« Projet Pegasus » : révélations sur un système mondial d’espionnage de téléphones

C’est un annuaire ahurissant, dans lequel on trouve un chef d’Etat et deux chefs de gouvernement européens ; des hommes et des femmes aux plus hauts échelons du pouvoir d’une ex-République soviétique ; des dizaines de députés de l’opposition d’un pays africain ; des princes et des princesses, des chefs d’entreprise, quelques milliardaires, des ambassadeurs, des généraux. Et puis, aussi et surtout, des centaines de journalistes, d’avocats, de militants des droits de l’homme.

Le Monde, associé au sein d’un consortium à seize autres rédactions, a eu accès à environ 50 000 numéros de téléphone – partagés par l’organisation Forbidden Stories et Amnesty International – de cibles potentielles d’un puissant logiciel espion de l’entreprise israélienne NSO Group, baptisé « Pegasus », pour le compte d’une dizaine de gouvernements. Il s’avère que nombre de ces cibles au sein de la société civile ont été effectivement infectées par Pegasus. Le Monde et le consortium coordonné par Forbidden Stories ont pu confirmer l’authenticité des données en les croisant avec plusieurs autres sources et en identifiant des dizaines de nouvelles victimes du logiciel par des analyses techniques extrêmement poussées sur leurs téléphones mobiles, grâce aux experts du Security Lab d’Amnesty International.

Violation des droits de l’homme

Ces listes de « cibles » sont d’un intérêt exceptionnel : l’usage de Pegasus que font les Etats clients de NSO, en dehors de tout cadre légal, est un secret bien gardé. Depuis sa création, en 2011, l’entreprise israélienne vend son logiciel comme un outil décisif, destiné uniquement à la lutte contre le terrorisme et le crime organisé – et multiplie les discours assurant que tout est mis en œuvre pour garantir cet usage « légitime ». L’analyse des données consultées par Le Monde et ses partenaires montre que, pour une grande partie des clients de NSO, terrorisme et grand banditisme ne constituent qu’une infime partie des utilisations.

En Azerbaïdjan, au Maroc ou au Rwanda, ce sont avant tout des journalistes, des opposants, des avocats, des défenseurs des droits de l’homme qui sont les principales cibles de ce logiciel espion sophistiqué. NSO répète depuis des années que les cas de surveillance politique sont des incidents isolés. Les informations que Le Monde et ses partenaires publient, à partir du 18 juillet, dans une série de révélations programmées tout au long de la semaine, prouvent de manière incontestable que ces abus sont la norme et non l’exception.

Une importante partie des clients de NSO Group achètent Pegasus pour se livrer à une surveillance de leurs oppositions politiques et de leur population

Ces violations des droits de l’homme répétées sont commises par des Etats pour lesquels la vente de Pegasus a été systématiquement validée par le ministère de la défense israélien. Israël protège et choie NSO, un outil de son « soft power », dont la fourniture à des gouvernements a pu contribuer à la restauration de relations diplomatiques. Les activités de NSO éclairent, en partie, les rapprochements récents de l’Etat hébreu avec l’Arabie saoudite, la Hongrie ou le Maroc.

Ni NSO ni le gouvernement israélien ne peuvent ignorer qu’une importante partie de leurs clients achètent Pegasus spécifiquement pour se livrer à une surveillance de leurs oppositions politiques et de leur population, sans oublier l’espionnage industriel de leurs partenaires commerciaux et le renseignement sur les gouvernements voisins. La législation internationale n’encadre qu’à la marge les ventes de ces armes informatiques, que leurs acheteurs utilisent quotidiennement contre des civils, et même contre des populations protégées par la convention de Genève, comme les médecins.

« NSO Group nie fermement les fausses accusations portées dans votre enquête. Ces accusations sont pour beaucoup des théories non corroborées, qui jettent de sérieux doutes sur la crédibilité de vos sources, ainsi que sur le cœur de votre enquête », a répondu l’entreprise israélienne, contactée par le « Projet Pegasus ». « Vos sources vous ont fourni des informations ne s’appuyant sur aucune base factuelle », ajoute la société, qui affirme ne pas connaître en temps réel l’usage fait par ses clients de Pegasus, ni le contrôler. « NSO Group continuera d’enquêter sur les accusations crédibles d’utilisation abusive [de son logiciel] et agira en fonction des résultats de ces enquêtes. Cela pourra consister en l’interruption de l’accès de certains clients au système en cas d’abus confirmés. Il l’a fait par le passé et n’hésitera pas à le réitérer », a précisé l’entreprise.

Plus invasif qu’une écoute téléphonique

L’ampleur et la gravité de ces violations des droits de l’homme tiennent aussi à la nature de Pegasus, qui n’est pas un simple outil « d’écoute téléphonique ». Réputé particulièrement efficace et puissant, le logiciel espion peut aspirer l’ensemble des données contenues dans un téléphone, depuis les photographies ou les carnets d’adresses jusqu’aux messages échangés sur des applications, pourtant sécurisées, comme Signal ou WhatsApp.

Invisible pour l’utilisateur du téléphone, ce logiciel peut être installé à distance, sans que la cible ait même besoin de cliquer sur un lien malveillant, et en toute discrétion, en s’appuyant sur des failles de sécurité dans les logiciels d’Apple et de Google, que ces géants ne corrigent pas toujours assez vite. Le logiciel de NSO alimente aussi un lucratif et obscur marché des failles de sécurité, incitant des centaines de pirates chevronnés à rechercher en permanence de nouvelles vulnérabilités que NSO et une poignée d’autres acteurs achètent au prix fort.

Cette discrétion et cette facilité d’usage ont également fait de Pegasus un outil d’espionnage de choix entre Etats. Plus que d’autres pays, la France en a fait les frais ; plusieurs milliers de numéros téléphoniques en « +33 », l’indicatif français, ont été ciblés par Pegasus, la majorité pour le compte d’un pays « allié » de la France, le Maroc – sollicité, Rabat « rejette catégoriquement les allégations » faisant état d’une « quelconque relation entre le Maroc et la compagnie israélienne [NSO] ». Des diplomates, des hauts fonctionnaires, des élus : le logiciel de NSO a permis au Maroc, pour un tarif modique, de cibler, en quelques clics, des pans entiers de notre appareil d’Etat. Les plus cyniques y verront la marche habituelle des rapports entre pays. Mais les enquêtes du Monde et de ses partenaires montrent que ce vaste système de surveillance numérique dépasse de très loin le cadre du jeu « normal » de l’espionnage.

En France comme dans les pays qui ont acheté l’accès à ce logiciel espion, c’est aussi et surtout la société civile qui est visée : des athlètes, des prêtres et des imams, des journalistes, des youtubeurs, des avocats. Et aussi des hommes et des femmes dont le seul tort est d’être proches, par liens d’amitié ou familial, de personnes critiques du gouvernement. Les témoignages recueillis par les journalistes ayant travaillé sur le « Projet Pegasus » soulignent les conséquences dramatiques de cette surveillance, dans la vie personnelle des cibles comme dans la manière dont elle conduit à l’autocensure de voix dissidentes, même les plus modérées.

« Projet Pegasus » n’est pas l’histoire d’un scandale de surveillance de masse, comme l’ont été les révélations d’Edward Snowden sur les opérations menées par la NSA américaine, en 2013. Les victimes de Pegasus ont été ciblées, individuellement, par des gouvernements et des services de renseignement. Mais ces deux scandales ont un point commun : ils montrent à quel point les espions qui utilisent les outils les plus perfectionnés pour surveiller et contrôler les moindres détails de la vie de leurs cibles n’ont jamais de comptes à rendre.