L’affaire d’espionnage Pegasus : décryptage des attaques informationnelles des ONG Forbidden Stories et Amnesty International

Après les révélations des écoutes de grande ampleur en 2013 avec l’affaire Snowden, le 18 juillet 2021 dernier, l’ONG Forbidden Stories en coordination avec Amnesty International a révélé une nouvelle affaire d’espionnage téléphonique de grande ampleur ciblant des politiques, journalistes, militants et avocats dans le monde entier. L’enquête sous le nom de code Pegasus Project met en lumière les agissements d’une entreprise Israélienne NSO qui aurait vendu son logiciel Pegasus à près de 11 états : Arabie saoudite, Azerbaïdjan, Bahreïn, Émirats arabes unis, Hongrie, Inde, Kazakhstan, Mexique, Maroc, Rwanda et Togo.

Ces derniers auraient utilisé le logiciel afin notamment d’écouter et contrer d’éventuels opposants auprès de leur régime respectif.

La stratégie et l’organisation de l’exécution des attaques informationnelles pendant plusieurs semaines vont avoir des conséquences diplomatiques d’une ampleur sans précédent touchant de nombreux pays, entreprises et instances internationales.

Comprendre les enjeux soulevés par le projet Pegasus

Entre 2016 et juin 2020, plus de 50 000 téléphones auraient été visés par les 11 états à l’aide du logiciel Pegasus. Parmi eux, plus 1 000 français ciblés et 180 journalistes dans plus de 20 pays.

La défense de la liberté d’expression et des droits de l’homme

Au nom de la liberté d’expression et de la défense des droits de l’homme, l’un des objectifs de cette opération est de mettre en lumière les agissements de certains états afin de réduire au silence des journalistes. Une grande majorité des pays cités dès les premiers communiqués de presse des ONG fait l’objet d’enquêtes ou de scandales concernant des procès, des enlèvements ou tentatives d’intimidations envers des journalistes.

La protection des sources journalistiques

En France, depuis janvier 2010, une loi proclame que la protection des sources des journalistes est protégée. Dans les faits, cette loi ne prévoit pas de sanctions pénales en cas de violation de la loi, si bien que les sources ne sont finalement pas ou peu protégées en réalité. Révéler l’existence de pressions sur les journalistes et sur leurs sources permet de mettre la pression auprès des instances politiques pour améliorer les dispositifs législatifs en vigueur. De nombreux médias (Le Canard enchaîné, mediapart) ont déposé des plaintes devant le procureur de la république.

Qui écoute qui ? Révéler l’impact de l’usage de ce type de logiciel de piratage et les dessous des cartes de l’espionnage

Le projet Pegasus et les nombreuses révélations qui suivront pendant plusieurs semaines vont permettre de révéler au monde entier les stratégies d’espionnage et tentatives d’intimidation des différents états, mais surtout leur ampleur.

Les acteurs impliqués dans l’attaque

Forbidden Stories (FS)

Le Projet Pegasus est une collaboration menée par plus de 80 journalistes de 16 médias dans 10 pays et coordonnée par Forbidden Stories (FS), une ONG basée à Paris travaillant dans le secteur des médias. Cette ONG créée en novembre 2017 a déjà attaquée NSO en 2017, la maison mère conceptrice du logiciel Pegasus. La vocation de FS est de reprendre des enquêtes menées par des journalistes emprisonnés ou assassinés dans le monde. De part cette vocation centrée sur la mise en lumière des tentatives de réduire le travail journalistique, FS a tissé un réseau mondial de journalistes du monde entier. FS a aussi eu le soutien financier et/ou technique d’autres ONG puissantes telles que Reporters Sans Frontieres, Freedom of the Press Foundation, Democracy & Media Foundation qui lui ont permis de consolider ce réseau.

