
Révélations: NSO Group, concepteur de Pegasus, a 22 clients dans l’UE, les fournisseurs de logiciels-espions sont légion
L'onde de choc de
l'affaire Pegasus ne cesse de s'élargir, mais cette fois, c'est l'Union
européenne qu'elle touche. Des représentants de la commission d’enquête du
Parlement européen sur Pegasus et les logiciels espions similaires se sont
récemment rendus en Israël et ont appris du personnel de NSO que la société
avait des contrats actifs avec 12 des 27 membres de l’Union Européenne. «Les
réponses de la firme israélienne aux questions de la commission européenne
révèlent que la société travaille avec de nombreux organismes de sécurité dans
l’UE», indique le quotidien israélien à grand tirage Haaretz.
Voilà qui répond de
manière claire aux assertions du consortium Forbidden Stories (regroupant 17
médias occidentaux) et d’Amnesty International par qui le scandale est arrivé
et qui affirmaient que le seul Etat européen à utiliser le logiciel Pegasus est
la Hongrie dirigée par Viktor Orban, véritable bête noire des mondialistes
européens. Ces médias se sont empressés de prendre pour cible, à tort et
de manière sélective, des pays comme le Maroc. Mais ont allégrement omis de
regarder du côté de leurs propres pays.
Dans les détails, «des
représentants de la commission se sont rendus en Israël ces dernières semaines
pour approfondir leur enquête sur l’industrie locale de la guerre informatique
et se sont entretenus avec des employés de NSO, des représentants du ministère
israélien de la Défense et des experts locaux. Parmi les membres de ladite
commission, un député catalan, dont le téléphone portable a été piraté par un
client de NSO», lit-on.
La commission a été
créée après la publication du Project Pegasus l'année dernière, et son objectif
est de créer une réglementation pan-européenne pour l'acquisition,
l'importation et l'utilisation de logiciels ayant pour but de mener une guerre
informatique tels que Pegasus. Mais pendant que les membres de la commission se
trouvaient en Israël, et surtout depuis leur retour à Bruxelles, il a été
révélé qu'en Europe, il existe également une industrie bien développée dans la
guerre informatique, dont de nombreux clients sont européens.
Affaire Pegasus: tous ces autres logiciels
d’espionnage dont personne ne s’offusque
Rappelons que le
logiciel espion Pegasus de la société israélienne et les produits concurrents
permettent d'infecter le téléphone portable de la victime de la surveillance,
puis de permettre à l'opérateur d'écouter ses conversations, de lire le contenu
d'applications devant contenir des messages cryptés, et de fournir un accès
total aux contacts et aux fichiers de l'appareil. Pegasus permet aussi
d'écouter en temps réel ce qui se passe autour du téléphone portable, en
activant la caméra et le microphone.
22 clients et 12 pays
européens concernés
Lors de leur visite en
Israël, les législateurs européens ont voulu connaître l'identité des clients
actuels de NSO en Europe et ont été surpris de découvrir que la plupart des
pays de l'UE avaient des contrats signés avec la société: 14 pays ont fait
affaire avec NSO dans le passé et au moins 12 utilisent encore Pegasus pour
l'interception légale d'appels mobiles, selon la réponse de NSO aux questions
de la commission, précise Haaretz.
En réponse aux
questions des législateurs européens, la société a expliqué qu'à l'heure
actuelle, NSO travaillait avec 22 «utilisateurs finaux» -des appareils de
sécurité et de renseignement et des forces de l'ordre- dans 12 pays européens.
Dans certains de ces pays, il y a plus d'un client, le contrat n'étant pas
conclu avec le pays, mais avec l'organisation exploitante.
Dans le passé, comme
NSO l'a écrit à la commission, la société a travaillé avec deux autres pays
-mais les liens ont entre-temps été rompus. NSO n'a pas révélé lesquels de ces
pays étaient encore des clients actifs, ni quels sont les deux pays dont les
contrats ont été gelés. Mais selon des sources dans le domaine de la guerre
informatique, ces pays sont la Pologne et la Hongrie, qui ont été retirés
l'année dernière de la liste des pays auxquels Israël autorise la vente de
technologies informatiques offensives.
