L’entreprise s’est imposée en dix ans comme le leader de la surveillance téléphonique. Les scandales de violation des droits de l’homme qui éclatent depuis plusieurs années ne freinent pas son ascension.
Vu de l’extérieur, le téléphone semble parfaitement normal. Les notifications éclairent l’écran, tandis que les échanges s’empilent dans les applications de messagerie. Les appels sont parfaitement audibles, la navigation sur Internet est fluide et l’appareil photo fonctionne. Rien ne permet de deviner qu’un logiciel espion ultrasophistiqué est en train, subrepticement, de s’introduire dans le téléphone pour en prendre le contrôle. Cette discrétion est le principal avantage d’une arme numérique d’un nouveau genre, un logiciel espion nommé Pegasus.
Le consortium de journalistes Forbidden Stories et Amnesty International ont pu consulter plus de 50 000 numéros de téléphone sélectionnés comme des cibles potentielles de ce programme malveillant, pour le compte de plusieurs Etats, et l’ont partagé à seize médias, dont Le Monde. Parmi ces cibles, ce ne sont pas les membres de groupes terroristes ou d’organisations criminelles qui dominent, mais des avocats, des journalistes, des activistes, sans compter des chefs d’Etat, des diplomates et des hauts responsables de services de renseignement, issus de cinquante pays.
Une fois inséré dans un smartphone, que ce soit un iPhone ou un Android, Pegasus ne permet pas seulement d’écouter les appels passés et reçus par les téléphones qu’il infecte. A l’époque des messageries chiffrées, les écoutes téléphoniques n’offrent qu’un intérêt relatif. Le logiciel va beaucoup plus loin, en permettant d’absorber tout le contenu d’un téléphone : photos, courriels, contacts, SMS, et même les messages échangés par le biais d’applications sécurisées telles que Signal ou WhatsApp. Il dispose par ailleurs de quelques fonctionnalités à la James Bond, comme la possibilité d’activer, à distance, le micro du téléphone.
Contrairement à la plupart des outils de cybersurveillance, Pegasus n’a été conçu ni par un pirate informatique isolé ni par des agents d’un service d’espionnage russe, américain ou chinois. Il s’agit du produit-phare d’une entreprise privée, NSO Group, que cette dernière a déjà vendu à une quarantaine d’Etats dans le monde. Cette société israélienne – l’enquête menée par Le Monde et Forbidden Stories démontre qu’elle a mis entre les mains d’Etats peu scrupuleux un outil corrosif pour les droits de l’homme –, s’est imposée en quelques années comme la figure de proue de la très secrète industrie de la surveillance numérique.
Hackeurs d’élite
NSO, c’est avant tout l’histoire de « N », de « S », et de « O », pour Niv Carmi, Shalev Hulio et Omri Lavie, ses trois cofondateurs. Lorsqu’ils créent l’entreprise, en 2009, ils sont bien loin de la surveillance numérique. Leur start-up développe une technologie capable de reconnaître des objets dans une vidéo et de proposer au spectateur un lien pour les acheter.
En parallèle, ils s’impliquent dans la société Communitech, qui développe un outil permettant aux services après-vente des opérateurs téléphoniques de se connecter à distance sur les téléphones de leurs clients, avec leur consentement. Shalev Hulio raconte à qui veut l’entendre que, en marge d’un salon professionnel en Europe, un service de renseignement occidental lui a fait comprendre que cette technologie pouvait être fort utile aux espions.
Niv Carmi prend rapidement du champ et Shalev Hulio et Omri Lavie se consacrent bientôt à plein temps à NSO Group. Les deux chefs d’entreprise, qui se sont rencontrés à l’adolescence, ne sont ni des geeks ni des espions. S’ils ont tous deux porté l’uniforme de l’armée israélienne, ils n’ont pas servi dans la célèbre unité 8200, qui rassemble les hackeurs d’élite, parmi les plus doués du monde. Shalev Hulio a fait son service militaire dans une unité de recherche et de sauvetage, Omri Lavie dans l’artillerie. Mais ils ont une vision, et savent s’entourer.
