Autour de l'organisme à but non-lucratif français Forbidden Stories, un consortium de 17 médias planétaires, dont Le Monde et Radio France, a révélé les méfaits du logiciel espion Pegasus, qui sévit sur smartphone. Celui-ci est à l'origine d'une surveillance massive de militants et journalistes spécialisés dans l'investigation et la corruption, pouvant aboutir à des actes dramatiques. En France, plus de 1 000 personnes auraient été visées.
L'affaire révélée par nos confrères de Forbidden Stories, en partenariat avec le Security Lab d'Amnesty International, est en train de prendre une ampleur peu commune et pourrait même devenir un scandale de diplomatie international comparable à l'affaire de cyberespionnage Snowden. Plusieurs États auraient utilisé un logiciel espion nommé Pegasus. Ce dernier, commercialisé par la société israélienne NSO Group, est utilisé depuis plusieurs années, selon le consortium, par des pays qui opèrent un espionnage ciblé de journalistes, activistes, médecins, sportifs ou personnalités politiques - jusqu'à des dirigeants - en épiant l'ensemble des contenus et opérations qui circulent sur leur téléphone portable (aussi bien iOS qu'Android), le tout d'une façon peu conventionnelle, et diablement inquiétante.
50 000 numéros de téléphone « cibles » d'une cinquantaine de pays
Forbidden Stories et Amnesty International ont eu accès à une liste garnie de plus de 50 000 numéros de téléphone. Tous ont été ciblés par des clients de la société israélienne derrière le fameux logiciel Pegasus, NSO Group. Cette société, qui emploie 750 personnes dans la banlieue de Tel Aviv, est censée œuvrer officiellement en faveur de la lutte contre la criminalité, en aidant les services de renseignement.
Pas moins de 180 téléphones portables de journalistes ont été ciblés dans 20 pays. Mais pas que. On retrouve ainsi, dans la liste, des hommes d'affaires, des chefs d'État, des militants, ou des défenseurs des droits de l'Homme, comme nous le disions plus haut. On y recense pas moins de 10 clients dits « gouvernementaux » de NSO. Autant dire que l'on peut monter haut dans la hiérarchie.
Ces téléphones portables ont été ciblés depuis divers pays répartis un peu partout sur le globe : de l'Inde à la Hongrie en passant par Bahreïn, le Maroc, l'Arabie saoudite, le Mexique, l'Azerbaïdjan, le Togo ou le Rwanda.
S'il fut, pour des raisons pratiques notamment, impossible de confirmer l'ensemble des cibles, le Security Lab d'Amnesty International a tout de même pu avoir en sa possession 67 téléphones portables appartenant à des journalistes. Notons que l'analyse du mobile était indispensable à la confirmation ou non de l'espionnage de l'appareil. Et jusqu'à ce mois-ci, certains des mobiles étudiés étaient bien scrutés. On est donc loin de la surveillance des activités criminelles. « Ces chiffres montrent de manière frappante à quel point ces abus sont répandus, mettant en danger la vie des journalistes, mais aussi celle de leurs familles et de leurs collègues. Cela sape la liberté de la presse et ferme la porte à tout média critique », a réagi la secrétaire générale d'Amnesty International, Agnès Callamard. « En supprimant les voix dissidentes, l'objectif est de contrôler le récit public et d'échapper à toute contradiction », a-t-elle poursuivi.
Des infections inéluctables et imparables, « sans clic »
L'une des questions que l'on peut se poser, dans l'environnement cyber, est « comment ces téléphones portables ont-ils pu être infectés ? », « Par quel stratagème les individus ciblés sont-ils tombés dans le piège ? ». À une certaine époque, la méthode était traditionnelle, conventionnelle dirons-nous. Un banal mail envoyé, et le fameux clic à l'intérieur de celui-ci pouvait déclencher l'installation d'un logiciel malveillant. Ça, c'était la méthode privilégiée jusqu'en 2014.