Certains membres de la
commission pensaient que le(s) contrat(s) avec l'Espagne avai(en)t pu être
gelé(s) après la révélation de la surveillance de dirigeants des séparatistes
catalans, mais des sources sur le terrain ont expliqué que ce pays, qui est
considéré comme étant respectueux de la loi, figure toujours sur la liste des
pays approuvés par le ministère israélien de la Défense. Les mêmes sources ont
ajouté qu'après l'éclatement de l'affaire, Israël, NSO et une autre entreprise
israélienne travaillant en Espagne ont exigé des explications de Madrid -et se
sont vus promettre que l'utilisation des dispositifs israéliens était légale.
Les sources
interrogées par le quotidien israélien affirment que le contrat entre les
sociétés israéliennes et le gouvernement espagnol n'a pas été interrompu.
Pendant ce temps, en Espagne, il a été révélé que les opérations de piratage
-aussi problématiques soient-elles en termes politiques- ont
été légalement effectuées.
Pegasus: les raisons de l'acharnement envers le Maroc
L’ampleur de
l'activité de NSO en Europe permet de mettre en lumière l'aspect somme toute
courant du recours à l'industrie informatique offensive par des pays
occidentaux, qui opèrent des écoutes de civils, selon les termes de la loi et
le contrôle judiciaire, par opposition à des dictatures qui utilisent ces
services secrètement contre des dissidents. NSO, d'autres sociétés israéliennes
et de nouveaux fournisseurs européens sont en concurrence pour un marché de
clients légitimes -un travail qui n'implique généralement pas de mauvaise
conduite.
Ce domaine, appelé
interception légale, a suscité ces dernières années la colère d'entreprises
technologiques telles qu'Apple (fabricant de l'iPhone) et Meta (Facebook, qui
est le propriétaire de WhatsApp, via lequel le logiciel espion est installé).
Ces deux entreprises ont intenté un procès contre NSO pour avoir piraté des
téléphones via leurs plateformes, et mènent actuellement une bataille contre
cette industrie. Cette guerre informatique entraîne également un grand
malaise en Europe, l'UE ayant adopté une législation complète sur la question
de la confidentialité sur internet. Toutefois, cela ne signifie pas qu'il n'y a
aucun intérêt pour ces technologies ou leur utilisation dans le Vieux
Continent.
La semaine dernière
encore, en effet, des révélations ont permis d'apprendre que la Grèce utilisait
Predator, un logiciel espion similaire à Pegasus, contre un journaliste
d'investigation et contre le chef du parti socialiste. Le Premier ministre,
Kyriakos Mitsotakis, a affirmé que les écoutes étaient légales et fondées sur
une injonction. Il est utile de signaler à cet égard que Predator est fabriqué
par la société informatique Cytrox, qui est enregistrée en Macédoine du Nord et
opère depuis la Grèce.
Des logiciels-espions
made in UE
Cytrox appartient au
groupe Intellexa, détenu par Tal Dilian, un ancien membre haut placé des
services de renseignement israéliens. Intellexa était auparavant située à
Chypre, mais après une série d'incidents compromettants, la société a transféré
ses activités en Grèce. Alors que l'exportation de Pegasus, le logiciel de NSO,
est supervisée par le ministère israélien de la Défense, l'activité d'Intellexa
et de Cytrox ne l'est pas.
Aux Pays-Bas
également, un débat public a récemment eu lieu après d'autres révélations-choc,
selon lesquelles les services secrets néerlandais ont utilisé Pegasus pour
attraper Ridouan Taghi, un baron de la drogue arrêté à Dubaï et accusé de 10
meurtres dans des circonstances sordides. Bien que l'utilisation de Pegasus ait
été légale et activée contre un élément criminel, aux Pays-Bas, on a voulu
savoir pour quelle raison les services secrets étaient impliqués dans une
enquête interne de la police néerlandaise. Il y a donc eu des demandes pour un
auto-examen concernant la manière dont le logiciel espion a été utilisé aux
Pays-Bas.
