Autopsie d’une attaque informationnelle : la tentative échouée de déstabilisation du “CatalanGate”
Le 18 avril 2022, un rapport d’investigation publié sur Internet documente comment une campagne d’espionnage a ciblé des acteurs influents du mouvement indépendantiste catalan. Sur la base de faisceaux d’indices concordants, ce rapport désigne le gouvernement espagnol comme partie prenante dans cette campagne d’espionnage. L’espionnage de ses propres citoyens par une démocratie est à l’origine de ce qui sera appelé dans les médias le scandale du “CatalanGate”, d’après le titre du rapport d’investigation.Suite à la publication de ce rapport du CatalanGate, une dynamique de discréditation de ses résultats selon une approche de guerre de l’information par le contenu a été observée. L’objet de la présente analyse porte sur cette attaque informationnelle menée suite à la publication du rapport du CatalanGate.
Le Citizen Lab, laboratoire de recherche académique et interdisciplinaire affilié à l’université de Toronto au Canada, est l’auteur du rapport d’investigation du CatalanGate. Celui-ci revendique une approche multidimensionnelle des sujets de recherche, combinant notamment sciences politiques, juridique, et informatique. Le champ d’étude du laboratoire est axé sur l’analyse des menaces numériques pesant sur les sociétés civiles, les engagements politiques, et les droits de l’Homme.
Dans le rapport d’investigation du CatalanGate, le Citizen Lab documente l’usage de logiciels informatiques d’espionnage (“spyware”) ayant ciblé 65 acteurs du mouvement indépendantiste catalan entre 2015 et 2021. Les victimes identifiées comprennent des élus du parlement européen, du gouvernement catalan, mais aussi des acteurs de la société civile espagnole. La dimension technique en lien avec la recherche de traces de compromission sur des systèmes informatiques s’inscrit au cœur de ce rapport d’investigation. Cependant, le sujet est repositionné dans le contexte politique et historique espagnol, notamment autour du sujet de l’indépendance de la Catalogne et des évènements qui ont abouti au referendum d’indépendance de 2017 qui sera jugé illégal par le tribunal constitutionnel d’Espagne.
Les logiciels d’espionnage analysés par le Citizen Lab se nomment “Pegasus” et “Candiru”. Ils sont tous deux développés par des entreprises israéliennes, respectivement NSOGroup et Saito Tech. Le cœur de métier de ces entreprises est le développement et la commercialisation d’armes numériques au profit de gouvernements et agences étatiques, pour leur permettre de disposer de capacités de cyber-espionnage. L’usage de ces deux logiciels espions permet au Citizen Lab de pointer l’implication du gouvernement espagnol dans cette campagne d’espionnage : sans pouvoir affirmer que celui-ci était directement le donneur d’ordre, le timing de la campagne au regard du contexte intérieur, le profil des victimes et la connaissance d’informations à caractère personnel permettant de déployer les logiciels espions, ainsi que le fait que l’état espagnol soit identifié comme client de NSOGroup constituent des faisceaux d’indices circonstanciels forts.
Le CatalanGate s’inscrit dans la directe continuité d’un autre scandale mis en lumière en juillet 2021 par le consortium de journalistes “Forbidden Stories”, nommé le “Projet Pegasus”. Ces travaux documentaient déjà l’usage par onze états du logiciel espion Pegasus à des fins d’espionnage de journalistes, opposants politiques, militants, ou chef d’états (cette enquête avait notamment révélé que le Maroc a espionné par ce biais les smartphones du président de la République française, de son premier ministre et d’autres membres du gouvernement français).
Les engagements citoyens du Citizen Lab sur le sujet de la protection des droits fondamentaux des individus à l’ère numérique rejoignent ceux de l’Organisation Non Gouvernementale (ONG) Amnesty International, qui opère elle aussi de son laboratoire de recherche, “Amnesty Tech”. C’est Amnesty Tech qui avait fourni l’expertise informatique dans l’analyse du logiciel Pegasus au profit du consortium de journalistes Forbidden Stories dans le contexte du “projet Pegasus”. Amnesty Tech est désigné dans le rapport du CatalanGate en tant que contributeur aux travaux, pour avoir revu et validé l’approche méthodologique mise en œuvre par le Citizen Lab, en tant que pair indépendant et sachant sur le logiciel Pegasus.
