Nous avons découvert que le gouvernement de plusieurs pays utilisait le logiciel Pegasus pour surveiller des journalistes, des militants des droits de l’homme ainsi que des activistes.

Une enquête conjointement menée par 17 organisations sous la direction de l’association française Histoires interdites a révélé que plusieurs gouvernements utilisaient le logiciel espion développé par Israël pour surveiller certains citoyens.

L’enquête a été menée par plus de 80 journalistes du monde entier, dont des professionnels du Guardian, Washington Post, de Haaretz, du Suddeutsche Zeitung ainsi que des membres de l’organisation de défense des droits de l’homme Amnesty International et l’OCCRP.

Qu’est-ce que Pegasus ?

Pegasus est un logiciel espion malveillant. Celui-ci peut cibler les appareils iOS et Android et permet à l’attaquant d’accéder aux messages/discussions, e-mails, photos ou encore au GPS de l’utilisateur. Ce logiciel malveillant est également capable d’activer le microphone et/ou la caméra d’un smartphone à distance à l’insu de son utilisateur.

Ce programme a été initialement développé par une société basée en Israël, NSO Group. Celle-ci est spécialisée dans le développement de logiciels avancés pour les agences de renseignement.

L’objectif initial du logiciel Pegasus était de surveiller des criminels dangereux ou encore des organisations terroristes. Seuls les organismes gouvernementaux pouvaient alors accéder à ce logiciel et ses fonctionnalités.

Plus de 50 000 personnes étaient sous surveillance

Forbidden Stories et Amnesty International obtenu des numéros de téléphone que certains clients du groupe NSO auraient pu cibler dès 2016.

Si cette liste ne contient pas de noms, les journalistes ont identifié plus d’un millier de personnes localisés dans 50 pays. Vraisemblablement, ces individus auraient pu être surveillés à leur insu. Cette fameuse liste comprend des informations associées à 65 dirigeants d’entreprise, 85 défenseurs des droits de l’homme, plus de 600 politiciens et fonctionnaires, ministres, diplomates, militaires, plusieurs dirigeants de pays et ainsi que des premiers ministres.

Cette liste contient également les noms de 189 journalistes, dont le journaliste mexicain Cecilio Pineda Birto. Son nom fut ajouté au système de surveillance de Pegasus quelques semaines avant son assassinat en 2017.

Cette liste ne permet pas de vérifier le nombre d’appareils infectés par Pegasus. De même, il est impossible d’affirmer que des gouvernements ont réellement procédé à une surveillance active de leurs utilisateurs.

Toutefois, une inspection détaillée de 67 téléphones a confirmé que, dans 23 cas, ces équipements ont été infectés avec succès par Pegasus, et que, dans 16 cas, un gouvernement a souhaité procéder à une intrusion. Enfin, 30 autres résultats sont restés non concluants pour diverses raisons.

Si la société israélienne NSO a déclaré que son logiciel ne serait utilisé que pour se défendre contre les activités criminelles et les terroristes, tous les appareils évoquant des traces de Pegasus n’appartenaient pas à cette catégorie d’individus.

Cette enquête a également révélé que le logiciel espion a été utilisé pour mener des attaques sur les téléphones de deux femmes proches du journaliste saoudien Jamal Khashoggi, assassiné en octobre 2018 dans le consulat d’Arabie Saoudite à Istanbul.

Dans l’un de ces cas, il y a eu une tentative de piratage de l’appareil 6 mois avant cet assassinat. Dans le second cas, une tentative fut recensée quelques jours après cet évènement tragique.

Le gouvernement américain a déclaré que l’ordre impliquant l’assassinat de Khashoggi avait été donné par le prince héritier d’Arabie Saoudite Mohammed bin Salman. Ces accusations furent démenties par Riyad.

10 pays identifiés en tant que clients de NSO

10 pays ont été identifiés comme « les plus gros clients » du logiciel Pegasus développé par NSO : l’Azerbaïdjan, le Bahreïn, la Hongrie, l’Inde, le Kazakhstan, Maroc, Mexique, les Émirats Arabes Unis, le Ruanda et l’Arabie Saoudite.

