Projet Pegasus |De nombreux pays utilisent le logiciel espion israélien Pegasus pour cibler leurs propres concitoyens : militants, avocats, hommes politiques et journalistes. Révélations d’un consortium de journalistes créé par Forbidden Stories, dont fait partie la cellule investigation de Radio France. C’est sans doute l’affaire de cyberespionnage la plus importante depuis l’affaire Snowden. En 2013, on découvrait, sidéré, dans le contexte de l’après-11 septembre, que la NSA avait mis en place un système de surveillance mondialisé de données. Mais les révélations que Forbidden Stories et ses partenaires, avec le concours technique du Security Lab d’Amnesty International, sont en mesure de faire aujourd’hui semblent encore plus graves. Car elles montrent que cette surveillance n’est pas l’apanage d’un pays aux pratiques déviantes, aussi grand soit-il, mais qu’elle est généralisée et concerne tous types de nations.
Mexique, Inde, Maroc, Indonésie, Arabie saoudite, Émirats arabes unis, Kazakhstan, Azerbaïdjan, Togo, Rwanda et même la Hongrie, membre de l’Union européenne, des agences gouvernementales ciblent leur propres concitoyens, ainsi que des personnalités à l’extérieur de leurs pays. Seul tort de ces dernières : être des avocats, des journalistes, des diplomates, des médecins, des sportifs, des syndicalistes, de simples militants ou des hommes politiques, y compris des ministres et 13 chefs d’État ou de gouvernements (dont trois Européens comme nous le préciserons durant les jours prochains). »Ce que l’on voit avec le projet Pegasus est très différent et encore plus inquiétant que ce que l’on voyait dans l’affaire Snowden, estime Laurent Richard, le directeur de Forbidden Stories.
Ici, nous avons affaire à une société privée qui vend un logiciel extrêmement intrusif à des États connus pour leur politique répressive en matière des droits de l’homme et contre des journalistes. Et on voit clairement que ces États détournent cet outil pour l’utiliser contre ces populations-là ». Le logiciel espion dont il est question porte le nom très évocateur de « Pegasus ». Il n’est commercialisé qu’auprès d’États ou d’agences gouvernementales, avec l’aval du gouvernement israélien, par une société baptisée NSO, qui emploie 750 salariés à Herzliya, dans la banlieue de Tel-Aviv, mais aussi à Chypre et en Bulgarie. Officiellement, il a pour but d’aider les services de renseignement à lutter contre la criminalité.
Sur son site Internet, NSO précise qu’il « crée des technologies qui aident les agences gouvernementales à prévenir et à enquêter sur le terrorisme et les crimes, pour sauver des milliers de vie dans le monde ». Pour cela, Pegasus pénètre dans les smartphones, qu’ils fonctionnent sous le système d’exploitation d’Apple, iOS (y compris dans sa dernière version) ou celui de Google, Androïd. Il a ensuite accès à tout : contacts, photos, mots de passe. Il peut lire les emails, suivre les conversations, même sur les messageries chiffrées, géolocaliser l’appareil, et activer micros et caméras pour transformer le smartphone en véritable mouchard. « Nous nous engageons à vérifier le bon usage de notre technologie (…) et nous enquêtons sur toute allégation crédible d’un mauvais usage de nos produits », affirme NSO sur son site. Et il est vrai que la société a mis en place une adresse mail dédiée aux lanceurs d’alerte qui auraient des informations sur un possible détournement de l’usage de son logiciel.
Un consortium pour enquêter La réalité semble cependant éloignée de ce discours officiel. Nos confrères de Forbidden Stories l’ont très vite compris lorsqu’ils ont eu accès à une liste de plus de 50 000 numéros de téléphones entrés par 12 clients de NSO dans le système qui active Pegasus. Ils ont alors partagé cette liste, qui court sur plusieurs années après 2016, avec un consortium international qu’ils ont constitué avec 16 médias, parmi lesquels : le Washington Post aux États-Unis, le Guardian en Grande-Bretagne, le Süddeutsche Zeitung en Allemagne, la cellule investigation de Radio France et le journal Le Monde en France.
