Le gouvernement américain a interdit le logiciel Pegasus de NSO

Mais aurait acheté un logiciel espion concurrent, Paragon Graphite.

Certains gouvernements ont interdit l’utilisation du logiciel espion Pegasus, développé par la société israélienne NSO Group, il y a 18 mois. Pegasus est un logiciel qui exploite des failles de sécurité inconnues des smartphones modernes (appelées zero-day) pour infecter ces derniers à distance, sans aucune action de la part de la victime. Pegasus peut ensuite accéder aux données personnelles de l’utilisateur, y compris celles qui sont chiffrées par des applications comme Signal ou WhatsApp.

NSO Group est une entreprise privée israélienne fournissant des logiciels espions ou de surveillance des terroristes, dont le plus célèbre est Pegasus. L’entreprise est considérée comme un leader mondial dans le secteur en pleine expansion et largement non réglementé des logiciels espions privés. Le gouvernement américain a interdit l’utilisation de Pegasus en 2021, en le considérant comme une menace pour la sécurité nationale. Il a ajouté NSO Group à une liste noire qui empêche l’importation, l’exportation ou le transfert de ses produits aux États-Unis.

Malgré cette interdiction, des gouvernements utiliseraient un logiciel espion très similaire nommé Paragon Graphite, développé par une société israélienne concurrente de NSO Group, qui produit le célèbre logiciel Pegasus. Graphite aurait les mêmes capacités que Pegasus et serait même utilisé par l’agence américaine de lutte contre la drogue (DEA) pour combattre les cartels de la drogue au Mexique.

Cette utilisation de Graphite au Mexique soulève des questions sur les implications pour la sécurité nationale des États-Unis et sur les risques d’abus de ces logiciels espions par des régimes autoritaires ou d’autres acteurs malveillants. Le Mexique est en effet l’un des pays qui a le plus abusé de Pegasus dans le passé, en ciblant des journalistes, des militants et des opposants politiques. Le président de la commission du renseignement de la Chambre des représentants, Adam Schiff, a écrit au DEA en décembre pour demander plus de détails sur l’achat de Graphite.

Paragon aurait engagé un groupe de conseil influent basé à Washington, composé d’anciens responsables du gouvernement d’Obama, pour obtenir l’autorisation du gouvernement américain pour sa liste de clients. Parmi ces conseillers figurent Michele Flournoy, Avril Haines et Antony Blinken, qui occupent ou ont occupé des postes clés dans le domaine de la défense et du renseignement. Rappelons que ces logiciels espions représentent une menace pour les droits humains et la démocratie, et qu’il faut une réglementation plus stricte pour les contrôler.

En 2021, l’analyse médico-légale a montré que ce logiciel espion a été utilisé pour tenter et réussir le piratage de smartphones appartenant à des journalistes, des militants des droits de l’homme, des chefs d’entreprise et les deux femmes les plus proches du journaliste saoudien assassiné Jamal Khashoggi. Une fuite de données analysée par Forbidden Stories et Amnesty International a révélé que plus de 50 000 numéros de téléphone étaient concernés.

Comment NSO Group a vendu son logiciel espion à des dizaines de pays

Forbidden Stories est une association de journalisme à but non lucratif basée à Paris. L’association a récemment mis la main sur une importante fuite de données qui, à en croire les analystes, pourrait être la plus grande affaire de cyberespionnage depuis les révélations d’Edouard Snowden en 2013 sur les agissements de la NSA. La fuite concerne plus de 50 000 numéros de téléphone ciblés pour la surveillance par les clients de la société israélienne NSO Group. Elle montre comment cette technologie a été systématiquement détournée de son usage initial et utilisée à mauvais escient pendant des années.

En juillet 2021, NSO Group avait été suspecté d’avoir utilisé Pegasus dans des campagnes de surveillance massives sur des personnes qui n’ont rien à voir avec le crime ou le terrorisme. Le président français Emmanuel Macron, 14 ministres et plusieurs autres chefs d’État et de gouvernement figurant sur la liste des personnes ciblées. Selon Amnesty International qui avait mis à nu la liste de 50 000 numéros qui auraient été espionnés par Pegasus, plusieurs milliers d’iPhone pourraient avoir été ciblés à travers des attaques « sans clic » menées par les clients de NSO Group.

La même année, Amazon a débranché les serveurs de l’entreprise de surveillance NSO Group qui se serait parfois appuyé sur Amazon Web Service (AWS) pour faire fonctionner le logiciel Pegasus. AWS a confirmé qu’elle avait désactivé les comptes cloud liés à NSO Group, alors que ce dernier continuait à nier son implication dans cette vague de surveillance.

Le fournisseur israélien de logiciels de surveillance NSO Group a déclaré en 2022 devant les législateurs de l’Union européenne qu’au moins 50 clients utilisent son logiciel espion Pegasus sur le plan mondial. Chaim Gelfand, avocat général et responsable de la conformité chez NSO Group, a précisé aux législateurs que ces clients comprennent « plus de cinq États membres de l’Union européenne ». L’entreprise a reconnu qu’elle a commis des erreurs par le passé et a souligné la nécessité d’une norme internationale pour réglementer l’utilisation des logiciels espions par les gouvernements.

