En juillet 2021, une enquête journalistique collaborative internationale a révélé l’une des plus grandes affaires de cyber surveillance jamais vue : le scandale Pegasus. Ce dernier est l’occasion, pour le grand public, de découvrir les capacités du logiciel Pegasus mais également des logiciels espions en général. Il apparaît désormais clairement que ces derniers ont la possibilité d’intercepter et de récupérer les données les plus sensibles d’un téléphone et même d’activer le microphone ou la caméra d’un appareil mobile sans difficulté.
A l’origine, le logiciel espion Pegasus a été développé par une entreprise israélienne, NSO Group, qui l’a commercialisé dans plus de 40 pays. L’enquête mené sur le sujet, le « Projet Pegasus », démontre que les premières traces d’intrusion remontent à 2016. Parmi les victimes du logiciel espion se retrouvent des personnalités politiques, des journalistes ou encore des dirigeants d’entreprise.
Afin de vous aider à mieux comprendre cette affaire tentaculaire, Techopedia revient sur le scandale Pegasus, de ses origines à son déroulement en passant par ses impacts judiciaires, politiques et financières.
-
- Le Projet Pegasus : les résultats des investigations du consortium Forbidden Stories
- Plusieurs pays utilisateurs du logiciel espion
- Une enquête de grande envergure et à l'échelle internationale
- Des conclusions qui identifient Pegasus comme le logiciel responsable
- NSO Group : plusieurs scandales déjà à son actif
-
- Le Projet Pegasus : les résultats des investigations du consortium Forbidden Stories
- Plusieurs pays utilisateurs du logiciel espion
- Une enquête de grande envergure et à l'échelle internationale
- Des conclusions qui identifient Pegasus comme le logiciel responsable
- NSO Group : plusieurs scandales déjà à son actif
- Montrer Tout
Qu’est-ce que Pegasus ?
NSO Group : l’industriel derrière Pegasus
Derrière le logiciel espion Pegasus, qui a tant fait parler, se cache la société israélienne NSO Group. L’entreprise est spécialisée dans la conception et le développement d’équipements de pointe dans la lutte contre le terrorisme et le crime organisé.
Bien que ce type de données soit confidentiel, NSO Group affirmait, avant le scandale, traiter avec une quarantaine d’états qui entretiennent tous des relations diplomatiques avec Israël. Parmi ses clients officiels, il est possible de citer le Mexique, l’Espagne, la Hongrie ou encore l’Allemagne. Aux dernières nouvelles, 26 états utilisaient encore les services de l’entreprise en 2022.
Un coût massif pour l’utilisateur
Le logiciel Pegasus fait précisément partie de ses créations et a commencé à être commercialisé en 2013. Pour l’utiliser, chaque client doit acquérir au préalable une licence dont le tarif atteint 25 000 $ par cible en moyenne. A ce prix s’ajoutent ensuite les frais d’installation (500 000 $ environ) et le coût du forfait qui s’élève à 650 000 $ pour la surveillance de 10 appareils mobiles. Pour 100 cibles supplémentaires, la facture peut s’alourdir de 800 000 $ supplémentaires.
Pegasus : une « arme » à part entière
Toutefois, Pegasus n’est absolument pas un logiciel comme les autres. Pour preuve, son processus de commercialisation n’a rien à envier à celui d’une arme de guerre. En effet, sa vente est conditionnée à la validation du ministère israélien de la Défense et à l’attribution d’une licence d’exportation.
Autre particularité liée à l’exploitation de Pegasus et qui relève directement de la sécurité nationale d’Israël, le logiciel espion ne peut cibler les 5 pays réunis au sein de l’alliance « Five Eyes ». Ces pays sont :
- le Canada,
- les Etats-Unis,
- le Royaume-Uni,
- l’Australie
- et la Nouvelle-Zélande.