Au fil des années, NSO embauche des hackeurs, souvent issus de l’unité 8200, capables de découvrir des failles informatiques cachées dans des millions de lignes de code et de créer de puissants logiciels pour les exploiter. Mais la société recrute aussi des vétérans de l’appareil sécuritaire israélien, notamment d’anciens militaires ou officiers des services secrets, capables d’ouvrir avec leur carnet d’adresses les portes des services de renseignement du monde entier et d’obtenir, auprès de l’administration israélienne, les autorisations nécessaires pour exporter leurs produits.
Au début des années 2010, Pegasus séduit un premier client : le Mexique, qui sera, au fil des ans, l’un des plus fidèles acheteurs de NSO. Chaque client est désigné par un nom de code interne : pour le Mexique, ce sera « Maria ». Dans cet Etat fédéral qui compte de très nombreuses forces de sécurité et fait face à une corruption et à une violence endémiques, nombre d’agences de maintien de l’ordre rêvent d’avoir accès à un puissant logiciel espion. Plusieurs clients différents, dans le pays, l’utiliseront pour lutter contre le narcotrafic, mais aussi pour placer sous surveillance avocats, journalistes et opposants politiques.
Pendant ses premières années d’existence, NSO reste loin de la lumière médiatique – tout comme les violations des droits de l’homme commises par certains de ses clients.
Tout change avec Ahmed Mansoor : cet activiste émirati, très critique du régime, se sait sous surveillance. Aussi, lorsqu’il reçoit en 2016 un message louche sur son iPhone, il se tourne vers le Citizen Lab, un département de l’université de Toronto, au Canada, spécialisé dans l’analyse des logiciels espions. Ces experts découvrent que Pegasus se cache derrière le lien contenu dans le message suspect. S’il avait cliqué, le programme espion aurait profité de plusieurs failles de sécurité présentes dans son iPhone, et jusqu’alors inconnues, pour s’introduire dans son téléphone.
La découverte du fait qu’une entreprise est capable d’identifier et d’utiliser ce type de failles, ce qui est rarissime et très coûteux, place NSO sur les radars et créé une onde de choc dans le milieu de la sécurité informatique. L’année suivante, le Citizen Lab révèle que des députés et des activistes mexicains défendant une taxe sur les sodas ont été pris pour cible par ce même Pegasus.
Ahmed Mansoor est la première victime civile d’une longue liste, dont l’existence sera révélée au fil du temps et dans laquelle figurent des dizaines de journalistes, de militants d’Amnesty International, d’indépendantistes catalans ou de prêtres togolais. Une liste encore très partielle, mais qui dessine déjà les contours d’un outil largement utilisé pour enfreindre les droits de l’homme, loin des promesses de NSO Group d’un outil destiné à l’antiterrorisme et à la lutte contre la criminalité.
Fin 2018, NSO devient mondialement célèbre. L’entreprise se trouve indirectement impliquée dans un scandale majeur : l’assassinat, le 2 octobre, dans le consulat d’Arabie saoudite en Turquie, du dissident et journaliste saoudien Jamal Khashoggi. Début décembre, un ami de celui-ci, Omar Abdulaziz, exilé à Montréal (Canada), porte plainte contre NSO : le Citizen Lab a examiné son téléphone et conclu qu’il avait été infecté par Pegasus pour le compte de l’Arabie saoudite. Des centaines de messages, très critiques du prince héritier Mohammed Ben Salman, que Jamal Khashoggi lui avait envoyés ont donc pu être consultés par les services saoudiens.
Symbiose avec le gouvernement israélien
« Le piratage de mon téléphone a joué un rôle majeur dans ce qui est arrivé à Jamal, et j’en suis désolé. La culpabilité me ronge », confie Omar Abdulaziz à la chaîne américaine CNN. NSO nie en bloc : il n’existe « aucune preuve », rétorque l’entreprise, que son logiciel ait été utilisé contre M. Abdulaziz ou M. Khashoggi.