Les États-Unis dans le rôle de pyromane et de pompier

Outre l’utilisation par la DEA d’un logiciel espion – en l’occurrence, l’outil appelé Graphite, fabriqué par la société israélienne Paragon -, la CIA, sous l’administration Trump, aurais acheté Pegasus pour le gouvernement de Djibouti, qui a utilisé l’outil de piratage pendant au moins un an. Et les responsables du FBI ont fait pression à la fin de 2020 et au premier semestre de 2021 pour déployer Pegasus dans leurs propres enquêtes criminelles avant que le bureau n’abandonne finalement l’idée.

Dans une déclaration au Times, la DEA a indiqué que « les hommes et les femmes de la DEA utilisent tous les outils d’enquête légaux disponibles pour poursuivre les cartels et les individus basés à l’étranger qui opèrent dans le monde entier et qui sont responsables de la mort par empoisonnement à la drogue de 107 622 Américains l’année dernière ».

Pendant plus d’une décennie, NSO a vendu Pegasus à des services d’espionnage et à des organismes chargés de l’application de la loi dans le monde entier. Le gouvernement israélien exigeait que l’entreprise obtienne des licences avant d’exporter son logiciel espion à un service de police ou de renseignement particulier. Cela permettait au gouvernement israélien d’exercer une influence diplomatique sur les pays désireux d’acheter Pegasus, tels que le Mexique, l’Inde et l’Arabie saoudite. Mais les preuves de l’utilisation abusive de Pegasus se sont accumulées.

Le gouvernement de Biden a pris des mesures. Il y a un an, elle a placé NSO et une autre société israélienne, Candiru, sur une liste noire du ministère du Commerce, interdisant aux entreprises américaines de faire des affaires avec ces sociétés de piratage. L’administration coordonne une enquête sur les pays qui ont utilisé Pegasus ou d’autres logiciels espions contre des fonctionnaires américains à l’étranger.

Le Congrès travaille sur un projet de loi bipartisan exigeant que le directeur du renseignement national produise une évaluation des risques de contre-espionnage pour les États-Unis posés par les logiciels espions commerciaux étrangers. Le projet de loi donnerait également au directeur du renseignement national le pouvoir d’interdire l’utilisation de logiciels espions par toute agence de renseignement. Selon de sources, la Maison Blanche travaillerait actuellement à l’élaboration d’un décret prévoyant d’autres restrictions à l’utilisation des logiciels espions.

L’émergence d’un prédateur

Tal Dilian, ancien général des services de renseignement militaire israéliens, a été contraint de prendre sa retraite des forces de défense israéliennes en 2003 après qu’une enquête interne eut fait naître des soupçons quant à son implication dans la mauvaise gestion de fonds, selon trois personnes qui étaient des officiers supérieurs des services de renseignement militaire. Il a fini par s’installer à Chypre, un pays insulaire de l’Union européenne qui est devenu ces dernières années une destination privilégiée pour les sociétés de surveillance et les experts en cyberespionnage.

En 2008, à Chypre, Dilian a cofondé Circles, une société qui utilisait une technologie d’espionnage perfectionnée par Israël, connue sous le nom de Signaling System 7. Il l’a vendue et a ensuite créé d’autres sociétés vendant des produits de surveillance. Il se targuait de recruter les meilleurs pirates informatiques, y compris d’anciens experts en logiciels espions de l’unité d’élite de cyberespionnage de l’armée israélienne.

En 2019, il a accordé une interview à Forbes depuis une camionnette de surveillance circulant dans la ville chypriote de Larnaca. Il a fait une démonstration fictive de la capacité de la camionnette à pirater n’importe quel téléphone à proximité et à voler des messages WhatsApp et des messages texte à des cibles sans méfiance. Les autorités chypriotes ont rapidement demandé son arrestation par l’intermédiaire d’Interpol, l’agence mondiale de police, pour surveillance illégale. Son avocat a finalement réussi à régler l’affaire en payant une amende d’un million d’euros (1 million de dollars) par l’intermédiaire de la société de Dilian, mais ce dernier n’était plus autorisé à faire des affaires à Chypre, selon plusieurs fonctionnaires chypriotes impliqués dans l’affaire.

Dilian s’est installé à Athènes et y a créé Intellexa en 2020, date à laquelle il a commencé à commercialiser de manière impressionante son nouveau logiciel espion, Predator. Il exige que l’utilisateur ciblé clique sur un lien pour infecter son téléphone, tandis que Pegasus infecte le téléphone sans aucune action de la part de la cible.

L’Ukraine avait déjà essayé d’acquérir Pegasus, mais cette tentative a échoué après que le gouvernement israélien a empêché NSO de vendre à l’Ukraine, craignant que cela ne nuise aux relations d’Israël avec la Russie.

Selon des médias américains, le Times aurait obtenu une copie d’une proposition de neuf pages d’Intellexa pour Predator à une agence de renseignement ukrainienne l’année dernière, la première proposition complète de logiciel espion commercial à être rendue publique.

Pour 13,6 millions d’euros la première année, l’Ukraine a reçu une proposition d’un paquet de base comprenant 20 infections simultanées par Predator et un « magazine » de 400 piratages de numéros nationaux, ainsi qu’une formation et un centre d’assistance fonctionnant 24 heures sur 24. Si l’Ukraine souhaitait utiliser Predator sur des numéros non ukrainiens, le prix augmenterait de 3,5 millions d’euros supplémentaires.

Lire aussi : Des documents internes révèlent à quel point le FBI était proche de déployer le logiciel espion Pegasus

Sources : Developpez – NYT