Pendant plusieurs mois, près de 80 journalistes ont analysé ces numéros de téléphone et identifié nombre de leurs propriétaires, dans une cinquantaine de pays. Certains ont accepté de nous confier leurs téléphones, car être sélectionné comme cible ne signifie pas forcément être attaqué ou infecté. Le Security Lab d’Amnesty International, partenaire technique du projet et spécialiste de l’analyse de ce type d’infection, a pu établir que sur 67 téléphones expertisés, 37 présentaient des traces d’attaque ou d’infection par le logiciel Pegasus. Cibles de Pegasus : les journalistes Parmi les numéros sélectionnés comme cible, nous avons pu comptabiliser plus de 180 journalistes.
Et si l’on devait établir un classement des pays les plus actifs avec Pegasus, le Mexique serait sans doute dans le peloton de tête. Là-bas, ce sont près de 15 000 numéros de téléphone qui ont été sélectionnés comme autant de cibles potentielles pour une attaque du logiciel espion. Parmi eux, celui de Cecilio Pineda, un journaliste assassiné en mars 2017, quelques semaines après l’apparition de son numéro dans le listing. Figurent aussi une vingtaine de membres des principaux médias de la capitale Mexico (dont El Tiempo, El Mundo et la télévision nationale), ainsi que des journalistes de publications locales, un chroniqueur de Bloomberg et un producteur de CNN. En Inde, ce sont 30 journalistes, dont cinq d’investigation, dix chargés de l’information internationale et huit spécialistes politiques, qui ont été sélectionnés parmi les cibles du logiciel espion.
Y a-t-il un lien de cause à effet ? Certains d’entre eux avaient enquêté sur le contrat controversé des 36 avions Rafales vendus en 2016 par la France au gouvernement indien. Ils étaient poursuivis par de grands groupes industriels proches du Premier ministre indien, Narendra Modi, dont Reliance Industrie, le partenaire de Dassault soupçonné d’être impliqué dans une affaire de corruption dans le cadre de la vente des Rafales.
Nos investigations nous ont aussi conduits en Arabie saoudite. Le journal israélien Haaretz avait déjà révélé que le royaume avait acheté le logiciel Pegasus en 2017, juste avant que Mohammed Ben Salmane n’entame une purge parmi près de 500 de ses opposants. Mais nos investigations démontrent qu’une partie de l’entourage et de la famille du journaliste Jamal Khashoggi, assassiné au consulat saoudien d’Istanbul le 2 octobre 2018, a été sélectionnée sur la liste de ses cibles potentielles après le meurtre, dont sa fiancée, son avocat, l’un de ses enfants et même le procureur en charge de l’enquête à Istanbul. Figurent aussi sur la liste des journalistes de la chaîne qatarie Al Jazeera.
En Hongrie, pays membre de l’Union européenne, même constat. Les numéros de dix avocats ont été rentrés dans le système Pegasus, ainsi que ceux de nombreuses personnalités, dont Zoltan Varga, le patron d’un grand groupe de médias indépendant, et deux journalistes de Direkt36, un site d’investigation indépendant de Budapest. Des Français ciblés La France n’est pas cliente de NSO. Mais plusieurs journalistes de l’hexagone figurent parmi les numéros sélectionnés. C’est le cas de deux journalistes de Mediapart, dont son fondateur, Edwy Plenel.
Parmi ces numéros sélectionnés se trouvent également ceux de Dominique Simonnot, l’actuelle contrôleuse générale des lieux de privations de liberté (CGLPL), qui jusqu’en 2020 était journaliste au Canard enchaîné, ou encore de Bruno Delport, le directeur de TSF Jazz, qui postula en 2019 à la présidence de Radio France. Y figurent encore ceux de confrères du Monde, de France 2, de France 24, de RFI, de Rosa Moussaoui de l’Humanité, d’un ancien responsable du bureau de l’AFP à Rabat, ainsi que du journaliste du Figaro Eric Zemmour.