Les données analysées par Le Monde et Forbidden Stories dans le cadre du « Projet Pegasus » montrent en tout cas que, après l’assassinat du journaliste saoudien, son entourage proche, dont sa femme et plusieurs de ses amis – mais aussi le procureur turc chargé de l’enquête – ont été visés par Pegasus. Elles semblent également montrer que la fourniture de Pegasus à l’Arabie saoudite a cessé après l’assassinat de M. Khashoggi. Après la mort du journaliste, NSO aurait même souhaité rompre définitivement son contrat avec Riyad. Sans succès : la coupure ne durera que quelques mois.
Plusieurs sources de haut niveau ont confirmé à Forbidden Stories que l’accès de l’Arabie saoudite avait été rétabli à la demande du gouvernement israélien, pour des raisons diplomatiques. NSO Group fonctionne en effet en symbiose avec l’exécutif, et plus particulièrement avec le ministère de la défense. C’est lui qui décide, par le biais d’autorisations d’exportation, à qui NSO peut vendre Pegasus. Il est aussi aux petits soins d’une entreprise perçue comme plus « raisonnable » que certaines de ses rivales.
En contrepartie, NSO respecte à la lettre les consignes ; son logiciel ne peut pas, par exemple, cibler les numéros d’un certain nombre de pays jugés trop sensibles. « Les Israéliens ont dit qu’il y avait trois juridictions avec lesquelles il ne fallait pas déconner : les Etats-Unis, Israël et les Russes », raconte à Forbidden Stories, sous le couvert de l’anonymat, une source proche de NSO Group.
Pegasus est perçu comme un outil tellement précieux par certains de ses clients qu’il est devenu un instrument de « soft power » pour l’Etat hébreu. Le logiciel espion a parfois été vendu à des pays juste avant le rétablissement de relations diplomatiques avec Israël – ce fut le cas pour le Maroc. Les intérêts géostratégiques d’Israël priment ; dans ces conditions, les considérations liées aux droits humains passent au second plan, comme le prouve la fourniture de Pegasus à des pays au lourd passif en matière de violation de ces droits, dont le Maroc, le Kazakhstan ou l’Azerbaïdjan.
Pourtant, à écouter Shalev Hulio, son logiciel espion est uniquement utilisé par les gouvernements pour lutter contre le terrorisme et la criminalité organisée. « Dans les six derniers mois, nos produits ont été utilisés pour contrer plusieurs projets d’attentats de grande ampleur en Europe, utilisant des voitures ou des kamikazes, affirmait-il, le 11 janvier 2019, dans un rare entretien au quotidien Yedioth Aharonot. En toute modestie, je peux dire que des milliers de personnes en Europe doivent leur vie à nos employés. » Des assertions totalement invérifiables ; les données consultées et analysées par Forbidden Stories et Le Monde montrent que certains clients utilisent bien, en partie, Pegasus pour la lutte contre le terrorisme ou le crime organisé. Dans l’un des pays clients, l’outil sert à la fois à la surveillance de religieux radicaux… et de militants politiques. Pour beaucoup d’autres clients, seule une infime partie de l’activité de Pegasus semble liée à la lutte antiterroriste.
Par le passé, lorsque l’entreprise a été confrontée à des victimes de son logiciel qui étaient avocats, journalistes, opposants politiques ou militants des droits de l’homme, elle a toujours affirmé que ces cibles étaient des victimes collatérales d’opérations légitimes de surveillance ou des dérapages de clients peu scrupuleux. L’enquête menée par les médias du consortium Forbidden Stories démontre en fait que l’utilisation de Pegasus par de nombreux clients de l’entreprise est totalement dévoyée.
Pourtant, NSO affirme avoir mis en place un strict cadre éthique, avec notamment l’installation d’un comité interne qui examine chaque vente et ses conditions. Le 1er juillet, l’entreprise a publié son premier « rapport de transparence », un document long de trente pages empli de graphiques et d’encadrés colorés censé faire la lumière sur les pratiques éthiques de NSO. L’entreprise y assure être « régulée très strictement par les autorités des pays d’où [elle exporte ses] produits », affirme avoir établi une liste de cinquante-cinq pays auxquels elle ne vendra jamais ses outils et jure avoir formé tous ses employés au respect des droits humains. Selon ce rapport, NSO aurait interrompu les contrats de cinq de ses clients, sans préciser lesquels.
