Biden publie un décret exécutif qui interdit aux agences fédérales d'utiliser des logiciels espions commerciaux

Après que des journalistes, des politiciens et d'autres personnes ont été des cibles

Le président Joe Biden a signé lundi un décret exécutif interdisant de nombreuses utilisations par le gouvernement fédéral de logiciels espions commerciaux, qui ont été de plus en plus utilisés par d'autres pays ces dernières années pour surveiller les dissidents, les journalistes et les politiciens. La signature du décret exécutif est intervenue alors que des responsables de l'administration ont déclaré aux journalistes qu'environ 50 membres du personnel du gouvernement américain dans au moins 10 pays avaient été infectés ou ciblés par de tels logiciels espions, un nombre plus important qu'on ne le savait auparavant. Les responsables n'ont pas souhaité apporter des précisions.

L'administration Biden a annoncé lundi un nouveau décret qui interdirait largement aux agences fédérales américaines d'utiliser des logiciels espions développés commercialement qui menacent les droits de l'homme et la sécurité nationale. La décision d'interdire aux agences fédérales (y compris les forces de l'ordre, la défense et le renseignement) d'utiliser des logiciels espions commerciaux intervient alors que les responsables ont confirmé que des dizaines de membres du gouvernement américain avaient leurs téléphones ciblés.

Les défenseurs des droits humains et les chercheurs en sécurité mettent en garde depuis des années contre les risques posés par les logiciels espions commerciaux, créés dans le secteur privé et vendus presque exclusivement aux gouvernements et aux États-nations. Cette puissante technologie de surveillance exploite souvent des failles auparavant non divulguées trouvées dans un logiciel iPhone ou Android pour voler les photos, les contacts, les journaux d'appels, les messages et les données de localisation en temps réel d'une personne. Mais alors que les gouvernements prétendent utiliser exclusivement la technologie pour enquêter sur des crimes graves, les critiques affirment que le logiciel espion a été déployé contre des journalistes, des avocats et des défenseurs des droits humains, souvent ceux qui critiquent ouvertement leurs gouvernements.

Les logiciels espions commerciaux sont vendus par une foule d'entreprises, la plus connue étant NSO Group d'Israël. La société vend un outil de piratage connu sous le nom de Pegasus qui peut subrepticement compromettre les iPhone et les appareils Android en utilisant des exploits « sans clic », ce qui signifie qu'ils ne nécessitent aucune interaction de l'utilisateur. En envoyant un SMS ou en faisant sonner l'appareil, Pegasus peut installer un logiciel d'espionnage qui vole des contacts, des messages, des emplacements géographiques, etc., même lorsque le SMS n'est pas ouvert ou que l'appel n'est pas décroché. Parmi les autres sociétés vendant des logiciels espions commerciaux figurent Cytrox, Candiru et Paragon.

Alors que NSO décrit Pegasus comme un outil « d'interception légale » qui n'est vendu qu'aux forces de l'ordre légitimes pour enquêter sur le crime et le terrorisme, le Mexique, l'Inde, l'Arabie saoudite, les Émirats arabes unis, le Maroc et d'autres pays ont été surpris en train de le déployer contre des politiques dissidents, journalistes et autres citoyens qui ne sont accusés d'aucun crime. En novembre 2021, l'administration Biden a restreint l'exportation, la réexportation et le transfert dans le pays de produits de NSO et de trois autres sociétés en Israël, en Russie et à Singapour.

Le décret de lundi va plus loin en interdisant aux agences fédérales, y compris celles engagées dans des activités d'application de la loi, de défense ou de renseignement, « d'utiliser de manière opérationnelle » des logiciels espions commerciaux.

« La prolifération des logiciels espions commerciaux pose des risques de contre-espionnage et de sécurité distincts et croissants pour les États-Unis, y compris pour la sûreté et la sécurité du personnel du gouvernement américain et de leurs familles », indique une fiche d'information publiée par la Maison Blanche. « Le personnel du gouvernement américain à l'étranger a été ciblé par des logiciels espions commerciaux, et des fournisseurs et des outils commerciaux peu fiables peuvent présenter des risques importants pour la sécurité et l'intégrité des informations et des systèmes d'information du gouvernement américain ».

Lors d'un appel avec des journalistes avant la signature du décret, les responsables de l'administration Biden ont déclaré que les États-Unis essayaient de devancer le problème et d'établir des normes pour les autres gouvernements et leurs alliés, qui achètent et déploient des logiciels espions commerciaux. Le décret est la dernière mesure prise par le gouvernement ces dernières années, il interdit notamment à certains fabricants de logiciels espions de faire des affaires aux États-Unis et adopte des lois visant à limiter l'utilisation et l'achat de logiciels espions par les agences fédérales.

