
Forbidden Stories est une association de journalisme à but non lucratif basée à Paris. L'association a récemment mis la main sur une importante fuite de données qui, à en croire les analystes, pourrait être la plus grande affaire de cyberespionnage depuis les révélations d'Edouard Snowden en 2013 sur les agissements de la NSA. La fuite concerne plus de 50 000 numéros de téléphone ciblés pour la surveillance par les clients de la société israélienne NSO Group. Elle montre comment cette technologie a été systématiquement détournée de son usage initial et utilisée à mauvais escient pendant des années.
NSO Group est une entreprise israélienne de sécurité informatique fondée en 2010 et implantée à Herzelia en Israël. Il est considéré comme un leader mondial dans le secteur en pleine expansion et largement non réglementé des logiciels espions privés. Elle a été rachetée en 2014 par la société Francisco Partners pour 110 millions de dollars. NSO Group affirme que son logiciel, connu sous le nom de Pegasus, qu'il vend aux clients gouvernementaux est destiné à "collecter des données à partir des appareils mobiles de personnes spécifiques, soupçonnées d'être impliquées dans des activités criminelles graves et terroristes".
Pegasus a des capacités étendues : le logiciel espion peut être installé à distance sur un smartphone sans nécessiter aucune action de la part de son propriétaire. Une fois installé, il permet aux clients de prendre le contrôle total de l'appareil, notamment en accédant aux messages des applications de messagerie chiffrée comme WhatsApp et Signal, et en activant le microphone et la caméra. Cependant, contrairement à ce que NSO Group prétend depuis de nombreuses années, y compris dans un récent rapport de transparence, Forbidden Stories dit avoir découvert que ce logiciel espion a été largement utilisé à mauvais escient.
Forbidden Stories et Amnesty International ont eu accès aux enregistrements des numéros de téléphone ciblés par les clients de NSO dans plus de 50 pays depuis 2016. Les journalistes du projet Pegasus – plus de 80 reporters de 17 organisations médiatiques dans 10 pays, coordonnés par Forbidden Stories avec le soutien technique du Security Lab d'Amnesty International – ont passé au crible ces enregistrements de numéros de téléphone et ont pu jeter un coup d'œil derrière le rideau de cette arme de surveillance, ce qui n'avait jamais été possible à ce point auparavant. Voici ci-dessous les principales conclusions de l'enquête à ce jour :
Des téléphones identifiés à partir d'une liste tentaculaire
L'enquête a révélé que 37 smartphones ciblés figuraient sur la liste des numéros de téléphone concentrés dans des pays connus pour surveiller leurs citoyens et aussi connus pour avoir été clients de NSO Group. La liste n'est pas exhaustive, car elle ne permet pas de savoir qui y a inscrit les numéros ni pourquoi, et l'on ignore combien de téléphones ont été ciblés ou surveillés. Mais l'analyse médico-légale des 37 téléphones montre que beaucoup d'entre eux présentent une corrélation étroite entre les horodatages associés à un numéro de la liste et le déclenchement des tentatives de surveillance, dans certains cas aussi brèves que quelques secondes.
L'association a rencontré des victimes du monde entier dont les numéros de téléphone apparaissaient dans les données. Les analyses médico-légales de leurs téléphones – réalisées par le Security Lab d'Amnesty International et examinées par l'organisation canadienne Citizen Lab – ont permis de confirmer une infection ou une tentative d'infection par le logiciel espion de NSO Group dans 85 % des cas.
Des journalistes et des militants figurent sur la liste
Les numéros figurant sur la liste ne sont pas attribués, mais les journalistes ont pu identifier plus de 1 000 personnes dans plus de 50 pays grâce à des recherches et des entretiens sur quatre continents. Cela comprend plusieurs membres de la famille royale arabe, au moins 65 chefs d'entreprise, 85 militants des droits de l'homme, 189 journalistes et plus de 600 hommes politiques et responsables gouvernementaux – dont des ministres, des diplomates et des officiers de l'armée et de la sécurité, ainsi que plusieurs chefs d'État et Premiers ministres. L'objet de la liste n'a pas pu être déterminé de manière concluante.