Dans la tentative de discréditation des résultats du CatalanGate, le Citizen Lab va être directement attaqué, et Amnesty Tech va également être ciblé par effet de bord en raison de la proximité qui existe entre les deux organisations.
La naissance de l’attaque informationnelle contre le CatalanGate
Le relais médiatique du CatalanGate par le Citizen Lab est soutenu par la mise en ligne d’un site d’information Internet officiel, et d’un relais dans les réseaux sociaux, notamment Twitter. Dans la foulée de la publication du rapport du CatalanGate, le Citizen Lab bénéficie d’une reconnaissance médiatique de ses travaux, notamment au travers de relais dans des média réputés tel que le New-Yorker (“Comment les démocraties ont espionné leurs citoyens”), le Washington Post (“Les démocraties ne doivent pas céder à un avenir de surveillance sans limite”), ou le Monde (“Pegasus : des dizaines d’élus et de membres de la société civile catalane ciblés par le logiciel espion”). De plus, un peu moins d’un mois après la publication du CatalanGate, le Directeur du Citizen Lab est interrogé par une commission d’enquête du Parlement européen relatives aux logiciels espions et les moyens de s’en prémunir (dont le rapport d’enquête est publié en juillet 2022 : “Le PegasusGate européen - Contrer les menaces des logiciels espions”).
Une première attaque visant à discréditer les résultats du CatalanGate parait sous la forme d’un article (non signé) publié le 22 avril dans un journal barcelonais nommé El Triangle, soit quatre jours après la publication du CatalanGate. Cet article dénonce le CatalanGate comme une “opération propagandiste préparée de longue date”, en faisant reposer son analyse sur le fait que les dates d’enregistrement du nom de domaine (adresse Internet) et site Web officiel du CatalanGate sont antérieures de plusieurs mois à la date de divulgation publique par le Citizen Lab, sans toutefois étayer le fondement propagandiste. El Triangle est un journal hebdomadaire relativement confidentiel (environs 10 000 tirage papiers par semaine), référencé sur Wikipedia comme orienté idéologiquement contre la mouvance indépendantiste catalane, ce qui est compatible avec la tonalité non neutre de l’article. Cet article s’inscrit comme le point de départ d’une attaque informationnelle menée durant plusieurs mois par deux protagonistes principaux inconnus du grand public : Jose Javier Olivas Osuna et Jonathan Scott.
Jose Javier Olivas Osuna est un chercheur espagnol docteur en science politique. Il est responsable de la recherche sur le populisme et les séparatismes à l’université nationale de l’éducation à distance espagnole (UNED), et chercheur à l’école londonienne d’économie et de science politique (The London School of Economics and Political Science). Sa première attaque contre le CatalanGate consiste à relayer l’article d’El Triangle sur Twitter le jour de sa parution en commentant celui-ci avec une sémantique non-neutre. Il accentue les propos de l’hebdomadaire et accuse le CatalanGate d’être le fruit d’une conspiration populiste. Par la suite, Jose Javier Olivas Osuna va publier de multiples écrits visant à discréditer les résultats du CatalanGate.
Il utilisera notamment intensivement le réseau social Twitter pour alimenter la rhétorique de discréditation du CatalanGate. A cet effet, il alimentera un fil de de 213 tweets entre le 24 avril et le 11 mai. Entre le 18 avril (date de publication du CatalanGate) et le 05 septembre, il produira 133 tweets contenant le mot clef “CatalanGate” et 262 contenant le mot clef “citizenlab”. Via ses nombreux tweets, il étaye son argumentaire contre le Citizen Lab, et interpelle des protagonistes du CatalanGate (via les comptes officiels du Citizen Lab et d’Amnesty Tech, ou les comptes personnels de contributeurs du rapport du CatalanGate tels que le directeur du Citizen Lab Ron Deibert, ou d’un chercheur du Citizen Lab John Scott-Railton).
