Emmanuel Macron adore ses téléphones portables. Pour le président français, ils sont un outil de travail, un moyen de gouverner et même un symbole de sa modernité. Deux iPhone trônent à ses côtés sur son portrait officiel et, dans la vidéo tournée en mai avec les youtubeurs McFly et Carlito, on le voit dans les salons de l’Elysée en train d’en dégainer un pour appeler le footballeur Kylian Mbappé.
Mais l’utilisation de ces appareils s’est peut-être retournée contre lui. L’un des numéros du président de la République, qu’il utilise, selon nos informations, régulièrement depuis au moins 2017 et jusqu’à ces derniers jours, figure dans la liste des numéros sélectionnés par un service de sécurité de l’Etat marocain, utilisateur du logiciel espion Pegasus, pour un potentiel piratage. Des numéros de téléphone appartenant à Edouard Philippe, alors premier ministre, ainsi qu’à quatorze autres membres du gouvernement ont également été visés.
Ces numéros font partie d’une liste de plus de 50 000 numéros de téléphone consultée par l’organisation Forbidden Stories et Amnesty International, avant d’être partagée à seize médias, dont Le Monde, réunis au sein du « Projet Pegasus ». Selon les analyses menées par le consortium et Amnesty, la présence dans cette liste signifie qu’un client de Pegasus s’y est intéressé et a envisagé une possible infection. L’authenticité de cette liste et son lien avec le logiciel espion Pegasus ont notamment été établis en analysant plusieurs dizaines de téléphones y figurant. Dans une grande majorité de cas, des traces techniques laissées par Pegasus y ont été trouvées, souvent quelques secondes après l’apparition sur la liste du numéro de téléphone correspondant.
Faute d’avoir pu examiner le téléphone du président de la République, il n’est pas possible de dire s’il a été infecté par ce logiciel espion, l’un des plus sophistiqués de la planète. Pegasus est aussi invisible qu’intrusif ; seul un protocole d’analyse technique précis, établi par une poignée d’experts, permet d’en déceler des traces a posteriori. Dans un communiqué transmis au Projet Pegasus ce 20 juillet, NSO affirme qu’Emmanuel Macron « n’a pas, et n’a jamais été, une cible ou n’a jamais été sélectionné comme une cible par des clients de NSO ». NSO ne précise pas sur quoi elle se base pour l’affirmer, l’entreprise précisant qu’elle n’a « pas accès aux données de ses clients, qui doivent toutefois fournir ce type d’informations » à NSO en cas d’enquête.
Contacté par Le Monde, l’Elysée affirme que « si les faits sont avérés, ils sont évidemment très graves. Toute la lumière sera faite sur ces révélations de presse. Certaines victimes françaises ont déjà annoncé qu’elles porteraient plainte, et donc des enquêtes judiciaires vont être lancées ». L’Elysée ajoute que « pour ce qui les concerne, les services français de renseignement agissent dans un cadre strictement défini par la loi depuis 2015 et que chaque technique de renseignement doit être autorisée après avis de la Commission nationale de contrôle des techniques de renseignement. Ces techniques doivent répondre à des impératifs de protection de nos intérêts fondamentaux (lutte antiterroriste, contre-ingérence, protection économique…) et ne peuvent en aucun cas porter sur des surveillances à caractère politique alors que dans le même temps, certaines professions, dont les journalistes et les avocats, font l’objet d’une protection particulière ». Interrogé un peu plus tôt à l’Assemblée nationale mardi 20 juillet, Jean Castex, le premier ministre, a indiqué que des « investigations », qui « n’ont pas abouti » à ce stade, ont été « ordonnées » à la suite de ces révélations.
Selon une analyse des données en notre possession, le numéro de téléphone d’Emmanuel Macron a été saisi en mars 2019 par un opérateur au sein des services de sécurité du Maroc. Le royaume chérifien est client, depuis plusieurs années, de NSO Group, l’entreprise israélienne commercialisant Pegasus, et utilise de manière intensive ce logiciel espion vendu aux seuls Etats. D’après les données consultées par Le Monde, le Maroc a ciblé plus de dix mille numéros, dont environ 10 % en France. L’analyse technique d’un téléphone dont le numéro apparaît aux côtés de celui d’Emmanuel Macron a permis la découverte d’une trace identique à celles trouvées dans les portables de plusieurs dissidents ou journalistes marocains.
