La décision, motivée par des activités « contraires à la sécurité nationale », est un signal très fort envoyé à l’entreprise fabricante du logiciel espion, qui a toujours affirmé que son outil n’était utilisé que pour lutter contre le terrorisme et la criminalité organisée.
Pour les Etats-Unis, les activités de l’entreprise NSO Group, fabricante du logiciel espion Pegasus, représentent une menace pour la sécurité nationale. C’est, sans ambiguïté, ce que vient de déclarer le département du commerce des Etats-Unis.
Ce dernier a en effet annoncé, mercredi 3 novembre, avoir placé NSO Group, la société israélienne spécialisée dans la vente de logiciels espions, sur une liste noire d’entreprises soumises à d’importantes restrictions en matière d’exportations et d’importations.
Le placement de NSO sur cette liste n’interdit pas purement et simplement tout échange commercial entre le groupe israélien et les entreprises américaines qui pourraient lui fournir des services ou des technologies. Mais cette décision met de sérieux obstacles aux transactions, imposant aux acteurs américains qui souhaitent importer ou exporter certains types de produits en lien avec NSO de faire une demande de licence auprès des autorités américaines, licence qui risque fortement d’être refusée.
Le département du commerce s’était engagé dans une démarche similaire face au géant de l’électronique chinois Huawei et aux entreprises chinoises de surveillance, comme Hikvision ou Sensetime, les plaçant elles aussi sur cette liste noire. Réagissant à cette annonce, NSO s’est dite « consternée par cette décision, étant donné que nos technologies aident les intérêts sécuritaires et politiques américains en luttant contre le crime et le terrorisme », selon un porte-parole de l’entreprise. La société israélienne annonce qu’elle « appellera [les autorités américaines] à revenir sur cette décision ».
Un signal politique très fort
Difficile à ce stade de mesurer l’impact concret qu’aura cette sanction pour NSO Group. Elle va a minima compliquer ses relations avec d’éventuels partenaires américains, notamment ceux qui lui permettent de lancer des attaques : NSO Group a utilisé pour ce faire, et jusqu’à cet été, Amazon Web Services, le leader américain du « cloud ». Ses relations avec les experts américains en recherche de vulnérabilités logicielles, que NSO Group utilise pour trouver des moyens de faire pénétrer Pegasus dans les appareils des cibles, vont également être plus délicates.
L’ajout sur cette liste de sanctions est, avant tout, un signal très fort envoyé par les Etats-Unis, principal allié d’Israël, vis-à-vis du fleuron de son industrie de la cybersurveillance. Il entre en contradiction frontale avec la défense de NSO Group, qui a toujours affirmé que son outil n’était utilisé que pour lutter contre le terrorisme et la criminalité organisée.
Les termes du département du commerce sont sans appel :
« Ces outils ont également permis à des Etats étrangers d’étendre leur répression au-delà de leurs frontières, une pratique des gouvernements autoritaires visant des dissidents, des journalistes et des activistes à l’étranger pour réduire au silence toute opposition. Ces pratiques menacent l’ordre international. »
« C’est un signal très fort adressé à toutes les entreprises du secteur de la surveillance qu’elles ne peuvent plus continuer leurs activités comme elles l’ont fait. Cela montre qu’elles ne peuvent plus se cacher, que leurs pratiques sont surveillées, et que leurs décisions auront des conséquences » a réagi Edin Omanovic, spécialiste de la surveillance pour l’ONG Privacy International. « C’est un arrêt de mort pour elles », estime, plus catégorique, un expert du secteur, ancien d’une entreprise d’armement, « même s’ils essayent de se fournir auprès d’entreprises européennes, les services d’exportation vont refuser pour ne pas se fâcher avec les Américains. »
Parmi les trois autres entreprises ajoutées à cette liste par le département du commerce figure une autre société israélienne, Candiru, dont le logiciel espion a été épinglé au cours de l’été pour avoir infecté les téléphones des responsables politiques et des militants des droits de l’homme. Comme NSO, Candiru, sise à Tel-Aviv, commercialise des logiciels espions à des gouvernements et services de sécurité étatiques. Le département du commerce cible aussi une entreprise russe, Positive Technologies, qui avait, quant à elle, déjà été sanctionnée par les autorités américaines en avril. Cette société est soupçonnée par les Etats-Unis d’apporter son soutien à certaines opérations malveillantes du FSB, une agence de renseignement russe. Enfin, la société Computer Security Initiative Consultancy Pte Ltd a aussi été ajoutée à cette liste noire.