Compatibilité avec les systèmes d’exploitation
Le logiciel espion Pegasus a, certes, un mode de fonctionnement évolutif, mais ce dernier est destiné en premier lieu à servir sur les systèmes d’exploitation Android et iOS. Le logiciel exploite précisément les failles sécuritaires de ces deux systèmes.
Pour installer Pegasus sur l’appareil cible, l’opération peut se faire de différentes façons :
- Manuellement dans le cas où l’appareil est en possession du client
- Par redirection internet (redirection vers un autre URL à l’insu de l’utilisateur cible)
- Par spear phishing (la cible clique sur un lien envoyé par SMS ou par message)
- Par « Zero click » (installation sans action de la cible grâce à la vulnérabilité de certains logiciels présents sur l’appareil)
- Par émission-réception sans fil
Les principales fonctionnalités de Pegasus
Le logiciel espion possède plusieurs fonctionnalités avancées qui permettent au commanditaire d’avoir accès à un vaste panel de données en provenance de l’appareil ciblé.
Parmi les données interceptées et récupérées figurent notamment :
- Le contenu des SMS et des messages transmis et reçus,
- Le répertoire des contacts de l’utilisateur de l’appareil,
- Les données de géolocalisation.
- Pegasus peut même procéder à l’activation à distance du micro et de la caméra du smartphone,
- Ainsi qu’à l’enregistrement des conversations.
Les publications sur les réseaux sociaux, les photos ainsi que les vidéos stockés dans l’appareil n’échappent pas non plus au logiciel. Des applications très populaires telles que Facebook, Skype ou encore WhatsApp sont également des sources de données importantes pour le logiciel.
Pour couronner le tout, Pegasus peut même enregistrer l’intégralité des frappes de clavier et réaliser des captures d’écran à n’importe quel moment.
Un logiciel indécelable et à la pointe de la technologie
L’un des aspects techniques qui rend Pegasus si singulier, outre son haut degré de sophistication, est sa modularité poussée à l’extrême.
Effectivement, les services disponibles pourront être personnalisés selon le pays dans lequel il est utilisé et les objectifs finaux du client.
De même, le logiciel espion est conçu pour déjouer tous les outils de détection de sécurité classiques. En plus de recourir à un chiffrement spécial, Pegasus possède son propre système d’autodestruction. Les dernières versions du logiciel viennent directement s’installer dans la mémoire vive de l’appareil et non plus dans la mémoire permanente, ce qui le rend encore plus furtif et indétectable.
Qu’a révélé l’affaire Pegasus ?
Les premières révélations de l’enquête désormais célèbre dénommé « Projet Pegasus » sont dévoilées dès juillet 2021. Ces informations provoquent un séisme sur la scène internationale et suscite de nombreuses questions autour de l’affaire. Qu’il s’agisse des états ayant été clients du logiciel espion (Hongrie, le Maroc, l’Azerbaïdjan, le Togo, le Rwanda, l’Inde, l’Indonésie, les Emirats arabes unis, le Kazakhstan et l’Arabie Saoudite) ou du nombre et de la qualité des victimes présumées, le scandale expose en pleine lumière un secteur d’activité étant resté pendant longtemps dans l’ombre : le marché de l’espionnage numérique !
Le Projet Pegasus : les résultats des investigations du consortium Forbidden Stories
A l’origine des révélations relative à l’utilisation du logiciel espion Pegasus se trouve un collectif de journalistes réunis autour du consortium « Forbidden Stories ». L’enquête menée par ce dernier avec l’appui technique du Security Labs d’Amnesty International aboutit aux conclusions suivantes : le logiciel espion Pegasus a été utilisé par 11 états à des fins de surveillance d’opposants, de journalistes, de militants ou encore de juges.
