients de prendre le contrôle total de l'appareil, notamment en accédant aux messages des applications de messagerie chiffrée comme WhatsApp et Signal, et en activant le microphone et la caméra. Cependant, contrairement à ce que NSO Group prétend depuis de nombreuses années, y compris dans un récent rapport de transparence, Forbidden Stories dit avoir découvert que ce logiciel espion a été largement utilisé à mauvais escient.
Forbidden Stories et Amnesty International ont eu accès aux enregistrements des numéros de téléphone ciblés par les clients de NSO dans plus de 50 pays depuis 2016. Les journalistes du projet Pegasus – plus de 80 reporters de 17 organisations médiatiques dans 10 pays, coordonnés par Forbidden Stories avec le soutien technique du Security Lab d'Amnesty International – ont passé au crible ces enregistrements de numéros de téléphone et ont pu jeter un coup d'œil derrière le rideau de cette arme de surveillance, ce qui n'avait jamais été possible à ce point auparavant. Voici ci-dessous les principales conclusions de l'enquête à ce jour :
Des téléphones identifiés à partir d'une liste tentaculaire
L'enquête a révélé que 37 smartphones ciblés figuraient sur la liste des numéros de téléphone concentrés dans des pays connus pour surveiller leurs citoyens et aussi connus pour avoir été clients de NSO Group. La liste n'est pas exhaustive, car elle ne permet pas de savoir qui y a inscrit les numéros ni pourquoi, et l'on ignore combien de téléphones ont été ciblés ou surveillés. Mais l'analyse médico-légale des 37 téléphones montre que beaucoup d'entre eux présentent une corrélation étroite entre les horodatages associés à un numéro de la liste et le déclenchement des tentatives de surveillance, dans certains cas aussi brèves que quelques secondes.
L'association a rencontré des victimes du monde entier dont les numéros de téléphone apparaissaient dans les données. Les analyses médico-légales de leurs téléphones – réalisées par le Security Lab d'Amnesty International et examinées par l'organisation canadienne Citizen Lab – ont permis de confirmer une infection ou une tentative d'infection par le logiciel espion de NSO Group dans 85 % des cas.
Des journalistes et des militants figurent sur la liste
Les numéros figurant sur la liste ne sont pas attribués, mais les journalistes ont pu identifier plus de 1 000 personnes dans plus de 50 pays grâce à des recherches et des entretiens sur quatre continents. Cela comprend plusieurs membres de la famille royale arabe, au moins 65 chefs d'entreprise, 85 militants des droits de l'homme, 189 journalistes et plus de 600 hommes politiques et responsables gouvernementaux – dont des ministres, des diplomates et des officiers de l'armée et de la sécurité, ainsi que plusieurs chefs d'État et Premiers ministres. L'objet de la liste n'a pas pu être déterminé de manière concluante.
Dans un billet de blogue sur son site Web, Forbidden Stories a déclaré que les journalistes ciblés provenaient de pays tels que le Mexique, la Hongrie, le Maroc, l'Inde et la France, entre autres. En ce qui concerne la France, même si elle n'est pas une cliente de NSO Group, plusieurs journalistes de l’hexagone figurent parmi les numéros ciblés. C’est le cas de deux journalistes de Mediapart, dont son fondateur, Edwy Plenel, mais aussi de Dominique Simonnot, l’actuelle contrôleuse générale des lieux de privations de liberté (CGLPL), qui jusqu’en 2020 était journaliste à l'hebdomadaire de presse Canard enchaîné.
En outre, il y a aussi Bruno Delport, le directeur de TSF Jazz, qui postula en 2019 à la présidence de Radio France. Il a également les numéros de confrères du Monde, de France2, de France24, de RFI, Rosa Moussaoui de l'Humanité, un ancien responsable du bureau de l’AFP à Rabat, ainsi que le journaliste du Figaro Eric Zemmour. Par ailleurs, parmi les cibles potentielles figurent également des universitaires, des hommes d'affaires, des avocats, des médecins, des dirigeants syndicaux, etc.
Enfin, plusieurs journalistes du projet Pegasus sont également dans le lot des victimes, comme Siddarth Varadarajan, journaliste d'investigation indien et fondateur du site d'information The Wire, qui a été piraté en 2018, et Szabolcs Panyi, journaliste d'investigation pour Direkt36 en Hongrie, dont le téléphone a été compromis pendant une période de sept mois en 2019.
La société affirme qu'elle garde un œil sur ses clients
Le ciblage des 37 smartphones semble aller à l'encontre de l'objectif déclaré de la licence de NSO Group pour le logiciel Pegasus, qui, selon la société, est destiné uniquement à la surveillance des terroristes et des grands criminels. Les preuves extraites de ces smartphones, révélées pour la première fois par Forbidden Stories, remettent en question les engagements de l'entreprise israélienne à surveiller ses clients pour les violations des droits de l'homme. Dimanche, le directeur général de NSO Group, Shalev Hulio, a déclaré qu'il était "très préoccupé" par le nombre de rapports sur le sujet.
