Des centaines de milliers de chercheurs en cybersécurité employés par les plus grandes entreprises technologiques passent presque tout leur temps à rechercher et à corriger les failles de leur code logiciel. Les entreprises qui gèrent des produits et des solutions technologiques ont même des programmes de primes pour récompenser les chercheurs indépendants en cybersécurité pour avoir détecté des failles qu’ils ont peut-être manquées. Dans un tel écosystème, un outil cyber-offensif qui serait utilisé par les gouvernements du monde entier exigerait que l’outil trompe non seulement les cibles mais aussi la plate-forme à travers laquelle il est livré.
Le groupe israélien NSO, qui est au cœur de la surveillance présumée de l’État de milliers de militants des droits humains, d’avocats, de journalistes, de politiciens et de dissidents dans des pays comme l’Inde, a construit un tel outil — Pegasus, le logiciel espion le plus invasif au monde. Il peut trouver un itinéraire dans l’appareil d’une cible qui est inconnu du développeur de l’appareil et de son logiciel, et sans que la cible n’entreprenne d’action telle que cliquer sur un lien.
Pégase : les débuts
Selon un profil du groupe NSO publié par l’association française à but non lucratif Forbidden Stories, qui a publié le « Pegasus Project » avec ses partenaires médiatiques, la société a été créée par Shalev Hulio et Omri Lavie, des amis qui ont commencé avec une startup de placement de produit. MediaEt au début des années 2000. Le démarrage a été pratiquement balayé par la récession de 2008, mais Hulio et Lavie ont trouvé une opportunité lors du lancement en 2007 de l’iPhone d’Apple. Cela a marqué un tournant : les gens ont commencé à utiliser des appareils portables pour plus que des appels et des SMS à grande échelle.
Hulio et Lavie ont lancé Communitake, a rapporté Forbidden Stories, qui permet aux utilisateurs de prendre le contrôle de n’importe quel smartphone à distance. Cela était à l’origine destiné aux opérateurs mobiles, qui voudraient prendre le contrôle des appareils pour fournir un support technique. Mais à mesure que l’utilisation des smartphones se répandait et que le besoin de fournir des fonctionnalités de sécurité comme des services de messagerie cryptés se faisait sentir, cela représentait un défi pour les forces de l’ordre et les agences de renseignement.
Jusqu’à présent, les agences de renseignement interceptaient un message ou un appel alors qu’il était en transit sur les réseaux des entreprises de télécommunications. Mais les services cryptés signifiaient que sans la clé de cryptage, ils ne pouvaient plus accéder au message, à moins d’accéder à l’appareil lui-même et de décrypter la communication.
« Sans le savoir, Hulio et Lavie avaient résolu le problème pour eux : les agences pouvaient simplement pirater le téléphone lui-même, en contournant le cryptage et en leur donnant toutes les informations dont elles avaient besoin et plus encore. Comme le raconte Hulio, les deux entrepreneurs israéliens ont été approchés par des agences de renseignement intéressées par leur technologie. Hulio et Lavie connaissaient peu le monde opaque de la cyber-intelligence, mais ils ont décidé de tenter le coup. Ils ont fait appel à Niv Carmi, un ancien agent de renseignement et expert en sécurité du Mossad, et ont créé le groupe NSO en 2010. Le trio (Niv, Shalev et Omrie, ou NSO, en abrégé) fonctionnait avec des rôles clairs : Niv Carmi s’occupait de la technologie et Hulio et Lavie l’entreprise », a noté Forbidden Stories.
Spy-tech et zéro-clic
À partir de là, NSO a commencé à se concentrer sur la construction de Pegasus comme solution d’espionnage pour les agences de renseignement et les forces de police. Le récit qu’ils ont construit était que les agences gouvernementales l’utiliseraient pour lutter contre le terrorisme, le trafic de drogue, etc. Mais son premier client public connu – le Mexique – s’est ensuite doté d’outils de cyber-espionnage pour lutter contre le trafic de drogue, est allé au-delà du scénario. Forbidden Stories a rapporté que plus de 15 000 numéros ont été sélectionnés pour être ciblés par des agences mexicaines entre 2016 et 2017. Parmi ceux-ci se trouvaient des personnes proches du candidat de l’époque Andres Manuel Lopez Obrador, aujourd’hui président mexicain, ainsi que des journalistes, des dissidents, leurs collègues et les membres de leur famille.
