Si dans les films l’espionnage est souvent synonyme de gens beaux qui boivent des martinis, conduisent de belles bagnoles à la durée de vie très limitée et explosent assez régulièrement des bâtiments célèbres dans les plus grandes villes du monde, dans la réalité c’est autre chose. À commencer par un point extrêmement important : dans le monde réel l’espionnage n’est pas un truc tape à l’oeil, c’est très discret et souvent pointu. L’affaire du projet Pegasus qui vient d’être mise en lumière ces derniers jours est potentiellement la plus importante et la plus massive de la dernière décennie, alors voyons ensemble les quelques points essentiels pour la comprendre.

NSO Group, une entreprise de sécurité web à l'origine de cette affaire

Cette société israélienne de sécurité informatique qui existe depuis 2010 a signé un premier gros contrat de plus de 20 millions de dollars avec le gouvernement Mexicain à peine deux ans après sa création (2012). En 2014 la société est rachetée par un gros groupe américain (Francisco Partners) pour 145 millions de dollars. Alors ça peut sembler assez énorme comme montant, mais c’est le monde la tech, on rachète souvent des apps des millions de dollars avant même que leur développement ne soit terminé.

Un message clair : lutter contre la criminalité et le terrorisme

Le slogan de cette société est on ne peut plus clair : NSO crée des technologies qui aident les gouvernements à enquêter et empêcher le terrorisme et les crimes pour sauver des milliers de vies autour du globe. Alors là comme ça, ça a l’air plutôt sympa et noble comme motivation, mais si le fond est limpide, la forme est assez floue. Forcément si on réfléchit deux minutes à quoi peut correspondre cette action on se doute rapidement que l’espionnage n’est pas très loin.

Pegasus : premier acte (2016)

En 2016, on commence à entendre parler de Pegasus dans plusieurs affaires, toujours sous la forme d’un virus informatique : celui-ci utiliserait des failles présentes dans nos téléphones pour se nicher et espionner des cibles sélectionnées. Ces failles, pour la plupart, sont des failles 0-Day, c’est à dire des failles informatiques présentes après une mise à jour du téléphone. Elles sont généralement difficiles à identifier par les équipes de développeurs et sont patchées par un correctif dès qu’elles sont découvertes. Si les équipes de NSO sont capables de voir et d’exploiter ces failles avant même que les équipes de développeurs n’y parviennent, vous imaginez assez bien le niveau en informatique de ses employés. C’est là la première force de NSO : au fil des années, Pegasus est parvenu à s’adapter à chaque mise à jour, chaque correctif en un temps record.

Un coût élevé et une formule à la carte

Dans ses premières années d’activité, Pegasus est un service qui coûte cher à l’acheteur : la difficulté de trouver les failles et de s’introduire dans un téléphone fait grimper le prix de la prestation aux alentours de 25 000$ pour l’espionnage d’une cible. Selon ce que souhaite l’acheteur, ce service peut évoluer sur la forme et le prix, ce qui fait qu’à ce moment là (en 2016) les cibles restent relativement limitées et sont soigneusement sélectionnées. L’application Lookout et le laboratoire de recherche CitizenLab ont à l’époque identifié à plusieurs reprises la présence de Pegasus dans des affaires d’espionnage, faisant remonter ces problèmes jusqu’à Apple et Google qui n’hésitaient pas à tenter de bloquer ses agissements en sortant des correctifs réguliers.

L'affaire WhatsApp (2019)

Nous sommes en 2019 et cette fois-ci c’est via l’application WhatsApp que le projet Pegasus fait à nouveau parler de lui. On réalise alors que le logiciel peut s’introduire dans le téléphone via un simple appel WhatsApp, et ce que l’utilisateur y ait répondu ou non. En d’autres termes il faut simplement le contact de la personne pour la surveiller. Un avocat de Londres qui tente alors de dénoncer le fait que Pegasus fournit ses services pour surveiller des personnes diverses se retrouve lui-même victime du logiciel.

L’affaire s’ébruite et malgré le fait que NSO se défende en disant agir pour le bien et la sécurité de la population, le New York Times pointe du doigt des partenariats avec des pays moins emprunts à la défense des droits de l’homme (Mexique, Arabie Saoudite, Émirats Arabes Unis…). À l’époque, plusieurs personnes estiment que la liste des gens surveillés par NSO pourrait être beaucoup plus vaste que ce qu’on imagine, ce qui s’avère aujourd’hui tout à fait juste.