Plusieurs pays utilisateurs du logiciel espion
Suite aux premières révélations, les informations suivantes ont permis d’en savoir un peu plus sur les victimes et, surtout, sur les commanditaires qui ont fait une telle utilisation du logiciel espion à des fins politiques. Parmi les états ayant été accusés d’avoir fait usage de Pegasus figurent :
- la Hongrie,
- le Maroc,
- l’Azerbaïdjan,
- le Togo,
- le Rwanda,
- l’Inde,
- l’Indonésie,
- les Emirats arabes unis,
- le Kazakhstan
- et l’Arabie Saoudite.
Sans surprise, les pays incriminés nient en bloc les révélations du Projet Pegasus.
Au total, ce sont onze Etats qui sont accusés d’avoir fait un usage politique de Pegasus par le biais de leurs gouvernements et/ ou de leurs services secrets respectifs). A noter qu’en Europe, la Hongrie constitue le seul pays de l’Union à être mis en cause malgré des démentis formels de la part des autorités locales.
Une enquête de grande envergure et à l’échelle internationale
Pour arriver à de telles conclusions, le Projet Pegasus a basé son enquête sur l’analyse de 50 000 numéros de téléphone qui étaient potentiellement espionnés par le logiciel de NSO Group. Pour mener à bien un travail aussi titanesque, pas moins de 17 médias internationaux ont collaborés, dont Radio France et Le Monde pour la contribution française. L’expertise d’Amnesty International a été nécessaire pour réaliser l’analyse de la quantité phénoménale de données recueillies à cette occasion.
Des conclusions qui identifient Pegasus comme le logiciel responsable
Après ce vaste travail d’analyse, Forbidden Stories parvient à identifier l’espionnage des téléphones derrière ces opérations de cyber surveillance de grande ampleur : Pegasus ! Très vite, le haut potentiel et les fonctionnalités du logiciel tout comme l’entreprise qui est derrière, NSO Group, font l’objet de toutes les attentions de la part des médias et le grand public en apprend davantage sur l’espionnage numérique à grande échelle.
NSO Group : plusieurs scandales déjà à son actif
Le Projet Pegasus a encore plus de résonnance mondiale quand le public découvre que l’entreprise israélienne a connu d’autres scandales avant le séisme de l’enquête de Forbidden Stories.
En effet, la société fait parler d’elle dès 2016 lorsqu’éclate au grand jour une affaire impliquant un militant émirien des droits humains, Ahmed Mansoor. Ce dernier, lauréat 2015 du prix Martin Ennals, sollicite le laboratoire Citizen Lab et la société Lookout après avoir reçu deux SMS suspects sur son iPhone 6. Les investigations menées par ces experts révèleront que l’intéressé était ciblé par le logiciel espion Pegasus.
Autre affaire impliquant NSO Group, celle de l’espionnage du journaliste saoudien Jamal Khashoggi qui a été sauvagement assassiné en 2018. Bien que l’entreprise nie en bloc son implication, c’est un autre scandale dans lequel son nom est cité.
Qui a été espionné dans l’affaire Pegasus ?
Le Projet Pegasus nomme clairement les cibles principales du logiciel espion dans ce vaste scandale planétaire : des politiques et des diplomates, des journalistes et des militants des droits de l’homme mais aussi des entrepreneurs et des personnalités influentes.
Pour revenir aux 50 000 numéros de téléphone issus de 20 pays sur lesquels s’est fondée l’enquête, il est possible de dénombrer près de 200 journalistes, 85 militants, 65 dirigeants d’entreprises et plus de 600 personnalités politiques (dont plusieurs chefs d’Etat). Ces attaques sur les smartphones se sont déroulées entre 2016 et juillet 2021, moment clé de la révélation du scandale.
La France n’échappe pas à la polémique puisque l’on dénombre plus de 1 000 victimes potentielles. Et pas des moindres puisque parmi les noms cités dans l’enquête figure celui du chef de l’Etat, Emmanuel Macron, mais également certains de ses ministres de l’époque (Edouard Philippe, Bruno Lemaire, Sébastien Lecornu, Jean-Michel Blanquer, etc.).