Des activités « contraire à la sécurité nationale »
Dans un communiqué, le département du commerce justifie l’ajout de NSO Group et des trois autres entreprises en raison de leurs activités « contraire à la sécurité nationale ou aux intérêts diplomatiques des Etats-Unis ». Il mentionne également explicitement des « preuves », selon lesquelles les clients de l’entreprise et de son logiciel Pegasus ont « ciblé de manière malveillante des fonctionnaires, des journalistes, des hommes d’affaires, des activistes, des universitaires et des employés d’ambassade ».
Une référence aux révélations successives de victimes de clients de NSO Group, notamment celles du « Projet Pegasus ». Ce groupe de dix-sept rédactions, dont celle du Monde, a montré, en partenariat avec Amnesty International, que certains clients de NSO Group – notamment le Maroc, la Hongrie, l’Inde ou encore l’Azerbaïdjan – avaient gravement dévoyé le logiciel espion en l’utilisant contre des journalistes, notamment français, des activistes, des militants des droits de l’homme et des responsables politiques.
Plus récemment, le Citizen Lab de l’université de Toronto, spécialisé dans l’analyse des logiciels malveillants, a révélé le 24 octobre que le journaliste américain du New York Times, Ben Hubbard, avait été ciblé à de multiples reprises par Pegasus, y compris en juin 2021, alors même qu’il s’était déjà plaint auprès de NSO d’une infection antérieure de son téléphone portable par ce logiciel espion.
Les conséquences du « projet Pegasus » se multiplient
Les conséquences des enquêtes du « projet Pegasus » se multiplient ces dernières semaines. Le 27 octobre, la Cour suprême indienne a ordonné l’ouverture d’une enquête indépendante pour faire toute la lumière sur l’utilisation du logiciel espion par les autorités du pays, révélées dans le cadre du « projet Pegasus ».
La révélation par Le Monde d’une possible infection du téléphone portable d’Emmanuel Macron a aussi dégradé les relations entre Paris et Tel-Aviv. D’autant qu’au mois d’août, les services de l’Etat avaient trouvé des traces suspectes dans les téléphones de cinq des ministres dont les numéros de téléphone figuraient parmi les victimes potentielles de Pegasus.
En octobre, le conseiller à la sécurité du premier ministre israélien, Eyal Hulata, s’est discrètement rendu à Paris pour discuter de la situation avec le conseiller diplomatique du président français, Emmanuel Bonne. « Nous demandons des garanties dans l’affaire NSO et y travaillons avec les Israéliens », avait alors commenté l’Elysée. Le président français et le premier ministre israélien ont également évoqué le dossier en marge de la COP26, à Glasgow. « Les deux dirigeants se sont entendus sur le fait que cette question doit continuer d’être traitée de manière discrète et professionnelle, et dans un souci de transparence entre les parties », a déclaré une source diplomatique israélienne à l’Agence France-Presse.
Au début du mois d’octobre, un tribunal anglais avait confirmé que la princesse Haya Bint Al-Hussein, sixième épouse de l’émir de Dubaï, Mohammed Ben Rachid Al-Maktoum, avait bien été espionnée par Pegasus, confirmant les informations des dix-sept rédactions du « projet Pegasus ».
Pegasus, créé par la société israélienne NSO Group, est un très puissant logiciel espion capable d’infecter un téléphone à distance et à l’insu de son propriétaire. Une fois installé, le logiciel peut télécharger les historiques des messageries, accéder à la géolocalisation de l’appareil, espionner les appels en temps réel ou encore déclencher à distance le micro du téléphone.