L'administration Biden a annoncé lundi un nouveau décret qui interdirait largement aux agences fédérales américaines d'utiliser des logiciels espions développés commercialement qui menacent les droits de l'homme et la sécurité nationale. La décision d'interdire aux agences fédérales (y compris les forces de l'ordre, la défense et le renseignement) d'utiliser des logiciels espions commerciaux intervient alors que les responsables ont confirmé que des dizaines de membres du gouvernement américain avaient leurs téléphones ciblés.
Les défenseurs des droits humains et les chercheurs en sécurité mettent en garde depuis des années contre les risques posés par les logiciels espions commerciaux, créés dans le secteur privé et vendus presque exclusivement aux gouvernements et aux États-nations. Cette puissante technologie de surveillance exploite souvent des failles auparavant non divulguées trouvées dans un logiciel iPhone ou Android pour voler les photos, les contacts, les journaux d'appels, les messages et les données de localisation en temps réel d'une personne. Mais alors que les gouvernements prétendent utiliser exclusivement la technologie pour enquêter sur des crimes graves, les critiques affirment que le logiciel espion a été déployé contre des journalistes, des avocats et des défenseurs des droits humains, souvent ceux qui critiquent ouvertement leurs gouvernements.
Les logiciels espions commerciaux sont vendus par une foule d'entreprises, la plus connue étant NSO Group d'Israël. La société vend un outil de piratage connu sous le nom de Pegasus qui peut subrepticement compromettre les iPhone et les appareils Android en utilisant des exploits « sans clic », ce qui signifie qu'ils ne nécessitent aucune interaction de l'utilisateur. En envoyant un SMS ou en faisant sonner l'appareil, Pegasus peut installer un logiciel d'espionnage qui vole des contacts, des messages, des emplacements géographiques, etc., même lorsque le SMS n'est pas ouvert ou que l'appel n'est pas décroché. Parmi les autres sociétés vendant des logiciels espions commerciaux figurent Cytrox, Candiru et Paragon.
Alors que NSO décrit Pegasus comme un outil « d'interception légale » qui n'est vendu qu'aux forces de l'ordre légitimes pour enquêter sur le crime et le terrorisme, le Mexique, l'Inde, l'Arabie saoudite, les Émirats arabes unis, le Maroc et d'autres pays ont été surpris en train de le déployer contre des politiques dissidents, journalistes et autres citoyens qui ne sont accusés d'aucun crime. En novembre 2021, l'administration Biden a restreint l'exportation, la réexportation et le transfert dans le pays de produits de NSO et de trois autres sociétés en Israël, en Russie et à Singapour.
Le décret de lundi va plus loin en interdisant aux agences fédérales, y compris celles engagées dans des activités d'application de la loi, de défense ou de renseignement, « d'utiliser de manière opérationnelle » des logiciels espions commerciaux.
« La prolifération des logiciels espions commerciaux pose des risques de contre-espionnage et de sécurité distincts et croissants pour les États-Unis, y compris pour la sûreté et la sécurité du personnel du gouvernement américain et de leurs familles », indique une fiche d'information publiée par la Maison Blanche. « Le personnel du gouvernement américain à l'étranger a été ciblé par des logiciels espions commerciaux, et des fournisseurs et des outils commerciaux peu fiables peuvent présenter des risques importants pour la sécurité et l'intégrité des informations et des systèmes d'information du gouvernement américain ».
Lors d'un appel avec des journalistes avant la signature du décret, les responsables de l'administration Biden ont déclaré que les États-Unis essayaient de devancer le problème et d'établir des normes pour les autres gouvernements et leurs alliés, qui achètent et déploient des logiciels espions commerciaux. Le décret est la dernière mesure prise par le gouvernement ces dernières années, il interdit notamment à certains fabricants de logiciels espions de faire des affaires aux États-Unis et adopte des lois visant à limiter l'utilisation et l'achat de logiciels espions par les agences fédérales.