Des écrits plus académiques, permettant d’apporter un contenu plus structuré et moins volatile que des tweets, seront publiés par Jose Javier Olivas Osuna pour appuyer son action de discréditation du CatalanGate.
Le 20 mai 2022 (un mois après la publication du rapport du CatalanGate), il publie une lettre ouverte adressée à l’Université de Toronto dont l’objet est de demander une revue indépendante des travaux du Citizen Lab en raison de manquements éthiques et méthodologiques constatés (document intitulé “Problèmes méthodologiques et éthiques dans les investigations du Citizen Lab sur les logiciels espions en Catalogne”). Cette lettre de plus de 25 pages en anglais, cosignée par 16 signataires (tous docteurs et professeurs) est sourcée, accompagnée d’annexes, à l’image d’un travail académique. Les manquements du Citizen Lab qui sont pointés comprennent plusieurs conflits d’intérêts non documentés dans le rapport du CatalanGate. En premier lieu, un conflit d’intérêt entre les organisations du Citizen Lab et Amnesty Tech ne permettant pas une revue indépendante par des pairs contrairement à ce que documente le rapport. Ensuite, un conflit d’intérêt entre l’un des contributeurs du rapport, notoirement politiquement et activement engagé dans la mouvance indépendantisme catalane, et l’objet d’étude lui-même (l’espionnage supposé de membres du mouvement indépendantiste), avec le risque induit de falsification de faits. Egalement, la proximité supposée entre des contributeurs du rapport et les services de renseignement russes qui agiraient dans une logique de déstabilisation de l’Espagne et de l’Europe sous couvert d’une inspiration non gouvernementale, avec là encore le risque de partialité de l’étude. En plus d’autres conflits d’intérêt plus ponctuels, le document réfute les conclusions du Citizen Lab au regard de la faiblesse des preuves documentées par le CatalanGate, en particulier l’absence de prise en compte de possibles faux-positifs sur la phase d’analyse technique, de nature à fausser les résultats. La lettre ouverte pose ainsi de nombreuses questions adressées à l’Université de Toronto pour lesquelles une clarification est attendue pour pouvoir statuer sur la réalité du CatalanGate, et exclure toute falsification.
Le 06 juin 2022, Jose Javier Olivas Osuna publie article de blog en espagnol qui dénonce le rapport du Citizen Lab comme une instrumentalisation politique de diffamation contre l’Espagne menée par des indépendantistes catalans et partie de la gauche espagnole, en reprenant des arguments clefs énoncés dans sa lettre ouverte (article intitulé “Les négligents experts du CatalanGate : la valeur du rapport du Citizen Lab”). La tonalité est moins neutre que la lettre ouverte, et vise cette fois un public d’orientation droite espagnole et anti-indépendantiste catalane.
Ces attaques de Jose Javier Olivas Osuna vont se succéder sur plusieurs mois. Il va trouver un allié contre le Citizen Lab en la personne de Jonathan Scott, avec qui il n’a a priori pas de lien de proximité de prime abord. Les deux protagonistes vont initier un duo d’attaquant, relayant les propos respectifs de l’autre pour alimenter leurs attaques.
Jonathan Scott se présente comme un informaticien américain expert en smartphones et sécurité informatique, étudiant en thèse de doctorat à l’Université américaine de NorthCentral. Il partage avec le laboratoire canadien du Citizen Lab des thèmes d’étude communs autour de la sécurité informatique (sans aucune collaboration), tels que le logiciel espion Pegasus, et plus généralement la sécurité des smartphones. Plusieurs tentatives d’interactions via Twitter, le réseau social de facto de la communauté Cybersécurité, montrent que Jonathan Scott semble rechercher une collaboration avec le Citizen Lab et une reconnaissance de celui-ci encore quelques semaines avant la publication du rapport du CatalanGate, en début d’année 2022.