Sa voisine l’Espagne a également été largement entachée par le scandale Pegasus puisque le Premier ministre Pedro Sànchez et le ministère de l’Intérieur font parties des personnalités qui ont été espionnées par le logiciel.
Des institutions considérablement affaiblies
Les révélations du Projet Pegasus sont bien évidemment désastreuses sur la scène internationale. Plus que le fait de mettre en lumière l’ampleur de la cyber surveillance de masse, c’est la légitimité et la fiabilité des Etats qui sont remises en cause.
Pour l’opinion publique, NSO Group comme ses concurrents ne sont plus vus comme des acteurs de la lutte contre le terrorisme et le crime organisé mais comme de simples entreprises à but lucratif basées sur le mensonge. A cent lieues de leurs nobles objectifs initiaux de sauver des vies et de promouvoir la paix, ces sociétés sont aujourd’hui considérées comme des pourvoyeurs d’outils d’espionnage de cibles qui ne sont absolument pas légitimes.
Quelles furent les réactions des gouvernements au scandale Pegasus ?
Sans surprise, le Projet Pegasus a provoqué un tremblement de terre sur la scène internationale dès ses premières révélations publiques. Les réactions et déclarations des gouvernements comme des grandes institutions ne se sont pas faites attendre.
Du côté d’Amnesty International, ONG contributrice de l’enquête menée par Forbidden Stories, ce scandale révèle la nécessité de mettre en place un cadre réglementaire adapté au niveau mondial.
Des condamnations unanimes
A l’image de la présidente de la Commission Européenne, Ursula von der Leyen, qui déclare qu’en cas de faits avérés, « la situation est complètement inacceptable », les réactions politiques et condamnations s’enchaînent dans les jours suivant les premières révélations du Projet Pegasus.
De son côté, Gabriel Attal, porte-parole du gouvernement à l’époque, rappelle l’attachement de l’Etat français à la liberté de la presse et promet des enquêtes à venir sans en préciser toutefois les modalités pratiques, ni les détails. De façon plus général, la grande majorité des dirigeants de pays victimes du logiciel espion condamne les faits révélés et promet des mesures judiciaires à brèves échéances.
En ce qui concerne les Etats mis en cause dans le dossier, tels que la Hongrie ou le Maroc, leurs dirigeants ne tardent pas à diffuser des communiqués qui déclarent les allégations de l’enquête comme mensongères.
La cyber surveillance : un sujet plus sensible que jamais
Alors que l’ONG Amnesty International ne réclame rien de moins qu’un moratoire sur les ventes d’équipements de surveillance tels que le logiciel espion Pegasus et les malwares, les gouvernements semblent, de leur côté, relativement frileux à avancer sur le sujet.
La question de la mise en place d’un cadre réglementaire dans ce secteur est d’autant plus complexe que les exportations d’armes conventionnelles et de technologies à double usage sont administrées depuis 1996 par l’arrangement de Wassenaar. Le hic réside dans le fait que l’accord a été signé par 42 Etats seulement et avec de grands absents comme Israël ou le Maroc. De même, l’arrangement n’intègre pas des équipements de cybersurveillance à l’image de Pegasus.
Toujours selon Amnesty International selon sa porte-parole, Katia Roux, « il n’existe pas de réelle volonté politique actuellement pour faire évoluer le sujet et instaurer une régulation de ce secteur en pleine explosion ». La position de la France est d’autant plus délicate que plusieurs acteurs français disposent aujourd’hui d’un positionnement important sur le marché de la cyber surveillance.
Quelles ont été les impacts de l’affaire Pegasus ?
Le Projet Pegasus a généré un véritable big-bang à l’échelle mondiale et le scandale met en lumière différentes dérives qui étaient restées jusque-là totalement méconnues du grand public. A l’issue de plus de 6 mois d’investigations, Forbidden Stories a mis en lumière une réalité glaçante : l’exportation et la vente de technologies aussi innovantes qu’intrusives que les logiciels espions échappent à toute régulation et tout contrôle et même les pays autoritaires peuvent utiliser de tels outils. Les retombées de l’affaire Pegasus ont été autant d’ordre politiques que judiciaires.