« Nous vérifions chaque allégation, et si certaines d'entre elles sont vraies, nous prendrons des mesures sévères, et nous résilierons les contrats comme nous l'avons fait dans le passé. Si quelqu'un a effectué une quelconque surveillance sur des journalistes, même si ce n'est pas par Pegasus, c'est inquiétant », a expliqué Hulio au Washington Post. Dans une lettre communiquée à Forbidden Stories et à ses partenaires, NSO Group a toutefois affirmé que le reportage du consortium était basé sur des "hypothèses erronées" et des "théories non corroborées".
NSO Group a insisté sur le fait que l'analyse des données par les journalistes qui faisaient partie du projet Pegasus reposait sur une « interprétation trompeuse des données divulguées provenant d'informations de base accessibles et manifestes, telles que les services HLR Lookup, qui n'ont aucun rapport avec la liste des clients cibles de Pegasus ou de tout autre produit de NSO ». HLR fait référence au Home Location Register – une base de données essentielle au fonctionnement des réseaux de téléphonie cellulaire.
Par contre, une personne ayant une connaissance directe des systèmes de NSO Group, s'exprimant sous couvert d'anonymat, a déclaré aux journalistes du projet Pegasus qu'une recherche HLR est une étape clé pour déterminer certaines caractéristiques d'un téléphone, comme le fait qu'il soit allumé ou qu'il se trouve dans un pays qui autorise le ciblage Pegasus.
L'iPhone d'Apple était le téléphone le plus ciblé
Trente-quatre des 37 appareils ciblés révélés par la fuite de données étaient des iPhone. Cette découverte a eu pour conséquence de relancer le débat sur la question de savoir si Apple a fait suffisamment pour assurer la sécurité de ses appareils, appréciés dans le monde entier pour leur réputation de résistance aux tentatives de piratage. Le laboratoire de sécurité d'Amnesty International a identifié de nouveaux moyens par lesquels Pegasus peut être installé sur un téléphone. Par exemple, le logiciel peut être installé par le biais d'une faille de sécurité dans les iPhone qui a été fréquemment utilisée depuis 2019. La faille serait présente actuellement.
Des sources bien informées ont partagé leurs inquiétudes quant aux innombrables vulnérabilités liées au service de messagerie iMessage d'Apple, un problème qui, selon elles, s'est aggravé au fil des ans.
Il n'y aurait aucun moyen d'échapper au logiciel Pegasus
Selon Forbidden Stories, tous les journalistes qui ont été ciblés ont partagé un sentiment général d'impuissance lorsqu'ils ont été informés des cyberattaques qu'ils avaient subies. « Nous nous sommes recommandés mutuellement tel ou tel outil, pour que [nos téléphones] soient davantage protégés des yeux du gouvernement », a déclaré la journaliste azerbaïdjanaise Khadija Ismayilova. « Et hier, j'ai réalisé qu'il n'y avait aucun moyen. À moins de vous enfermer dans une tente [de fer], il n'y a aucun moyen qu'ils ne s'immiscent pas dans vos communications », a-t-elle ajouté.
Les données divulguées suggèrent tout de même que le logiciel espion est utilisé de manière beaucoup plus négligente qu'annoncé. Dans le rapport de transparence publié en juin 2021, l'entreprise israélienne soulignait que Pegasus n'était "pas une technologie de surveillance de masse" et n'était "utilisé que lorsqu'il y avait une raison légitime liée à l'application de la loi ou au renseignement." Pourtant, plus de 10 000 numéros de téléphone auraient été ciblés pour être surveillés par le seul client marocain de NSO Group sur une période de deux ans.
Le projet jette une lumière crue sur les activités de NSO Group, qui, bien qu'il prétende sélectionner ses clients sur la base de leurs antécédents en matière de droits de l'homme, a décidé de vendre ses produits à des régimes autoritaires tels que l'Azerbaïdjan, les Émirats arabes unis et l'Arabie saoudite. Des personnes proches du dossier ont révélé le rôle important joué par le ministère israélien de la Défense dans la sélection des clients de NSO Group. De multiples sources ont corroboré le fait que les autorités israéliennes ont fait pression pour que l'Arabie saoudite soit ajoutée à la liste des clients, malgré les hésitations de NSO Group.
L'avocat de la société a nié que "NSO Group accepte les directives gouvernementales concernant les clients". Les révélations issues de cette enquête collaborative internationale remettent en question les garanties mises en place pour empêcher l'utilisation abusive de cyberarmes comme Pegasus et, plus précisément, l'engagement de NSO Group à créer "un monde meilleur et plus sûr."
Source : Forbidden Stories
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du logiciel espion Pegasus de NSO Group ?
De tels outils doivent-ils être vendus sous prétexte qu'ils permettent d'assurer la sécurité ?
Voir aussi
Pegasus, l'un des logiciels espions les plus sophistiqués a été détecté sur Android, Google recommande cinq conseils de base pour s'en prémunir
Un programmeur dérobe le code source du logiciel d'espionnage de son ex-employeur pour le revendre sur le darknet et se fait prendre
Apple corrige en urgence trois vulnérabilités zero day sur iOS qui ont permis à un logiciel espion de passer sous les radars pendant des années
Google, Samsung, Xiaomi, Huawei et autres affectés par une faille zéro-day dans le système d'exploitation mobile Android, qui déverrouille l'accès root des appareils cibles
Des journalistes piratés avec un exploit "Zero-Click" d'iMessage suspecté d'être lié au NSO Group, la vulnérabilité dans l'application a été corrigée dans iOS 14