Pegasus : deuxième acte (2021)

Si on parle aujourd’hui de nouveau et à beaucoup plus grande échelle de Pegasus, c’est parce qu’un travail titanesque a été réalisé par un important « consortium de journalistes ». Créé par Forbidden Stories, site internet de journalisme non lucratif financé par les dons (donc n’appartenant à aucun groupe médiatique), ce consortium inclut des journalistes de plusieurs pays travaillant pour certains dans d’importants journaux (Le Monde, le Washington Post, le Guardian…). Après avoir eu accès à près de 50 000 numéros de téléphone espionnés, le consortium a étudié pendant plusieurs mois la nature des cibles, en recherchant dans l’ombre qui était surveillé et pourquoi avant de révéler l’ampleur de l’affaire.

Crédits photo (Domaine Public) : Forbidden Stories

Des cibles extrêmement variées

Si en 2016 (avant l’affaire WhatsApp) on trouvait déjà des cibles assez différentes (opposants politiques, personnes suspectées de terrorisme, lanceurs d’alerte, activistes, défenseurs des droits de l’homme…) la liste qui vient de tomber dans les dernières heures est encore plus importante et diversifiée. On y trouve des dirigeants et personnalités politiques, des employés de sociétés divers (espionnage industriel), des prêtres, des imams, des sportifs, des youtubeurs mais surtout, dans son plus grand nombre, des journalistes. Ces personnes surveillées se trouvent aux quatre coins du globe, même si le Mexique est probablement le pays comptant le plus de personnes espionnées. En France, le fondateur de Médiapart Edwy Plenel fait partie des cibles (près de 1000 dans l’hexagone).

Une récupération totale des informations

On parle de Pegasus, mais on ne dit toujours pas concrètement ce que le logiciel réalise. Concrètement il est capable de collecter à peu près tout ce qui est présent sur le téléphone ciblé sans avoir besoin que l’on clique sur un lien ou que l’on télécharge un programme infecté. Écoute téléphonique, enregistrement des SMS, récupération des photographies, activation à distance de la caméra et du micro, contacts, localisation GPS, lecture des messages sur les applications chiffrées (Telegram ou Signal) avant l’envoi de ces derniers, lecture des emails, sauvegarde des mots de passes… Bref, un contrôle total de l’activité du smartphone pour une violation de la vie privée sans précédent. Pour rappel, les enregistrements de la NSA dont on vous parlait dans les trucs à savoir pour comprendre l’affaire Snowden n’étaient pas aussi vastes et importants.

La défense de NSO

Peu de temps après la mise en lumière de cette affaire, la société NSO s’est défendue en insistant de nouveau sur sa mission qui n’est autre que de combattre le crime et les menaces en se battant pour sauver des vies, motivation qu’on retrouve à plusieurs reprises sur leur site internet. Le problème c’est que, comme on le disait plus haut, non seulement certains pays avec lesquels travaille NSO ne sont pas réputés pour être de fervents défenseurs des droits de l’homme, mais surtout que la nature de la plupart des cibles ne colle pas avec politique de protection : des journalistes, des activistes et des défenseurs des droits de l’homme étant victimes de Pegasus. NSO n’a alors pas hésité à annoncer qu’elle allait « enquêter sur une mauvaise utilisation de l’outil Pegasus ».

Une situation extrêmement grave

En dehors du fait que c’est une atteinte odieuse à la liberté et la vie privée de milliers de personnes (ce qui est déjà extrêmement grave), plusieurs journalistes présents dans la liste des personnes espionnées ont été assassinés ces dernières années comme Jamal Khashoggi, journaliste saoudien qui travaillait au Washington Post (dont certains proches ont également été assassinés) ou encore Cecilio Pineda, journaliste Mexicain mort en 2017. Si certaines vies sont menacées par l’utilisation de l’outil, la liberté de la presse l’est tout autant, ce qui fait poser de nombreuses questions sur l’ampleur et les suites de cette affaire d’espionnage considérée comme la plus importante depuis l’affaire Snowden.

Sources : Forbidden Stories, Wikipedia (1, 2), FrAndroid, France Info (1, 2), France Culture.