On se souvient de l’affaire Snowden qui avait révélé la surveillance de masse réalisée par la NSA. Plusieurs médias (dont Le Monde et France Info) et l’association Forbidden Stories, viennent de lever le voile sur le programme Pegasus. Il s’agit du nom d’un logiciel d’espionnage de smartphone élaboré par l'israélien NSO Group. Les clients de ce dernier sont des Etats ou des autorités gouvernementales afin de lutter contre le terrorisme et la criminalité organisée.

Mais c’est pour un autre usage que le pool de médias accuse NSO Group. En effet, il a découvert une liste de 50 000 numéros de téléphone espionnés par Pegasus. Parmi ces numéros, pas de terroristes, mais des journalistes notamment français (Eric Zemmour ou Edwy Plenel) et des opposants surveillés par des Etats comme le Maroc, Barheïn, l’Arabie Saoudite, l’Inde, le Mexique mais aussi la Hongrie ou l’Azerbaïdjan. Certains journalistes présents dans cette liste ont été arrêtés, menacés, voir assassinés.

Pegasus un as des failles zero day

Dans leur enquête, le consortium de médias et Forbidden Stories se sont appuyés sur les travaux du Security Lab d’Amnesty International. Ce dernier a analysé plusieurs terminaux de journalistes ciblés et a confirmé la présence du logiciel espion Pegasus. Pour en savoir plus sur ce spyware, il suffit de regarder l’analyse menée par Lookout en août 2016 où on peut lire, « Pegasus est très avancé dans son utilisation des vulnérabilités de type zero-day, de modification de code et du chiffrement. Il utilise des fonctions sophistiquées pour contourner la sécurité des systèmes d'exploitation et des applications comme Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, les solutions de messagerie et de courrier électronique intégrées d'Apple, etc. »

L’objectif pour le spyware est multiple « voler la liste des contacts de la victime, la localisation GPS de la victime, ainsi que les mots de passe personnels, WiFi et de routeur stockés sur le terminal ». Cela peut même aller à la surveillance en activant le micro ou la caméra des smartphones. Une panoplie intéressante pour certains Etats, car la spécificité de ce logiciel espion réside dans sa modularité, poursuit le rapport. Il s’adapte à la demande des gouvernements et aux cibles visées.

Des plaintes contre NSO Group

Mais parfois NSO Group se fait prendre la main dans le sac. Ainsi en octobre 2019, Google avertissait sur l’exploitation active d’une faille zero day sur Android par la firme israélienne et avait en conséquence raccourci le délai de divulgation de la vulnérabilité. Toujours à l’automne 2019, WhatsApp a porté plainte contre NSO Group suite à la découverte d’une faille dans la messagerie instantanée servant à espionner des défenseurs des droits de l’Homme. La filiale de Facebook avait dans ce cadre reçu le soutien de plusieurs sociétés comme Google, Microsoft, VMware, Cisco ou GitHub. Par la voie d’un amicus curiae, ils avaient indiqué « des outils de cybersurveillance comme Pegasus NSO sont puissants et dangereux. De tels outils reposent sur des vulnérabilités dans le code permettant à une personne d'accéder au terminal d'une autre personne, d'un réseau ou d'un système. Si ces outils sont utilisés à mauvais escient, les résultats peuvent être désastreux ». Dans le cadre de l’affaire soulevée par Forbidden Stories, plusieurs journalistes ciblés ont décidé de porter plainte à leur tour contre NSO Group. C’est le cas d’Edwy Plenel et Lénaïg Bredoux de Mediapart, Dominque Simmonot, ancienne journaliste du Canard Enchaîné et actuelle contrôleure générale des lieux de privation de liberté, a demandé à son avocat de faire de même. 

De son côté, NSO Group s’est fendu d’un communiqué pour dénoncer « des hypothèses erronées et de théories non corroborées, qui soulèvent de sérieux doutes sur la fiabilité et l'intérêt des sources ». La firme envisage de porter plainte pour diffamation et rappelle qu’elle « vend ses technologies uniquement aux services de police et aux agences de renseignement de gouvernements contrôlés dans le seul but de sauver des vies en prévenant la criminalité et les actes terroristes ». Pour mémoire, NSO Group a été créé en 2009 par Niv Carmi, Shalev Hulio et Omri Lavie(d’où l’acronyme NSO) et a été acquise en 2014 par le fonds Francisco Partners pour un montant estimé entre 120 et 130 M$.