Les responsables de la Maison Blanche ne nomment pas le logiciel espion spécifique qui est interdit, mais l'utilisation du terme logiciel espion commercial implique fortement qu'il inclut des outils vendus par NSO, Cytrox, Candiru et d'autres. Les critères pour les outils relevant du décret incluent si :

• ils sont abusés par un gouvernement étranger dans le but d'accéder à l'appareil d'un citoyen américain
• un acteur étranger les déploie contre des militants ou des dissidents dans le but d'intimider ou de freiner la dissidence ou l'opposition ou de réprimer les expressions de la liberté d'expression
• ils sont fournis aux gouvernements pour lesquels il existe des rapports crédibles selon lesquels ils se livrent à des actes systématiques de répression politique

Des cibles de haut niveau

La semaine dernière, il a été confirmé que l'ancien responsable de la confiance et de la sécurité de Meta, Artemis Seaford, qui détient à la fois des passeports américain et grec, a été piraté par le logiciel espion Predator, probablement à la demande du gouvernement grec, qui nie avoir utilisé le logiciel espion développé par la société nord-macédonienne Cytrox. Seaford, qui a déclaré ne pas savoir pourquoi elle avait été ciblée, est la dernière victime américaine connue de logiciels espions commerciaux ciblés, y compris des enfants de journalistes ciblés vivant aux États-Unis et des employés du gouvernement américain travaillant à l'étranger.

En 2021, les iPhone de plusieurs employés de l'ambassade des États-Unis en Ouganda ont été piratés par Pegasus, un logiciel espion développé par la société israélienne NSO Group. Les responsables de Biden ont confirmé lundi qu'au moins 50 employés fédéraux américains dans 10 pays sur plusieurs continents sont suspectés ou confirmés comme étant des victimes de logiciels espions.

Les États-Unis n'ont pas non plus échappé aux questions sur leur propre utilisation et déploiement présumés de logiciels espions commerciaux. Le FBI aurait acheté une licence pour Pegasus du groupe NSO en 2020 et 2021, mais a déclaré que la licence était uniquement destinée à la recherche et au développement. La Drug Enforcement Administration utilise également Graphite, un logiciel espion développé par la société israélienne Paragon. La DEA prétend n'utiliser l'outil qu'en dehors des États-Unis, mais ne dit pas si les Américains sont ciblés.

Les responsables de l'administration Biden ont refusé de dire aux journalistes lundi si d'autres agences fédérales américaines utilisaient de manière opérationnelle des logiciels espions commerciaux.

Le décret est la dernière d'une série de réponses de la part de l'exécutif ces dernières semaines après des années d'inaction du Congrès, y compris la violence armée et l'accès au vote. Comme le décret exécutif a été introduit comme loi par l'administration Biden, il peut être révoqué à tout moment, y compris par toute administration ultérieure.


L'Europe n'est pas en reste : plus de cinq États de l'Union européenne utilisent le logiciel espion Pegasus de NSO Group

Dans la seconde moitié de 2021, NSO Group s'est retrouvé mêlé à un scandale de surveillance de masse sur le plan mondial. Des rapports ont révélé qu'à travers ses outils d'espionnage, l'entreprise israélienne a facilité la surveillance et la mise sur écoute de dizaines de milliers de personnes à travers le monde, dont des journalistes, diplomates, militants des droits de l'homme, ministres… NSO Group a nié sans cesse ces allégations, mais l'UE a ouvert une enquête sur ces accusations et en novembre 2021, l'administration Biden a déclaré qu'elle mettait NSO Group sur liste noire à cause du logiciel espion Pegasus.

S'adressant à la commission du Parlement européen chargée d'examiner l'utilisation des logiciels espions au sein de l'Union européenne, le directeur juridique de NSO Group a déclaré en juin de l'année dernière que l'entreprise avait « commis des erreurs », mais qu'elle avait également renoncé à une grande partie de ses revenus en annulant des contrats depuis que l'utilisation abusive avait été révélée. « Nous essayons de faire ce qui est juste, et c'est plus que les autres entreprises travaillant dans le secteur. Chaque client auquel nous vendons, nous faisons preuve de diligence raisonnable à l'avance afin d'évaluer l'état de droit dans ce pays », a déclaré Gelfand.

« Mais travailler sur des informations disponibles publiquement ne sera jamais suffisant », a-t-il ajouté. De manière générale, une cible sélectionnée par un client de NSO Group voit son téléphone ou autre appareil infecté par un logiciel espion caché via l'exploitation d'une ou plusieurs failles de sécurité. Une fois installé, ce logiciel peut secrètement espionner les appels, les messages et les autres...