Plus de 15 000 demandes de surveillance ont été effectuées par des groupes gouvernementaux du Mexique. Ces statistiques sont suivies de près par le Maroc et les Émirats Arabes Unis avec plus de 10 000 demandes de surveillance recensés par pays.

Le NSO nie l’utilisation illégale de son logiciel

En réponse aux récentes accusations, la société NSO Group a déclaré cette information :

« NSO dément fermement les fausses affirmations évoquées depuis votre reportage, certaines d’entre elles sont des théories non corroborées qui soulèvent de sérieux doutes sur la fiabilité de vos sources, ainsi que sur le fondement de votre histoire. »

Le NSO maintient que les affirmations de ces journalistes ne reposent sur aucun fondement et qu’elles sont basées sur des fuites de données qui n’ont aucun lien avec les clients de Pegasus (la société a refusé de divulguer l’identité de ses clients).

La NSO a également déclaré qu’elle poursuivrait sa propre enquête et prendrait des mesures si le logiciel était effectivement utilisé dans le non-respect des droits de l’homme.

Les gouvernements nient avoir utilisé le logiciel Pegasus

Jusqu’à présent, la Hongrie, l’Inde, le Maroc et le Rwanda ont nié toute allégation évoquant une utilisation du logiciel Pegasus dans le cadre d’une surveillance du grand public.

Le bureau du Premier ministre hongrois, Viktor Orbán, a ainsi déclaré n’avoir aucune connaissance concernant la surveillance et collecte de renseignements revendiquées par le journaliste.

« Avez-vous posé les mêmes questions aux gouvernements des États-Unis d’Amérique, du Royaume-Uni, de l’Allemagne ou de la France ? Dans le cas où vous auriez questionné ces gouvernements, combien de temps leur a-t-il fallu pour répondre et comment ont-ils répondu ? Un service de renseignement vous a-t-il aidé à formuler les questions ? »

Les autorités marocaines ont nié toute implication avec la société NSO et Pegasus. Le gouvernement indien a présenté publiquement des affirmations identiques.

Les représentants d’Israël ont déclaré que l’exportation de leurs produits informatiques est autorisée exclusivement pour lutter contre le terrorisme, enquêter et prévenir des crimes. Le gouvernement israélien n’a pas accès aux informations recueillies par NSO.

Les gouvernements de l’Azerbaïdjan, du Bahreïn, du Kazakhstan, du Mexique, des Émirats arabes Unis et de l’Arabie Saoudite ne se sont pas encore prononcés publiquement.

Des activistes et politiciens appellent à un contrôle plus strict des systèmes de surveillance

Edward Snowden – ancien employé de la National Security Agency – a déjà nommé l’enquête de NSO “histoire de l’année“. Il a également demandé l’interdiction de tous les systèmes de surveillance de Pegasus tout en tenant responsables ses développeurs de la mort et de l’emprisonnement de personnes visées par le logiciel.

The coming week's stories about the global hacking of phones identical to the one in your pocket, by for-profit companies, make it clear that export controls have failed as a means to regulate this industry.

Only a comprehensive moratorium on sales can remove the profit motive.

— Edward Snowden (@Snowden) July 18, 2021

David Kay – rapporteur spécial des Nations Unies pour la période 2014-2020 – a proposé un moratoire mondial sur la vente et la remise de logiciels espions.

what's the solution to an out-of-control #spyware industry? start with a global moratorium on sale/transfer & move toward this (from my report to @UN_HRC in 2019): https://t.co/WEgxIN7stx pic.twitter.com/1uOtpB9f8A

— David Kaye (@davidakaye) July 18, 2021

Le responsable de Whatsapp, Will Cathcart, a déclaré que les logiciels développés par NSO sont utilisés pour violer les droits de l’homme dans le monde entier et a demandé que leurs utilisateurs soient tenus responsables.

This groundbreaking reporting from @Guardian, @WashingtonPost, and many others demonstrates what we and others have been saying for years: NSO’s dangerous spyware is used to commit horrible human rights abuses all around the world and it must be stopped.https://t.co/dMD0wKjceF

— Will Cathcart (@wcathcart) July 18, 2021