Puis les choses se sont améliorées côté cyberattaquants, et les messages et autres mails sont devenus plus personnalités. Souvent, les journalistes étaient appâtés à l'aide d'informations sur des scoops potentiels, ou des informations précises sur un ou plusieurs de leurs proches. Du pur incitatif donc. Mais cela fonctionnait toujours à l'aide du fameux clic sur un lien, pour installer le malware. En somme : il y avait toujours, jusqu'il y a peu, l'obligation d'une intervention humaine - celle de la personne ciblée - pour voir aboutir l'action malveillante. Cela fonctionnait, les journalistes étant plus « enclins » à tomber dans le piège du hameçonnage pour peu qu'ils soient un tantinet moins attentifs, dans une certaine proportion. Les premières infections via Pegasus semblent remonter à 2015 et 2016. La journaliste d'investigation mexicaine Carmen Aristegui a reçu, à l'époque, plus d'une vingtaine de SMS contenant des liens malveillants de Pegasus. Les numéros de téléphone des membres de sa famille et de ses collègues de travail furent aussi ciblés dans le lot.
Claudio Guarnieri, patron du Security Lab d'Amnesty International, explique qu'il existe désormais un procédé « zéro clic » qui permet au client de prendre le contrôle du mobile sans aucune manipulation.
Une fois installé, Pegasus offre sur un plateau aux clients de NSO un accès total à l'appareil. Cela va des SMS aux appels, en passant par l'activation du microphone et de la caméra à distance, de la localisation GPS, de la ponction des mots de passe ou de la captation de tous les fichiers et donnés échangés via des messageries dites sécurisées, telles Telegram, Signal ou WhatsApp.
Jusqu'à ce que le mobile soit éteint, celui-ci est infecté. Et une fois rallumé, il peut être réinfecté. Pour éviter la moindre détection, les gouvernements qui se sont livrés à ce cyberespionnage ont néanmoins pratiqué ce qu'Eva Galperin, Directrice en charge de la cybersécurité à l’Electronic Frontier Foundation (EFF), appelle la stratégie du « hit and run ». En gros : le gouvernement infecte le téléphone, fait son affaire (donc extrait des données), puis quitte l'appareil très rapidement. Et ainsi de suite.
Le numéro d'Edwy Plenel ciblé, NSO nie toute implication criminelle
Si la France n'est pas cliente de NSO, plus de 1 000 Français, dont certains journalistes, font partie des numéros ciblés. C'est notamment le cas du très médiatique Edwy Plenel. Le fondateur de Mediapart, qui promet des suites judiciaires et appelle les autorités à se saisir du dossier, a vu son portable être compromis durant l'été 2019. Il s'était en effet rendu au Maroc pour assister à une conférence sur deux jours, du côté d'Essaouira. Il en avait profité pour accorder plusieurs interviews et pour longuement aborder la thématique de la violation des droits humains au Maroc, où il est connu pour ses diverses collaborations avec le journaliste partenaire Ali Amar, fondateur du magazine marocain d'investigation LeDesk, d'ailleurs lui aussi ciblé par Pegasus. Dès son retour à Paris, des éléments suspects avaient commencé à apparaître sur son téléphone.
Ce qui inquiète particulièrement aujourd'hui, c'est que le marché des logiciels espions semble être bousculé. S'ils développaient, il fut un temps, leurs propres malwares, les gouvernements n'hésitent plus désormais à se tourner vers des sociétés privées spécialisées, typiquement comme NSO Group ou d'autres, telles Hacking Team et FinFischer.
Et ce qui inquiète d'autant plus, c'est l'utilisation cachée de Pegasus, que Forbidden Stories n'hésite pas à assimiler à une arme. Une arme pouvant être potentiellement mortelle. Beaucoup ont gardé en mémoire le meurtre du journaliste du Washington Post Jamal Khashoggi, qui n'était jamais ressorti du consulat saoudien en Turquie, en octobre 2018. Quelques jours après le drame, Citizen Lab avait révélé qu'un proche de Khashoggi, Omar Abdulaziz, avait été ciblé par Pegasus le mois précédent l'assassinat. Un détail troublant, contre lequel NSO se défend, en affirmant posséder un « dispositif d'arrêt d'urgence » lui permettant de cesser toute collaboration avec un client qui ne respecterait par les droits humains. La firme israélienne a, en outre, nié toute implication dans l'assassinat du journaliste dissident Jamal Khashoggi.
Source : Forbidden Stories