Bien que Jonathan Scott ait déjà exprimé par le passé des critiques vis-à-vis du Citizen Lab, la tonalité des messages Twitter en relation avec le Citizen Lab devient unidirectionnellement hostile à partir du 29 avril (11 jours après la publication du CatalanGate), date à laquelle il publie une série de tweets visant à discréditer le Citizen Lab. Il exprime par exemple que le rapport du CatalanGate est un “non-sens” et soutient l’initiative de Jose Javier Olivas Osuna qui questionne leur méthodologie. Jonathan Scott pointe un déficit de compréhension du Citizen Lab sur un sujet technique en lien avec l’analyse du logiciel Pegasus, ou encore des biais cognitifs qui enferment le Citizen Lab dans une compréhension erronée.
C’est à partir de ce 29 avril qu’une interaction régulière via Twitter se met en place entre Jonathan Scott et Jose Javier Olivas Osuna, sur la base d’une dynamique collaborative de discréditation des résultats du Citizen Lab. Aucune trace d’interaction préalable n’est retrouvée sur les réseaux sociaux, ce qui peut laisser supposer que cette alliance est une alliance opportuniste reposant sur un objectif commun de s’attaquer au CatalanGate.
Les deux protagonistes vont relayer respectivement les arguments de l’autre pour soutenir la thèse de manquements éthiques et méthodologiques dans l’analyse menée par le Citizen Lab. A titre d’illustration, le 05 mai 2022, Jonathan Scott évoque que Jose Javier Olivas Osuna a documenté des faits et la vérité, et le 08 mai c’est Jose Javier Olivas Osuna qui évoque comment Jonathan Scott a mis en lumière le défaut de validation par les pairs de la méthodologie du Citizen Lab. Cette dynamique d’interaction entre Jonathan Scott et Jose Javier Olivas Osuna a été observée à plusieurs reprises entre mai et septembre 2022.
En parallèle des travaux de Jose Javier Olivas Osuna dans l’entreprise de discréditation du CatalanGate, Jonathan Scott apportera une contribution propre, sous un angle technique en sécurité informatique, ou contextuelle sur l’organisation et les méthodologies du Citizen Lab.
Le 16 mai 2022 (quasiment un mois après la publication du rapport du Citizen Lab), il publie une analyse détaillant comment reproduire des faux positifs d’une infection par Pegasus. Il conclut sur Twitter que son analyse démontre que l’action du Citizen Lab dans le CatalanGate est “irresponsable” et “sans fondement”. On peut supposer que cet argumentaire a alimenté la réflexion de Jose Javier Olivas Osuna qui référence explicitement dans sa lettre ouverte à l’Université de Toronto (en date du 20 mai) le sujet des faux positifs qui auraient pu ne pas être pris en compte dans l’analyse du Citizen Lab et amener à des constats erronés, sans toutefois nommer Jonathan Scott.
Le 04 juillet 2022 (un mois et demi après la publication du CatalanGate), Jonathan Scott publiera un rapport de près de 60 pages dont l’objet vise à discréditer les constats documentés par le Citizen Lab (rapport intitulé “Démasquer le Citizen Lab - une revue analytique et technique contredisant le CatalanGate”). Ce rapport possède une forte dimension technique, mais intègre également une analyse portant sur les contributeurs au rapport du Citizen Lab en tant qu’individus, notamment à des fins de pointer des conflits d’intérêt ou des manquements éthiques. Le rapport se veut académique, avec un pair relecteur nommé, et une démarche d’inspiration scientifique avec documentation de preuves. Sur les aspects non techniques, une partie de l’argumentaire reprend et complète des éléments exprimés par Jose Javier Olivas Osuna, qui est cité une fois dans ce rapport. Le jour de la publication du rapport, celui-ci est relayé sur Twitter par Jonathan Scott et Jose Javier Olivas Osuna. Ils en publieront tous deux des extraits sur Twitter pour pointer ce qu’ils dénoncent comme des lacunes méthodologiques du Citizen Lab et l’absence de remise en question de leurs constats.