En plus de sociétés
israéliennes actives sur le continent, il s'avère que l'Europe compte un
certain nombre de fabricants de logiciels espions. La semaine dernière,
Microsoft a révélé l'existence d'un nouveau logiciel espion, Subzero, conçu par
une société autrichienne située au Lichtenstein, appelée DSIRF. Ce logiciel
espion exploite une faiblesse sophistiquée de type «zero-day», pour pirater les
ordinateurs.
Contrairement à NSO,
qui a attendu plusieurs années avant d'admettre le fait de travailler avec des
clients en Europe, les Autrichiens se sont défendus. Deux jours après la
révélation de Microsoft, ils ont durement réagi et expliqué que leur logiciel
espion «a été développé uniquement pour un usage officiel dans les pays de
l'UE, (...) le logiciel n'a jamais été utilisé à mauvais escient».
En Europe, les
entreprises qui conçoivent des logiciels espions sont plus expérimentées: il y
a quelques semaines, les enquêteurs de sécurité de Google ont révélé un nouveau
logiciel espion, Hermit, fabriqué par une société italienne appelée RSC Labs,
successeur de Hacking Team, un concurrent ancien et bien connu, dont la
correspondance interne a été à l'origine d'une énorme fuite, Wikileaks, en
2015. Hermit a également exploité une faille de sécurité peu connue pour
permettre le piratage d'iPhones et d'appareils Android, et sa présence a été
retrouvée sur des appareils en Italie, mais également dans des pays aussi
lointains que Kazakhstan et la Syrie.
Affaire Pegasus: justice indépendante et presse
professionnelle en France, dites-vous?
Dans ce cas là aussi,
il y a une indication que les clients de RSC Labs, dont les bureaux se trouvent
à Milan, avec des succursales en France et en Espagne, comprennent des
organisations européennes officielles, relevant des forces de l’ordre. Sur son
site web, la société fait fièrement état de plus de «10.000 actions de piratage
réussies et légales en Europe».
D'autres logiciels
espions pour téléphones portables et ordinateurs ont été révélés par le passé
sous les noms de FinFisher et FinSpy. En 2012, le New York Times a
révélé de quelle manière le gouvernement égyptien a utilisé ce dispositif,
initialement conçu pour lutter contre la criminalité, contre des activistes
politiques. En 2014, le logiciel espion a été trouvé sur l'appareil d'un
Américain d'origine éthiopienne, ce qui a éveillé les soupçons selon lesquels
les autorités d'Addis-Abeba sont elles aussi clientes du fabricant
britannico-allemand Lench IT Solutions.
Dilemme
Citée par Haaretz,
la législatrice européenne Sophie In't Veld, qui est membre de la commission
d'enquête Pegasus, a déclaré que «si une seule entreprise a pour clients 14
Etats membres, vous pouvez imaginer l'ampleur du secteur dans son ensemble. Il
semble y avoir un énorme marché pour les logiciels espions commerciaux, et les
gouvernements de l'UE sont des acheteurs très motivés. Mais ils sont très
discrets à ce sujet, en le gardant à l'abri des regards du public».
Les entreprises comme
NSO sont donc confrontées à un dilemme: révéler l'identité des gouvernements
clients qui utilisent légalement ses outils aidera à faire face aux critiques
publiques d'organisations telles que Citizen Lab, des médias et des
législateurs, mais mettra en danger les accords futurs, compte tenu des clauses
de confidentialité conclus dans ses contrats avec ses clients.
«Nous savons que des
logiciels espions sont développés dans plusieurs pays de l'UE. L'Italie,
l'Allemagne et la France ne sont pas les moindres», a déclaré Mme. In't Veld.
«Même s'ils les utilisent à des fins légitimes, ils n'ont aucun appétit pour
plus de transparence, de surveillance et de garanties. Les services secrets ont
leur propre univers, où les lois normales ne s'appliquent pas. Dans une
certaine mesure, cela a toujours été le cas, mais à l'ère numérique, ils sont
devenus tout-puissants, et pratiquement invisibles et totalement
insaisissables», indique-t-elle à Haaretz.
Interpellé par le
journal, NSO n'a pas souhaité faire de commentaire. Mais une chose est sûre: en
Europe, et ailleurs, tout le monde ou presque utilise Pegasus ou assimilé. Et
viser le Maroc n'est au final que l'arbre qui cache la forêt, bien européenne
celle-là.