Comment le logiciel israélien Pegasus prend le contrôle des smartphones
DIA-21 juillet 2021: Le logiciel espion Pegasus, commercialisé par l’entreprise israélienne NSO, est utilisé depuis plusieurs années pour surveiller de façon systématique des journalistes, des activistes et d’autres membres de la société civile. C’est ce que révèle une fuite massive de 50 000 numéros de téléphone sélectionnés comme cibles dans une cinquantaine de pays, depuis 2016, à laquelle ont eu accès le consortium Forbidden Stories et Amnesty International.
L’entreprise NSO affirme que son produit phare, vendu exclusivement à des clients gouvernementaux, « ne collecte que les données provenant des appareils mobiles de personnes soupçonnées d’être impliquées dans des activités criminelles graves et terroristes. » Le logiciel espion permet de prendre contrôle d’un smartphone à distance sans nécessiter la moindre manipulation de l’utilisateur. Aucun lien à cliquer ni document à ouvrir, l’attaque est totalement invisible. Une fois installé, Pegasus donne un accès total au téléphone, y compris aux messages échangés sur des applications chiffrées telles que WhatsApp ou Signal, et permet même d’activer à distance le microphone et la caméra de l’appareil.
Forbidden Stories a découvert que, contrairement aux engagements pris par NSO, rappelés par l’entreprise dans un rapport publié en Juin 2021, ce logiciel fait l’objet de nombreux abus depuis cinq ans. La liste de numéros analysée par le consortium montre qu’au moins 180 journalistes ont été sélectionnés comme cibles avec ce logiciel dans le monde, particulièrement en Inde, au Mexique, au Maroc et en France. Parmi les numéros sélectionnés on trouve également ceux de militants des droits de l’homme, d’universitaires, de syndicalistes, de diplomates, d’hommes et de femmes politiques et de plusieurs chefs d’État.
Dans une lettre envoyée à Forbidden Stories et ses partenaires, l’entreprise NSO a affirmé que l’enquête du consortium était basée sur « de mauvaises suppositions » et « des théories non corroborrées ». L’entreprise israélienne a insisté sur le fait que le travail des journalistes du Projet Pegasus reposait sur une « interprétation erronée de données fuitées provenant d’informations librement accessibles et basiques telles que les services de recherche HLR, qui n’ont aucun rapport avec la liste des clients cibles de Pegasus ou tout autre produit de NSO. »
HLR (« Home Location Register » en anglais) est une base de données essentielle au fonctionnement des réseaux téléphoniques. Une personne ayant une connaissance directe du fonctionnement des systèmes vendus par NSO, qui a accepté de parler sous couvert d’anonymat, a confié aux journalistes du Projet Pegasus que les services de recherche HRL étaient une étape clef pour déterminer les caractéristiques d’un téléphone, notamment s’il est allumé, ou dans un pays où un ciblage avec Pegasus autorisé.
L’entreprise NSO a déclaré « qu’elle continuerait à enquêter sur toutes les allégations crédibles d’utilisation abusive et prendrait les mesures appropriées en fonction des résultats de ces enquêtes ».
Le consortium de 17 médias internationaux a pu entrer en contact avec plusieurs cibles dont le numéro de téléphone apparaissait dans les données. L’analyse technique des ces téléphones – réalisée par le Security Lab d’Amnesty International et corroborée par le groupe de recherche canadien Citizen Lab – a pu confirmer une infection ou tentative d’infection avec le logiciel espion Pegasus dans 85 % des cas, soit 37 au total. Ce taux est remarquablement élevé étant donné que le logiciel espion, à la pointe de la technologie, est censé être indétectable sur les téléphones.
Les 80 journalistes du projet Pegasus dont l’enquête a été coordonnée par Forbidden Stories avec le soutien technique du Security Lab d’Amnesty International, ont ainsi eu un accès exclusif aux coulisses de cette arme de surveillance vendue à de nombreux gouvernements en Asie, en Afrique, en Europe, en Amérique Latine et au Moyen-Orient.
Le Security Lab d’Amnesty International a également identifié un nouveau mode d’infection utilisé par NSO. Celui-ci exploite une faille de sécurité des iPhones et d’après les analyses réalisés par Amnesty International, ce type d’attaque était encore à l’œuvre en juillet 2021 sur les derniers modèles d’iPhone. Plusieurs sources confirment l’exploitation de failles multiples liées à iMessage, le service de messagerie Apple, un problème qui se serait aggravé au fil des ans.
La fuite de données révèle l’écart entre la réalité d’utilisation du logiciel et les promesses de l’entreprise qui insiste dans son dernier rapport de transparence sur le fait que Pegasus « n’est pas un outil de surveillance de masse » et est « utilisé uniquement lorsqu’il y a une raison légitime d’application de la loi ou de renseignement. » Pourtant, plus de 10 000 numéros de téléphone ont été sélectionnés en vue d’une possible surveillance par le seul client marocain en l’espace de deux ans.
Au-delà des nombreux abus individuels, le projet Pegasus questionne la stratégie d’ensemble de l’entreprise NSO qui, alors qu’elle s’engage à sélectionner ses clients en fonction de leur bilan en matière de droits humains, a accepté de vendre sa technologie à des régimes autoritaires tels que l’Azerbaïdjan, les Émirats Arabes Unis et l’Arabie Saoudite. Des sources internes s’accordent sur le rôle primordial joué par le Ministère de la Défense israélien dans la sélection des clients de l’entreprise. Les autorités israéliennes auraient ainsi fait pression pour que l’Arabie Saoudite soit approuvée en dépit des réserves de NSO. L’avocat de l’entreprise dément que « NSO suive des directives gouvernementales concernant les clients. »
Les révélations de cette enquête collaborative internationale posent la question des mesures mises en place pour réguler l’utilisation d’armes de surveillance telles que Pegasus et, plus spécifiquement, l’engagement de NSO à créer « un monde meilleur et plus sûr ».
Les médias partenaires du Pegasus Project :
The Guardian, Le Monde, The Washington Post, Süddeutsche Zeitung, Die Zeit, Aristegui Noticias, Radio France, Proceso, OCCRP, Knack, Le Soir, Haaretz/TheMarker, The Wire, Daraj, Direkt36, PBS Frontline.