De nombreuses enquêtes en cours d’instruction
Que cela soit en France, en Inde ou encore aux Etats-Unis, d’innombrables plaintes ont été ouvertes. Parmi les plus médiatiques, nous pouvons citer en France celles de Mediapart et du Canard enchaîné, dont certains journalistes faisaient parties de la liste des victimes espionnées.
En Inde, c’est la Cour suprême elle-même qui a ouvert une enquête à l’encontre des forces de sécurité du pays qui auraient employé le logiciel espion afin de surveiller différents opposants politiques et journalistes. Sans surprise, l’un des principaux opposants du régime, Bharatiya Janata Party, leader du Parti du peuple indien, comptait parmi les personnes étroitement surveillées.
De son côté, le Parlement européen a également pris toute la mesure de cette affaire à travers l’ouverture d’une enquête. Notez que plusieurs hauts responsables européens tels que Didier Reynders ont, eux aussi, été espionnés. La commission mise en place à cette occasion porte, parmi ces différentes propositions, un moratoire sur les logiciels espions comme Pegasus.
D’autres plaintes et enquêtes ont également été ouvertes dans d’autres pays touchés par le scandale Pegasus. C’est le cas notamment des Etats-Unis, de l’Algérie et du Maroc.
Des scandales politiques en cascade
Au niveau politique, les révélations du Projet Pegasus provoquent de nombreuses crises politiques dans les pays touchés par l’affaire.
- Parmi les cas les plus emblématiques, citons le cas de la Pologne où le gouvernement a fini par reconnaître avoir espionné plusieurs députés de l’opposition.
- En Espagne, l’affaire a durablement terni l’image des services de renseignement du pays, notamment après l’utilisation de Pegasus sur les smartphones de certains responsables du mouvement indépendantiste catalan.
- Quant au gouvernement israélien, qui a recueilli d’innombrables plaintes en raison de l’origine de NSO Group, ce dernier a tenté de calmer les esprits via le durcissement de sa politique d’attribution des licences de logiciels espions.
NSO Group sanctionné … mais dont les affaires demeurent florissantes
Bien évidemment, compte-tenu de sa responsabilité majeure dans le Projet Pegasus, NSO Group a bien évidemment connu quelques complications judiciaires et commerciales très rapidement après les divulgations de l’affaire. A titre d’illustration, l’entreprise a été intégrée dans la liste noire du département du commerce des Etats-Unis.
L’entreprise a notamment connu une période de fortes turbulences durant laquelle celle-ci a changé de directeur à deux reprises. En parallèle, les dettes se sont accumulées pour la société en proie à une vindicte populaire. Pour calmer la colère, NSO Group a, par ailleurs, restreint le nombre de pays dans lesquels son logiciel espion vedette peut être déployé.
Toutefois, il serait prématuré d’enterrer trop rapidement l’entreprise. En effet, de nombreuses sources journalistiques affirment que NSO Group compte encore aujourd’hui de nouveaux clients et pas des moindres puisque parmi eux figurent, par exemple, le FBI, la Thaïlande et le Salvador qui ont, tous trois, acquis une licence de Pegasus. En clair, les affaires semblent reprendre pour la société israélienne…
S’il n’est pas encore possible aujourd’hui de connaître précisément l’issue des nombreuses procédures judiciaires et enquêtes lancées à la suite de l’explosion du scandale Pegasus, une chose est néanmoins sûre : le Projet Pegasus et les investigations du Forbidden Stories se sont vus récompenser à plusieurs reprises et parmi les distinctions reçues peut être cité le prix pour la liberté de la presse 2021 attribué par Reporters sans frontières.