L’entreprise y détaille également un complexe système d’évaluation des risques, utilisé, explique-t-elle, pour attribuer une « note » à ses clients potentiels, qui permet d’évaluer « objectivement » les risques d’atteintes aux droits de l’homme.
Que sait NSO Group de l’utilisation de Pegasus par ses clients ? Officiellement, l’entreprise affirme ne pas avoir d’accès direct aux données issues de la surveillance opérée par Pegasus ni au détail des cibles que choisissent ses clients. Pourtant, selon plusieurs sources, l’entreprise est en contact très rapproché, parfois quotidien, avec ses clients afin de résoudre divers problèmes techniques. NSO Group impose aussi parfois des limites à ses clients, en cantonnant l’utilisation de Pegasus à certaines zones géographiques.
Selon NSO, ce n’est que lorsqu’une utilisation indue de leur logiciel est suspectée que l’entreprise peut avoir accès à la liste des cibles. Une liste qui existe donc bel et bien, au moins a posteriori.
Infection invisible et silencieuse
Aux débuts de Pegasus, il fallait, pour installer le logiciel espion sur un téléphone, convaincre son utilisateur de cliquer sur un lien vérolé. Plus tard, Pegasus a pu être installé sans action de la part de sa victime, mais avec la complicité des opérateurs téléphoniques chargés de réaliser l’infection. Aujourd’hui, et selon les constatations techniques du Security Lab d’Amnesty, Pegasus est capable d’entrer dans un iPhone de manière parfaitement invisible et silencieuse, sans aide extérieure. C’est notamment le cas de certaines attaques observées début 2021 : Pegasus profitait de défauts dans le système de messagerie des iPhone, iMessage. Les détails de cette faille ont été transmis à Apple par Amnesty international et Forbidden Stories.
Le succès de NSO repose en grande partie sur sa capacité à détecter des failles à exploiter dans les applications et les logiciels qui équipent la quasi-totalité des smartphones de la planète, iOS et Android. A l’instar de fautes d’orthographe dans un texte, ces défauts sont inévitables dans les millions de lignes de code qui composent ces systèmes ultracomplexes. Certains d’entre eux peuvent être utilisés, comme une fenêtre mal fermée ou une clé laissée sur une porte d’entrée, pour insérer un logiciel espion. Un exercice de haute voltige qui nécessite d’avoir toujours un temps d’avance sur Google et Apple, qui cherchent également activement ces failles afin de les combler. Découvrir ces défauts avant que les entreprises ne les corrigent, c’est la garantie de pouvoir infecter tous leurs utilisateurs, même si ces derniers utilisent des logiciels parfaitement à jour.
Pour ce faire, NSO déploie un effort considérable en matière de recherche et de développement : les trois quarts de ses plus de 700 salariés s’y consacrent. Pour les motiver, les dirigeants de NSO les embarquent tous chaque année vers une destination touristique de rêve. Après des escapades en Sardaigne, en Thaïlande ou en Grèce, ils ont passé cette année, faute de pouvoir quitter le pays en raison de la pandémie, deux nuits dans le désert du Néguev.
Parfois, l’entreprise est prise la main dans le sac. En 2019, des ingénieurs de la messagerie WhatsApp, qui appartient à Facebook, découvrent qu’un groupe de pirates utilise activement une faille de sécurité dans la version Android de leur application pour infecter des téléphones avec un logiciel espion. Après avoir observé pendant un mois le comportement des pirates, les ingénieurs de WhatsApp n’ont plus aucun doute : c’est NSO qui est à la manœuvre. Plus de 1 400 utilisateurs de WhatsApp sont concernés au total, et plusieurs centaines de ces numéros appartiennent à des journalistes, des avocats, des opposants ou des défenseurs des droits de l’homme – dont un avocat britannique défendant une victime présumée de NSO.
Armée de ses constatations techniques, WhatsApp a porté plainte, soutenue par plusieurs entreprises technologiques, dont Microsoft et Amazon.
En 2020, lors des premières audiences de ce qui s’annonce être un long feuilleton juridique, NSO a essayé de prouver que l’entreprise, agissant pour le compte de gouvernements, ne pouvait être tenue responsable de l’usage que font les acheteurs de Pegasus. Un tribunal californien a rejeté ses arguments et autorisé la poursuite de la procédure que NSO souhaitait voir annulée.