« Le gouvernement mexicain a tellement aimé Pegasus qu’il a fini par équiper plusieurs de ses agences de l’outil logiciel espion : en plus du bureau du procureur général, le bureau de renseignement et l’armée mexicains ont également eu accès. À son tour, NSO Group a continué à proposer à ses clients des offres plus juteuses – chaque technologie plus sophistiquée que la précédente », a rapporté Forbidden Stories.
Cela a catapulté NSO Group au rang de leader de l’industrie des technologies d’espionnage, laissant derrière lui des poids lourds tels que les sociétés européennes Hacking Team et FinFisher.
Jusque-là, Pegasus utilisait des vecteurs d’attaque tels que des liens malveillants dans les e-mails et les SMS. Une fois cliqué, le lien installerait le logiciel espion, donnant au pirate un accès complet à l’appareil à l’insu de la cible. Ensuite, il est passé à infections « zéro clic ».
De telles infections, utilisées dans les hacks WhatsApp et iMessage, ne nécessitent aucune intervention de l’utilisateur final. Sur WhatsApp, un appel manqué sur la fonction d’appel vocal insérerait un code malveillant dans l’appareil. Avec iMessage, un bref aperçu du message a fait l’affaire.
Bulletin | Cliquez pour obtenir les meilleurs explicateurs de la journée dans votre boîte de réception
Clientèle plus large
En 2014, une société d’investissement privée basée aux États-Unis, Francisco Partners, a acheté NSO Group pour 120 millions de dollars. Avec cela, la société a commencé à se concentrer sur la recherche de vulnérabilités dans diverses applications utilisées par les consommateurs de smartphones. Cela l’a également aidé à gagner un plus large éventail de clients.
Un rapport de 2018 du Citizen Lab du Canada a révélé des infections suspectées de Pegasus associées à 33 des 36 opérateurs Pegasus identifiés dans 45 pays.
Le groupe NSO s’est également retrouvé dans la ligne de mire du meurtre du journaliste saoudien Jamal Khashoggi en octobre 2018. Quelques mois plus tard, en février 2019, Hulio et Lavie ont racheté la société à Francisco Partners avec l’aide de Novalpina, une société d’investissement soutenue par des investisseurs en capital-risque européens pour un montant de 850 millions de dollars.
À l’époque, Novalpina avait déclaré qu’elle veillerait à ce que la technologie du groupe NSO soit utilisée uniquement à des fins licites. Cependant, peu de changement. En juillet 2020, The Citizen Lab a écrit à la South Yorkshire Pensions Authority, qui a investi dans Novalpina, et a mis en évidence de nouvelles recherches montrant « l’utilisation de la technologie du groupe NSO contre la société civile, les médias, les défenseurs des droits humains et les membres de l’opposition politique ».
Un an plus tard, Forbidden Stories, Amnesty International et 17 partenaires médiatiques ont publié des rapports à partir d’une liste de 50 000 noms, dont des journalistes, des membres de l’opposition, des militants et même des membres de l’administration sélectionnés pour être surveillés à l’aide de Pegasus.
La réponse de l’ONS
Répondant aux questions de l’Indian Express, un porte-parole de l’ONS a déclaré que l’enquête « a été fragile depuis le début ». Le porte-parole a rejeté la liste comme « l’équivalent d’ouvrir les pages blanches, de choisir au hasard 50 000 numéros et d’en tirer les gros titres ». Le porte-parole a déclaré que « le rapport lui-même indiquait que » on ne sait pas combien de téléphones ont été ciblés ou surveillés « », et que « même le rédacteur en chef du Washington Post a déclaré que » le but de la liste ne pouvait pas être déterminé de manière concluante « .
Il est toutefois important de noter que le porte-parole a déclaré que la société enquêterait sur « toutes les allégations crédibles » d’utilisation abusive de sa technologie et prendrait des mesures énergiques, notamment en fermant le système du client, si cela se justifie.
« Le groupe NSO continuera d’enquêter sur toutes les allégations crédibles d’abus et de prendre les mesures appropriées en fonction des résultats de ces enquêtes. Cela inclut la fermeture du système d’un client, quelque chose que NSO a prouvé sa capacité et sa volonté de faire, en raison d’une mauvaise utilisation confirmée, a fait plusieurs fois dans le passé, et n’hésitera pas à le faire à nouveau si la situation le justifie », a déclaré le porte-parole. .