Dans un billet de blogue sur son site Web, Forbidden Stories a déclaré que les journalistes ciblés provenaient de pays tels que le Mexique, la Hongrie, le Maroc, l'Inde et la France, entre autres. En ce qui concerne la France, même si elle n'est pas une cliente de NSO Group, plusieurs journalistes de l’hexagone figurent parmi les numéros ciblés. C’est le cas de deux journalistes de Mediapart, dont son fondateur, Edwy Plenel, mais aussi de Dominique Simonnot, l’actuelle contrôleuse générale des lieux de privations de liberté (CGLPL), qui jusqu’en 2020 était journaliste à l'hebdomadaire de presse Canard enchaîné.
En outre, il y a aussi Bruno Delport, le directeur de TSF Jazz, qui postula en 2019 à la présidence de Radio France. Il a également les numéros de confrères du Monde, de France2, de France24, de RFI, Rosa Moussaoui de l'Humanité, un ancien responsable du bureau de l’AFP à Rabat, ainsi que le journaliste du Figaro Eric Zemmour. Par ailleurs, parmi les cibles potentielles figurent également des universitaires, des hommes d'affaires, des avocats, des médecins, des dirigeants syndicaux, etc.
Enfin, plusieurs journalistes du projet Pegasus sont également dans le lot des victimes, comme Siddarth Varadarajan, journaliste d'investigation indien et fondateur du site d'information The Wire, qui a été piraté en 2018, et Szabolcs Panyi, journaliste d'investigation pour Direkt36 en Hongrie, dont le téléphone a été compromis pendant une période de sept mois en 2019.
La société affirme qu'elle garde un œil sur ses clients
Le ciblage des 37 smartphones semble aller à l'encontre de l'objectif déclaré de la licence de NSO Group pour le logiciel Pegasus, qui, selon la société, est destiné uniquement à la surveillance des terroristes et des grands criminels. Les preuves extraites de ces smartphones, révélées pour la première fois par Forbidden Stories, remettent en question les engagements de l'entreprise israélienne à surveiller ses clients pour les violations des droits de l'homme. Dimanche, le directeur général de NSO Group, Shalev Hulio, a déclaré qu'il était "très préoccupé" par le nombre de rapports sur le sujet.
« Nous vérifions chaque allégation, et si certaines d'entre elles sont vraies, nous prendrons des mesures sévères, et nous résilierons les contrats comme nous l'avons fait dans le passé. Si quelqu'un a effectué une quelconque surveillance sur des journalistes, même si ce n'est pas par Pegasus, c'est inquiétant », a expliqué Hulio au Washington Post. Dans une lettre communiquée à Forbidden Stories et à ses partenaires, NSO Group a toutefois affirmé que le reportage du consortium était basé sur des "hypothèses erronées" et des "théories non corroborées".
NSO Group a insisté sur le fait que l'analyse des données par les journalistes qui faisaient partie du projet Pegasus reposait sur une « interprétation trompeuse des données divulguées provenant d'informations de base accessibles et manifestes, telles que les services HLR Lookup, qui n'ont aucun rapport avec la liste des clients cibles de Pegasus ou de tout autre produit de NSO ». HLR fait référence au Home Location Register – une base de données essentielle au fonctionnement des réseaux de téléphonie cellulaire.
Par contre, une personne ayant une connaissance directe des systèmes de NSO Group, s'exprimant sous couvert d'anonymat, a déclaré aux journalistes du projet Pegasus qu'une recherche HLR est une étape clé pour déterminer certaines caractéristiques d'un téléphone, comme le fait qu'il soit allumé ou qu'il se trouve dans un pays qui autorise le ciblage Pegasus.
L'iPhone d'Apple était le téléphone le plus ciblé
Trente-quatre des 37 appareils ciblés révélés par la fuite de données étaient des iPhone. Cette découverte a eu pour conséquence de relancer le débat sur la question de savoir si Apple a fait suffisamment pour assurer la sécurité de ses appareils, appréciés dans le monde entier pour leur réputation de résistance aux tentatives de piratage. Le laboratoire de sécurité d'Amnesty International a identifié de nouveaux moyens par lesquels Pegasus peut être installé sur un téléphone. Par exemple, le logiciel peut être installé par le biais d'une faille de sécurité dans les iPhone qui a été fréquemment utilisée depuis 2019. La faille serait présente actuellement....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.