Le rejet de Jonathan Scott par la communauté de la sécurité informatique, et sa discréditation académique
Dans le rapport qu’il publie sur le CatalanGate, Jonathan Scott documente une page le concernant : cette page vise à affirmer sa crédibilité en tant que chercheur en sécurité informatique, au travers d’éléments qu’il veut factuels, comme avoir été le “chercheur en sécurité numéro un” aux Etats-Unis sur le troisième trimestre 2021, ou en précisant qu’il a découvert et documenté “738 vulnérabilités” informatiques. Dans le contexte d’une production écrite à portée académique, ces arguments contribuent de facto à discréditer l’individu sur le plan scientifique, dans la mesure où les références qu’il évoque ressemblent à une auto-proclamation marketing visant à asseoir une crédibilité, mettant en avant des faits non reconnus académiquement, et qui ne font pas non plus l’objet d’un consensus au sein d’une communauté scientifique (telle que celle de la sécurité informatique).
Les métriques qu’il documente à son sujet sont issues de ses travaux personnels au profit de la plateforme américaine de bug-bounty HackerOne qui met légalement en relation des “hackers” et des entreprises voulant confronter leurs produits à une analyse sécurité (des sites web par exemple) : l’objet est que les “hackers” trouvent des vulnérabilités afin que les failles puissent être corrigées, avec une rétribution financière des hackers proportionnelle à la criticité des vulnérabilités qu’ils trouvent. Les contributions de Jonathan Scott sur cette plateforme, qu’il a rejoint en février 2020, ne procurent en soi aucune garantie sur ses compétences effectives car les vulnérabilités ne sont pas documentées publiquement (elles restent propriété des entreprises concernées) et ne peuvent donc faire l’objet d’une revue critique permettant d’attester d’un niveau de compétence (une vulnérabilité pouvant être mineure et ne pas induire de vecteur de compromission probant d’un système informatique, elles peuvent tout simplement être rejetées et ne pas être considérées comme des vulnérabilités par les entreprises). Ce nombre important de vulnérabilités mis en avant par Jonathan Scott suggère qu’il recherche un « effet volume » pour marquer les esprits, en opposition avec toute démarche scientifique rigoureuse. A titre de comparaison, l’entreprise américaine Qualys qui commercialise un outillage de détection de vulnérabilité, et dispose d’une équipe dédiée d’ingénieurs et chercheurs en recherche de vulnérabilités, documente publiquement moins d’une trentaine de vulnérabilité sérieuse par année (cf. les bases officielles de vulnérabilités publiques). L’entreprise américaine Tenable, qui opère sur un segment similaire, avec également une équipe dédiée de chercheurs et ingénieur, documente 418 vulnérabilités publiques depuis 2019 (à date d’écriture). Pour ces deux entreprises qui sont internationalement reconnues, le nombre de vulnérabilités, mais aussi la qualité de l’analyse associée, constituent des arguments commerciaux, ce qui implique des efforts de recherche et développement. Leurs chercheurs de vulnérabilités disposent d’un éclairage médiatique dans le milieu lorsque les vulnérabilités qu’ils identifient sont notables. Aussi, le nombre de 718 vulnérabilités argumenté par Jonathan Scott apparait hors-sol et contribue à le décrédibiliser auprès d’un public expert.