Les responsables de la Maison Blanche ne nomment pas le logiciel espion spécifique qui est interdit, mais l'utilisation du terme logiciel espion commercial implique fortement qu'il inclut des outils vendus par NSO, Cytrox, Candiru et d'autres. Les critères pour les outils relevant du décret incluent si :
- ils sont abusés par un gouvernement étranger dans le but d'accéder à l'appareil d'un citoyen américain
- un acteur étranger les déploie contre des militants ou des dissidents dans le but d'intimider ou de freiner la dissidence ou l'opposition ou de réprimer les expressions de la liberté d'expression
- ils sont fournis aux gouvernements pour lesquels il existe des rapports crédibles selon lesquels ils se livrent à des actes systématiques de répression politique
Des cibles de haut niveau
La semaine dernière, il a été confirmé que l'ancien responsable de la confiance et de la sécurité de Meta, Artemis Seaford, qui détient à la fois des passeports américain et grec, a été piraté par le logiciel espion Predator, probablement à la demande du gouvernement grec, qui nie avoir utilisé le logiciel espion développé par la société nord-macédonienne Cytrox. Seaford, qui a déclaré ne pas savoir pourquoi elle avait été ciblée, est la dernière victime américaine connue de logiciels espions commerciaux ciblés, y compris des enfants de journalistes ciblés vivant aux États-Unis et des employés du gouvernement américain travaillant à l'étranger.
En 2021, les iPhone de plusieurs employés de l'ambassade des États-Unis en Ouganda ont été piratés par Pegasus, un logiciel espion développé par la société israélienne NSO Group. Les responsables de Biden ont confirmé lundi qu'au moins 50 employés fédéraux américains dans 10 pays sur plusieurs continents sont suspectés ou confirmés comme étant des victimes de logiciels espions.
Les États-Unis n'ont pas non plus échappé aux questions sur leur propre utilisation et déploiement présumés de logiciels espions commerciaux. Le FBI aurait acheté une licence pour Pegasus du groupe NSO en 2020 et 2021, mais a déclaré que la licence était uniquement destinée à la recherche et au développement. La Drug Enforcement Administration utilise également Graphite, un logiciel espion développé par la société israélienne Paragon. La DEA prétend n'utiliser l'outil qu'en dehors des États-Unis, mais ne dit pas si les Américains sont ciblés.
Les responsables de l'administration Biden ont refusé de dire aux journalistes lundi si d'autres agences fédérales américaines utilisaient de manière opérationnelle des logiciels espions commerciaux.
Le décret est la dernière d'une série de réponses de la part de l'exécutif ces dernières semaines après des années d'inaction du Congrès, y compris la violence armée et l'accès au vote. Comme le décret exécutif a été introduit comme loi par l'administration Biden, il peut être révoqué à tout moment, y compris par toute administration ultérieure.
L'Europe n'est pas en reste : plus de cinq États de l'Union européenne utilisent le logiciel espion Pegasus de NSO Group
Dans la seconde moitié de 2021, NSO Group s'est retrouvé mêlé à un scandale de surveillance de masse sur le plan mondial. Des rapports ont révélé qu'à travers ses outils d'espionnage, l'entreprise israélienne a facilité la surveillance et la mise sur écoute de dizaines de milliers de personnes à travers le monde, dont des journalistes, diplomates, militants des droits de l'homme, ministres… NSO Group a nié sans cesse ces allégations, mais l'UE a ouvert une enquête sur ces accusations et en novembre 2021, l'administration Biden a déclaré qu'elle mettait NSO Group sur liste noire à cause du logiciel espion Pegasus.
S'adressant à la commission du Parlement européen chargée d'examiner l'utilisation des logiciels espions au sein de l'Union européenne, le directeur juridique de NSO Group a déclaré en juin de l'année dernière que l'entreprise avait « commis des erreurs », mais qu'elle avait également renoncé à une grande partie de ses revenus en annulant des contrats depuis que l'utilisation abusive avait été révélée. « Nous essayons de faire ce qui est juste, et c'est plus que les autres entreprises travaillant dans le secteur. Chaque client auquel nous vendons, nous faisons preuve de diligence raisonnable à l'avance afin d'évaluer l'état de droit dans ce pays », a déclaré Gelfand.