Sollicité dans le cadre du « Projet Pegasus », le Citizen Lab, un groupe d’experts de haut niveau de l’université de Toronto qui traquent depuis plusieurs années les activités de Pegasus, confirme que des ciblages et des infections de téléphones ont été détectés en France entre 2018 et 2021 et que le logiciel était piloté par un client de NSO Group au sein de l’appareil sécuritaire marocain.
De son côté, NSO Group conteste l’exactitude des informations publiées par les rédactions du « Projet Pegasus ». Le Maroc a quant à lui affirmé à plusieurs reprises, au Monde et à l’AFP, ne pas être client de NSO Group ni utilisateur de Pegasus.
Qu’il y ait eu ou non infection, la présence de ce numéro constitue un acte hostile du Maroc envers le chef d’un Etat ami et allié, dont les services de renseignement respectifs coopèrent de près, notamment en matière de lutte antiterroriste. Elle souligne aussi la vulnérabilité de la plus haute autorité de l’Etat à ce type d’attaque ultrasophistiquée que même Apple est incapable de déjouer. Les analyses techniques réalisées par le Security Lab d’Amnesty démontrent que Pegasus est capable d’infecter n’importe quel iPhone, y compris si les appareils fonctionnent avec les dernières mises à jour de sécurité. NSO Group revendique une quarantaine de clients dans le monde.
Le danger, avec Pegasus, c’est que le logiciel est beaucoup plus intrusif qu’une écoute téléphonique. Ce maliciel est capable de prendre le contrôle intégral du téléphone portable et d’en extraire n’importe quelle donnée : e-mails, répertoire, localisation, documents, photographies… Rien ne lui échappe, pas même les messages échangés par l’intermédiaire des messageries chiffrées. Il peut en outre et toujours de manière totalement furtive, activer le micro et la caméra.
Des députés également sélectionnés
Le président de la République est loin d’être le seul élu français à avoir intéressé les services marocains. Une analyse a permis de confirmer que la sélection des numéros d’au moins quinze ministres français en exercice à l’époque, dont celui du premier ministre, Edouard Philippe, était le fait du client marocain de NSO Group. Au-delà du gouvernement, plusieurs hauts responsables de partis et des députés figurent également dans la liste des cibles potentielles, dont l’influent député La France insoumise Adrien Quatennens. Deux personnages-clés de l’entourage d’Emmanuel Macron ont également été visés : Franck Paris, le conseiller du président de la République sur les questions africaines, et Alexandre Benalla, à l’époque où ce dernier, en tant que chargé de mission, s’occupait de la sécurité d’Emmanuel Macron.
Le ciblage d’Emmanuel Macron s’explique très certainement par la curiosité insatiable du Maroc pour son voisin et rival de toujours, l’Algérie. Pour le comprendre, il faut se replonger dans l’actualité de ce mois de mars 2019. A Alger, la situation est incertaine : Abdelaziz Bouteflika, homme fort du pays depuis vingt ans, fragilisé par des manifestations d’ampleur, annonce, le 11 mars, renoncer à sa candidature à un cinquième mandat présidentiel et repousse le scrutin, prévu en avril. La France redoute une déstabilisation du pays, qui, en plus de la fournir en gaz, est un avant-poste de la lutte contre le terrorisme dans la région. Paris anticipe même une éventuelle vague migratoire.
Selon les données que nous avons pu consulter, les services marocains s’intéressent aussi de très près à la situation à Alger, et le téléphone du président français est sélectionné comme une cible potentielle à la même période qu’un diplomate algérien de premier plan, Lakhdar Brahimi, figure respectée de la diplomatie internationale. Le 11 mars 2019, cet habitué des missions de médiation rencontre le président algérien. Le 13, plusieurs agences de presse annoncent qu’il a été choisi pour diriger la commission de transition appelée de ses vœux par M. Bouteflika. Une information qui sera ensuite démentie, mais qui fait de M. Brahimi une cible idéale pour comprendre les événements d’Alger. Tout comme Ramtane Lamamra, également diplomate, ciblé par l’utilisateur marocain de Pegasus à la même période sur deux de ses numéros de téléphone. Le 11 mars, il est nommé vice-premier ministre et ministre des affaires étrangères du nouveau gouvernement de Noureddine Bedoui. Le téléphone de ce dernier est également sélectionné comme cible.