Cette analyse sur Jonathan Scott est notamment reprise par l’un des vice-présidents en 2021 de la plateforme HackerOne, qui a écrit un article de blog à son sujet en février 2022 , avant le début du CatalanGate. Il documente notamment dans cet article comment Jonathan Scott construit une image marketing, pour briller auprès d’une communauté de fans non sachant (notamment avec une chaîne YouTube, des livestream et des tweets, et un choix de sujets ciblant une large audience). L’article décrit également comment Jonathan Scott a été une première fois décrié par la communauté informatique lorsqu’il a publié en janvier 2022 une analyse portant sur la sécurité de l’application smartphone officielle des Jeux olympiques de Pékin, dont les assertions techniques ont été réfutées durement par plusieurs acteurs de renommé internationale en sécurité informatique (incluant un chercheur en sécurité chez Google, un journaliste spécialisé en informatique et nouvelles technologies, ou encore un entrepreneur dont le cœur de métier est la détection de vulnérabilités informatiques). Dans cet épisode précédant le CatalanGate, Jonathan Scott est déjà en opposition avec le Citizen Lab sur le sujet de l’expertise technique : il défend une posture où son analyse est rigoureuse et juste, celle du Citizen Lab (qui a documenté une analyse dédiée sur le même sujet).
La publication du rapport de Jonathan Scott contre le CatalanGate va attirer l’attention sur cet étudiant, et faire l’objet de nombreux commentaires et prises de positions tranchées contre lui, notamment sur Twitter. La communauté en sécurité informatique, incarnée par des personnalités de facto légitimes (chercheurs, journalistes, figures du milieu), va unanimement rejeter en bloc les analyses de Jonathan Scott qui seront jugées comme non pertinentes sur le fondement technique, et éthiquement condamnables. A titre d’illustration parmi les très nombreux tweets sur l’affaire, un Docteur en informatique reconnu par Microsoft qui dénonce de nombreuses assertions sans preuves tangibles, un chercheur spécialisé dans l’analyse des logiciels malveillant affectant les smartphones chez Google qui pointe des erreurs d’analyse flagrantes dans le rapport, et qu’il documente dans un billet de blog étayé, ou un chercheur renommé en sécurité informatique qui finit par accuser Jonathan Scott d’être un “clown”.
Le 10 juillet, six jours après la publication du rapport de Jonathan Scott, l’Université américaine de Northcentral est contactée par deux figures internationalement reconnues au sein de la communauté informatique (Tarah Wheeler et Runa Sandvik), pour demander une enquête éthique interne (“Institutional Review Board”) de revue des travaux et comportements de Jonathan Scott. Le 19 août 2022, elles publient sur Twitter que les démarches entreprises ont abouti à l’expulsion de Jonathan Scott de son programme de doctorat suite aux travaux d’enquêtes menés par la commission interne de l’université. Cette information sera reconnue publiquement par Jonathan Scott qui avancera la raison d’une violation du code de conduite de l’université, en lien avec ses tweets et son rapport sur le CatalanGate.
Le relais médiatique négligeable des attaques de Jose Javier Olivas Osuna et Jonathan Scott
Le journal El Triangle sera une partie prenante engagée dans le relais médiatique des attaques orchestrées par Jose Javier Olivas Osuna et Jonathan Scott. Il produira plusieurs articles orientés traitant du sujet (“Des experts internationaux mettent en doute la véracité du CatalanGate”, “Le manque de rigueur du ‘CatalanGate’ du Citizen Lab mis en lumière”, etc.), et défendra tout propos remettant en question le CatalanGate. Hormis El Triangle, le relais médiatique des attaques orchestrées par Jose Javier Olivas Osuna et Jonathan Scott est resté limité à quelques autres médias confidentiels et potentiellement orientés, tels que l’hebdomadaire marocain L’Observateur du Maroc & d’Afrique, ou les périodiques numériques espagnols El Debate, ou encore El Confidencial, qui ont chacun publié un article sur le sujet sans remettre en question le fondement des propos.
Le 08 juillet 2022, Jonathan Scott donnera une interview à un média en ligne confidentiel (moins de 2000 abonnés à la chaîne YouTube sur laquelle sont diffusées les interviews), opéré par Irina Tsukerman, présentée comme avocate et activiste des droits de l’homme : la vidéo, supprimée depuis, a pour titre “L’affaire Pegasus : la campagne du Citizen Lab contre NSOGroup était-elle justifiée ?”. Il est notable que durant toute la campagne contre le CatalanGate, Irina Tsukerman aura soutenu invariablement les attaques de discréditation du Citizen Lab, et aura fait partie des défenseurs sur les réseaux sociaux de Jonathan Scott et Jose Javier Olivas Osuna.