« Une industrie dangereuse et hors de contrôle »
Entre-temps, les informations révélées par WhatsApp permettent à plusieurs médias, dont The Guardian, El Pais et Le Monde, de démontrer que Pegasus a été utilisé contre des opposants politiques et des journalistes.
D’ordinaire très discret, le patron de WhatsApp, Will Cathcart, dénonce, dans une tribune publiée par le Washington Post le 29 octobre 2019, le danger représenté par ces « outils qui permettent de surveiller notre vie privée et qui sont utilisés à tort et à travers », ainsi que la « prolifération de ces technologies dans les mains d’entreprises et de gouvernements irresponsables ». Trois ans plus tard, M. Cathcart n’a toujours pas décoléré ; dans une discussion avec plusieurs médias français, il dénonçait encore, en juin, « une industrie du logiciel espion dangereuse et hors de contrôle ». Les révélations du « Projet Pegasus » confirment largement cette assertion.
Pourtant, entre 2018 et 2021, NSO a, au moins en théorie, opéré une grande mue. En 2017, son investisseur historique, Francisco Partners, avait mis en vente ce lucratif mais embarrassant actif – à une valorisation de 1 milliard de dollars (840 millions d’euros). Une fusion avec l’entreprise de cybersécurité Verint Systems, un temps envisagée, n’a jamais abouti. En février 2019, c’est finalement le fonds britannico-luxembourgeois Novalpina Capital qui accepte de financer le rachat des parts, en association avec les deux cofondateurs de NSO, Shalev Hulio and Omri Lavie.
Les nouveaux propriétaires promettent que, désormais, plus aucune violation de droits de l’homme ne sera tolérée. En 2020, pourtant, de nouvelles révélations indiquent que c’est business as usual chez NSO. Amnesty International démontre que le téléphone du journaliste marocain Omar Radi a été infecté par Pegasus. L’analyse de son appareil fournira les premières bases pour élaborer un nouvel outil de détection de NSO, rendu public cette semaine par le Security Lab de l’ONG.
En parallèle, les relations au sein du conseil d’administration de Novalpina Capital se tendent. Les trois cofondateurs du fonds sont en désaccord sur la stratégie. Le Britannique Stephen Peel semble de plus en plus isolé – début 2021, un vote le prive temporairement de la plupart de ses droits d’administrateur. Mais ces turbulences ne semblent pas entraver la marche très rentable de la société, qui s’est installée à Herzliya, en pleine « Silicon Wadi », la Silicon Valley israélienne. Fin mai, l’agence de notation Moody’s dégrade légèrement la note de NSO, principalement en raison des conséquences de la pandémie, mais reste globalement confiante sur le futur de l’entreprise, citant notamment le « vaste marché dans lequel opère le groupe », et la « concurrence limitée » à laquelle il fait face.
C’est un bon résumé de l’histoire de NSO Group : celle d’une offre technologique, parmi les plus avancées du marché opaque des outils d’espionnage, qui rencontre une insatiable demande. Les gouvernements du monde entier souhaitent pouvoir placer sous surveillance les smartphones qui ont inondé la planète en une décennie. Bien sûr, s’offrir Pegasus a un coût, parfois jusqu’à plusieurs dizaines de millions de dollars par an, un prix modulé selon le nombre de pays dans lesquels le logiciel espion peut être activé, ainsi que celui des téléphones pouvant être simultanément infectés.
Mais ce tarif est aussi ridiculement bas : avec Pegasus, des gouvernements peuvent, d’un simple chèque, économiser des années de coûteux développement et la rémunération de dizaines de spécialistes en informatique.
Sans atteindre les capacités de la NSA américaine, Pegasus permet à des pays de petite taille, sans réelles capacités cyber, de se créer une puissante capacité d’espionnage électronique pour quelques dizaines de millions de dollars par an. Selon NSO, une quarantaine de pays ont franchi le pas. Combien d’entre eux s’en servent pour contourner l’Etat de droit et se livrer à des surveillances contraires au droit international ?