L’analyse des données auxquelles nous avons eu accès nous a permis de démontrer que ces numéros de téléphone avaient été rentrés dans le système Pegasus par le Maroc, parfois compte tenu de leurs prises de positions considérées comme hostiles au régime ou de leur proximité avec des Marocains perçus comme des opposants, mais dans d’autres cas pour des raisons inconnues. Le Security Lab d’Amnesty avait déjà trouvé des traces d’infection du logiciel Pegasus dans le téléphone portable d’Omar Radi, le journaliste du site d’information indépendant Le Desk, officiellement accusé de viol et d’atteinte à la sécurité intérieure de l’État et emprisonné au Maroc depuis juillet 2020. Or le même laboratoire a pu démontrer que le téléphone d’Edwy Plenel a lui aussi été infecté, après qu’il a participé au festival culturel d’Essaouira en juin 2019, à l’invitation du Desk, où il a plaidé pour la libération des prisonniers du Rif, incarcérés après des manifestations en 2016.Outre ses fonctions de patron de média, Bruno Delport préside quant à lui le conseil d’administration de Solidarité Sida, une association qui démarrait des projets de prévention auprès de prostituées et de toxicomanes au Maroc lorsque son téléphone a été attaqué.
Au total, nous avons pu établir qu’au moins 35 numéros de journalistes ont été sélectionnés comme cibles par le Maroc. Et en deux ans, toutes professions confondues, ce sont plus de 10 000 numéros que l’utilisateur du logiciel de NSO dans ce pays a rentré dans le système, dont près de 1 000 correspondent à des citoyens français. En réponse à nos questions, l’ambassade du Maroc nous a adressé la réponse suivante : « Les autorités marocaines ne comprennent pas le contexte de la saisine par le consortium international de journalistes (Forbidden Stories) sollicitant les réponses et précisions du gouvernement marocain sur les outils de surveillance numérique de NSO group. »
Évoquant le cas d’Omar Radi, elle ajoute : « Les autorités marocaines demeurent depuis le 22 juin 2020 dans l’attente de preuves matérielles de la part d’Amnesty international qui a été incapable de prouver une quelconque relation entre le Maroc et NSO. »NSO argue de sa bonne foiEn octobre 2019, NSO avait déjà été fragilisé pour avoir rendu possible le piratage de 1 400 téléphones, en exploitant une vulnérabilité de la messagerie chiffrée WhatsApp. Une centaine de journalistes et des militants des droits de l’homme avaient alors été ciblés.
Facebook, maison mère de WhatsApp, avait déposé une plainte à laquelle s’étaient joints Google, Microsoft et d’autres sociétés informatiques. En décembre 2020, nos confrères du Guardian révélaient que des traces de Pegasus avaient été repérées dans les téléphones portables d’une douzaine de journalistes de la chaîne qatari Al Jazeera. Et en décembre 2020, le projet Cartel, déjà conduit par Forbidden Stories avec la cellule investigation de Radio France, avait documenté un dévoiement de Pegasus au Mexique. En réponse aux questions que nous lui avons adressées, NSO réaffirme qu’il a pour mission de sauver des vies. « Nous assurons cette mission avec détermination, en dépit de tentatives répétées de nous discréditer sur la base de fausses informations », explique le groupe.
Au regard de ce que nous révélons, peut-il pour autant continuer d’ignorer que de nombreux pays détournent sa technologie à d’autres fins que la prévention du crime organisé et du terrorisme ? Dans sa réponse, la société ajoute : « _NSO Group continuera d’enquêter sur toute allégation de mauvais usage (de Pegasus), et nous prendrons des décisions en fonction des résultats de ces enquêtes. Cela peut aller jusqu’à fermer l’accès de notre système à nos clients … Ce que nous avons déjà fait par le passé de nombreuses fois et que nous n’hésiterons pas à refaire si nécessaire. »_
France Culture