L’orientation propagandiste de l’attaque informationnelle source de son échec
La véracité du CatalanGate, soit le cyber-espionnage par l’état espagnol de ses propres citoyens, est établie le 10 mai 2022 (presque un mois après la publication du rapport) lorsque la cheffe du Centre National de Renseignement espagnol (le CNI) est limogée après avoir reconnu que des indépendantistes catalans avaient bien été espionnés par ses services, en accord avec le cadre légal espagnol. Seuls 18 cas d’espionnage sont reconnus officiellement par le gouvernement espagnol sur les 65 documentés par le Citizen Lab, mais cette reconnaissance officielle valide les conclusions du Citizen Lab. A partir de ce moment, toute tentative de discréditation du CatalanGate s’inscrit mécaniquement dans une logique propagandiste faisant abstraction de la réalité des faits. Pourtant, l’attaque informationnelle menée par Jose Javier Olivas Osuna et Jonathan Scott se poursuivra encore durant plus d’un mois (les documents clefs rédigés étant publiés après cette date), et échouera inéluctablement.
Même si le gouvernement espagnol n’avait pas reconnu les faits exposés, il est légitime de penser que l’attaque informationnelle aurait malgré tout échoué en raison de la discréditation quasi-unanime des analyses de Jonathan Scott portant sur le sujet purement technique de l’analyse de smartphones. Ce rejet contribue à discréditer l’ensemble de l’argumentation qui s’inscrit alors dans un registre propagandiste.
Plusieurs éléments dans l’argumentaire de Jose Javier Olivas Osuna et Jonathan Scott semblent pourtant recevables dans la critique des méthodes du Citizen Lab, et en premier lieu, ceux portant sur les conflits d’intérêts documentés. L’argumentaire étayé proposé attaque directement les organisations du Citizen Lab et d’Amnesty International sur un défaut d’intégrité et de transparence, qui s’oppose frontalement aux valeurs droit de l’hommiste qu’elles revendiquent toutes les deux. Ainsi, la dénonciation des conflits d’intérêts au cœur de l’enquête du CatalanGate aurait pu servir seule de socle à une guerre de l’information par le contenu, et sous réserve de viser un autre objectif que celui de discréditer les résultats du CatalanGate une fois ceux-ci établis.
Jose Javier Olivas Osuna aura ainsi été largement desservi dans sa campagne contre le Citizen Lab par Jonathan Scott qui l’amènera à relayer des analyses techniques qui se sont avérées fausses, ce qui constituera in fine le point faible rédhibitoire de l’attaque informationnelle. Au regard du parcours académique et professionnel de Jose Javier Olivas Osuna, à dominante en sciences politiques, il apparaît légitime qu’il ne soit pas en mesure de juger de la crédibilité de la production de Jonathan Scott en matière de sécurité informatique, qui reste un sujet d’expertise technique. Cependant, il existait déjà avant le CatalanGate des écrits publics sur Jonathan Scott qui mettaient en doute son niveau de professionnalisme et de compétences techniques, ce qui aurait dû constituer une alerte dans l’intention d’une collaboration.
Jusqu’à ce jour, Jose Javier Olivas Osuna n’est pas revenu sur ses propos discréditant le CatalanGate, incluant ceux qui s’appuient sur des analyses techniques erronées ou non étayées qui sont le fruit de l’analyse de Jonathan Scott. Ceci implique deux lectures possibles : Jose Javier Olivas Osuna, en faisant abstraction de la réalité des faits analysés et en choisissant ceux qui servent son narratif, appartient au camp des propagandistes, ou, il s’est laissé intoxiqué par la production de Jonathan Scott par déficit de compréhension fine d’un sujet d’expertise technique qui n’appartient pas à son cœur de compétence. Il est toutefois difficile d’imaginer qu’un profil académique et universitaire tel que celui de Jose Javier Olivas Osuna fasse confiance aveuglément à un individu controversé sans instaurer de garde-fou permettant de protéger sa propre crédibilité et son image.