Un autre homme est alors les yeux et les oreilles de Paris dans le pays : l’ambassadeur de France en Algérie, Xavier Driencourt. Emmanuel Macron l’a rappelé à Paris pour consultation, quelques jours après le début des manifestations, pour recueillir directement son analyse de la situation. Le numéro de M. Driencourt est sur la liste des numéros entrés comme cibles potentielles de Pegasus par les services marocains.
Emmanuel Macron a également pu être visé en raison de la tenue, dans les mois suivants, de deux sommets cruciaux pour la diplomatie marocaine : une réunion du G5 Sahel, dont le royaume n’est pas membre, mais où il doit être invité, et un sommet de l’Union africaine (UA). Durant cette période, Rabat s’intéresse à de nombreux responsables de la région, ministres des affaires étrangères et diplomates de pays-clés. Emmanuel Macron entreprend justement, en mars 2019, un voyage officiel en Afrique de l’Est, durant lequel il fait un crochet par Addis-Abeba, où se trouve le siège de l’UA, pour y rencontrer plusieurs de ses hauts responsables.
Peu de moyens de défense
Sur le papier, deux entités sont responsables de la protection numérique du chef de l’Etat. L’administration présidentielle, d’abord, qui travaille sous la supervision de l’Agence nationale de la sécurité des systèmes d’information (Anssi), responsable de la cybersécurité de l’Etat. La direction générale de la sécurité intérieure (DGSI), ensuite, dans le cadre de ses missions de contre-espionnage, en particulier dans le cyberespace.
Lorsqu’il s’agit de communications classifiées, tout est clair : le président de la République doit pouvoir, « en tous lieux et en tout temps », recevoir et envoyer des informations secret-défense. Il est ainsi accompagné, en France comme à l’étranger, de militaires et de civils spécialement formés pour mettre à sa disposition, par exemple, le Teorem, un téléphone ultrasécurisé conçu par Thalès. Dans les faits, ce système portatif, lourd, complexe et très peu commode, n’est utilisé que pour les communications les plus sensibles de la République, protégées par le confidentiel-défense et le secret-défense. En 2019, trente combinés Teorem ont été fournis aux personnes officiant à proximité du chef de l’Etat à l’Elysée.
Depuis 2017, le président de la République peut aussi disposer d’un téléphone sécurisé pour des discussions sensibles non classifiées : le CryptoSmart. Ce téléphone, un Samsung dont la sécurité a été durcie, est équipé d’une puce fabriquée par l’entreprise française Ercom. Il est capable de passer des appels et d’envoyer des SMS chiffrés. Il faut cependant que les deux correspondants soient équipés de l’appareil : si ce n’est pas le cas, le CryptoSmart envoie et reçoit des messages et appels standards. Ce moyen de communication n’est pas utilisé au quotidien par Emmanuel Macron.
Le statut précis des autres téléphones du chef de l’Etat est, lui, plus incertain. Sur le papier, l’Anssi et la DGSI ont une compétence pour les protéger et les analyser. Selon plusieurs sources, l’Anssi a déjà inspecté le téléphone du président de la République, notamment au retour de voyages à l’étranger, sans rien y trouver d’anormal. Ce travail d’analyse est cependant d’une infinie complexité : Pegasus est, par nature, un logiciel extrêmement furtif, doté par ses développeurs d’importants moyens de camouflage. Du reste, la complexité et le caractère très fermé du système d’exploitation d’Apple rendent l’analyse de ce qu’il s’y passe extrêmement ardue. La capacité du Security Lab d’Amnesty à le détecter est le fruit d’années de travaux spécifiquement consacrés à la compréhension du comportement du logiciel espion.
Quelles leçons la France tirera-t-elle du ciblage de son président ? L’Anssi n’a pas souhaité répondre à nos questions. Les autorités pourront se saisir de la méthodologie et des indicateurs techniques publiés dimanche 18 juillet par Amnesty International pour tenter de détecter, dans le téléphone présidentiel, d’éventuelles traces d’infection. Au-delà, et sauf à cesser totalement l’usage de smartphones modernes, il est compliqué de se défendre contre ce type d’intrusion. Il est par exemple impossible de modifier le logiciel faisant fonctionner les téléphones Apple pour y ajouter des dispositifs de sécurité conçus par l’Etat français. Et le logiciel de NSO Group dispose en permanence de plusieurs coups d’avance sur les défenses érigées par Apple.