« Mais travailler sur des informations disponibles publiquement ne sera jamais suffisant », a-t-il ajouté. De manière générale, une cible sélectionnée par un client de NSO Group voit son téléphone ou autre appareil infecté par un logiciel espion caché via l'exploitation d'une ou plusieurs failles de sécurité. Une fois installé, ce logiciel peut secrètement espionner les appels, les messages et les autres activités de cette personne. Le code est installé, par exemple, en envoyant à la victime un message piégé qui, lorsqu'il est reçu et traité automatiquement par son appareil, entraîne le déploiement et l'exécution silencieux du logiciel espion.
« Ces outils sont concédés sous licence uniquement aux organismes chargés de l'application de la loi et aux agences gouvernementales », a déclaré Gelfand. Il a ajouté qu'il y a très peu de contrats et que ces derniers sont soigneusement étudiés pour ne pas permettre qu'une utilisation légitime. « Il y a parfois des tiers commerciaux qui sont impliqués dans la transaction pour des raisons de sécurité. Ces tierces parties commerciales sont très souvent des intermédiaires entre l'OSN et le gouvernement sur le plan contractuel. Ils ne reçoivent jamais l'utilisation du système lui-même, ils n'ont pas accès au système », a-t-il poursuivi.
Selon Gelfand, au moins cinq pays de l'UE ont utilisé le logiciel espion Pegasus de NSO Group, ajoutant qu'il reviendrait devant les eurodéputés avec un « nombre plus concret ». Toutefois, il n'a pas mentionné spécifiquement tous les pays dont il s'agit. En outre, l'entreprise affirme qu'elle évalue les pays avant de leur vendre Pegasus, et affirme que ces évaluations tiennent compte d'éléments tels que le respect des droits de l'homme et de la liberté d'expression, ainsi que la stabilité politique et la corruption perçue. Selon Gelfand, si un pays obtient un score de 20 ou moins, NSO Group affirme qu'il ne lui vendra pas de logiciels espions.
« Nous avons depuis relevé la barre », a-t-il ajouté. Interrogé par les législateurs européens sur les notes obtenues par différents pays, Gelfand a répondu que l'Arabie saoudite avait obtenu « environ 30 ». À titre de comparaison : Gelfand a déclaré que le score de la Belgique est d'environ 80, celui de l'Espagne de 75, et ceux de la Pologne et de la Hongrie de 65 ou 64. Si un client viole les termes de son accord avec NSO Group, le fournisseur affirme qu'il peut arrêter à distance le déploiement Pegasus du client. « Je peux confirmer que lorsque nous définissons un client qui a violé les conditions d'utilisation, il est résilié », a déclaré Gelfand.
Il a refusé de dire si, par exemple, l'Arabie saoudite était l'un de ces clients résiliés. Il a précisé que NSO Group a résilié « plus de huit » clients au cours des « dernières années », et que certaines de ces agences malhonnêtes ont été révélées par des dénonciateurs et les Pegasus Papers. « Nous avons mis fin à des contrats avec des États membres de l'UE », a déclaré Gelfand. L'UE a lancé l'enquête après les révélations selon lesquelles le logiciel espion est très répandu en Europe et a été utilisé contre certains des dirigeants les plus en vue du bloc.
Cette liste comprend le Premier ministre espagnol Pedro Sánchez, et des groupes politiques en Espagne, en Pologne et en Hongrie. Et alors que le « Projet Pegasus », la coalition internationale de journalistes qui a révélé les agissements des clients de NSO Group en 2021, a rapporté que plus de 50 000 numéros de téléphone ont été ciblés par les utilisateurs de Pegasus, Gelfand a déclaré à la commission qu'un nombre plus précis « dans une année donnée est d'environ 12 000 à 13 000 cibles ». En Espagne, le scandale a conduit le gouvernement à enquêter sur la conduite de son agence de renseignement CNI.
Source : décret Présidentiel
Et vous ?
Pour ou contre les activités de logiciels espions commerciaux ? Dans quelle mesure ?
Que pensez-vous de la décision de Joe Biden ?
Voir aussi :
L'administration Biden met NSO Group sur liste noire à cause du logiciel espion Pegasus, qui a été utilisé pour surveiller des milliers de personnes à travers le monde