Les motivations ignorées des protagonistes, et l’inconnue du caractère manipulatoire de l’opération
Les motivations des deux protagonistes principaux, Jose Javier Olivas Osuna et Jonathan Scott, ne sont pas publiquement connues. Nous pouvons faire l’hypothèse que les motivations de Jose Javier Olivas Osuna sont d’ordre idéologique, de nature contre-indépendantiste. Celles de Jonathan Scott semblent plus conduites par une volonté de briller et d’être reconnu au sein d’une communauté. Cette lecture apparaît suffisante pour expliquer le caractère circonstanciel et opportuniste de cette alliance qui peut apparaître contre-nature.
Cependant, il est légitime de se poser la question de savoir si les protagonistes ont pu être manipulé pour le profit d’un acteur tiers agissant dans l’ombre. Dans la liste des suspects potentiels, l’entreprise israélienne NSOGroup (qui développe le logiciel Pegasus) fait figure de suspect principal. Attaquée en procès par Apple en novembre 2021 pour avoir fourni des logiciels espions à des états, mise sous sanctions américaine par le département du commerce des Etats-Unis à la même période, et en difficulté financière importante en août 2022, NSOGroup dispose de motifs sérieux pour vouloir discréditer le rapport du Citizen Lab qui contribue à mettre sous le feux des projecteur et accuser une entreprise déjà en difficulté.Le cœur de métier de NSOGroup reposant sur de l’expertise technique avancée, il semble inconcevable que l’entreprise ait pu trouver un intérêt à collaborer directement ou indirectement avec Jonathan Scott au regard de la pauvreté technique de son travail. De la même manière, si l’entreprise avait souhaité influencé Jose Javier Olivas Osuna, NSOGroup lui aurait probablement suggéré de prendre ses distances avec Jonathan Scott pour ne pas risquer de décrédibiliser l’approche globale contre le CatalanGate.
Une autre piste potentielle est celle d’une proximité entre Irina Tsukerman et NSOGroup. Sans apporter de contribution structurante sur le contenu de l’attaque informationnelle contre le CatalanGate, Irina Tsukerman a agi comme catalyseur de l’attaque en relayant largement sur les réseaux sociaux les propos de Jose Javier Olivas Osuna ou Jonathan Scott, en exprimant régulièrement des positions visant à disculper NSOGroup et en reprenant à son compte un narratif accusant le Citizen Lab et Amnesty Tech de s’allier contre NSOGroup. Cette piste est crédibilisée par le fait qu’Irina Tsukerman a contribué entre 2018 et 2020 au journal en ligne JewishWebsight, journal en ligne favorable à Israël, ce qui pourrait être la source d’une proximité avec NSOGroup, notamment idéologique. Cependant, là encore, le fait d’offrir une fenêtre médiatique, même limitée, à Jonathan Scott contribuerait à décrédibiliser l’approche globale de la perspective de NSOGroup. Irina Tsukerman a donc probablement agi de son propre chef.
Ainsi, si NSOGroup avait été à l’origine de cette attaque informationnelle, l’entreprise aurait probablement eu suffisamment de ressources pour éviter de tomber dans la caricature technique telle que celle de Jonathan Scott. Aujourd’hui, l’entreprise est acculée financièrement, juridiquement et politiquement. La discréditation du CatalanGate en soi n’aurait sûrement pas constitué un levier significatif pour faire face aux menaces auxquelles NSOGroup est confrontée, d’autant que ses activités ont été largement documentées depuis le Projet Pegasus en 2021.
Pour finir, l’hypothèse d’une alliance de circonstance entre un universitaire en sciences politiques et un étudiant en informatique semble la plus crédible pour expliquer l’attaque informationnelle intentée contre le CatalanGate.
Pierre Valettari