Les 16 médias partenaires du Pegasus Project :

The Guardian, Le Monde, The Washington Post, Süddeutsche Zeitung, Die Zeit, Aristegui Noticias, Radio France, Proceso, OCCRP, Knack, Le Soir, Haaretz/TheMarker, The Wire, Daraj, Direkt36, PBS Frontline.

Ces médias vont jouer un rôle majeur et déterminant en relayant à partir du 18 juillet jusqu’à ce jour des révélations sur l’usage du logiciel par les clients de NSO.

Amnesty International

Pour vérifier la réalité des piratages sur les téléphones, Forbidden Stories s’est appuyé sur le soutien technique de l’ONG et son Security Lab. Amnesty International qui défend depuis plusieurs décennies les droits humains, avait déjà dénoncé dès 2019 NSO et engagé une procédure judiciaire devant le ministère de la Défense israélien afin de tenter l’interdiction de  la licence d’exportation accordée à NSO Group. Le tribunal avait rejeté la demande.
Le Security Lab a développé des outils techniques et
publié les détails des analyses effectuées sur les téléphones Apple ou Android et les traces du logiciel Pegasus.

Le rapport du Security Lab montre l’évolution des attaques menées au moyen du logiciel espion Pegasus depuis 2014, et donne des détails sur l’infrastructure du logiciel espion, dont plus de 700 domaines liés à Pegasus.

Le laboratoire Citizen Lab de la Munk School de l’université de Toronto
Amnesty International a fait vérifier ses analyses techniques par un autre groupe de recherches canadien. Ils ont pu confirmer que près de 85% des téléphones analysés auraient fait l’objet d’une infection ou tentative d’infection par le logiciel Pegasus. Le choix de confier les analyses à ce laboratoire reconnu n’est pas anodin. Dès 2018, le Citizen Lab avait publié un dossier relatant les traces laissées par NSO sur Internet.

Les cibles

Forbidden stories et Amnesty International vont attaquer en priorité la société NSO Group à l’origine de la création et commercialisation du logiciel Pegasus. Mais au-delà de NSO Group, les ONG cherchent essentiellement à dénoncer des états et régimes autoritaires bafouant la liberté de la presse notamment.

NSO Group

NSO est une société technologique israélienne créée en 2010 dans le domaine de la cyber surveillance. Avant 2010, Shalev Hulio et Omri Lavie, les deux cofondateurs, avaient créé Communitake, une solution permettant de prendre le contrôle à distance des smartphones à destination des opérateurs téléphoniques. Un troisième associé les rejoint en 2010, Niv Carmi, un ancien expert de la sécurité du Mossad. NSO a développé son logiciel espion Pegasus et affirme qu’il serait indétectable et utilisé uniquement à des fins légitimes d’enquêtes pénales. En 2020, sur 750 salariés près de 550 travaillaient uniquement en Recherche & Développement. Les technologies développées depuis 10 ans leur ont permis de maîtriser les techniques d’infiltrations des données dans les téléphones avec le « zéro click » de la part des utilisateurs, c’est-à-dire sans interactions avec d’autres utilisateurs. L’usage des smartphones ayant explosé depuis 10 ans notamment avec l’usage des réseaux sociaux, Pegasus a utilisé des failles dans les systèmes de iOS d’Apple, de la messagerie Whatsapp et Messenger de Facebook, des applications utilisées par des milliards de personnes à travers le monde.

En 2020, NSO Group a fait l’objet de procédures judiciaires de la part du parti politique Podemos et aussi de Facebook (bien qu’intéressé par le passé par la technologie de NSO)

11 États clients de NSO Group  : Arabie saoudite, Azerbaïdjan, Bahreïn, Émirats arabes unis, Hongrie, Inde, Kazakhstan, Mexique, Maroc, Rwanda et Togo.

Nous allons le voir plus bas, mais le Maroc fera l’objet d’un nombre de publications et d’attaques bien plus importantes que les autres pays. Dans le communiqué officiel de FS et Amnesty International, le Maroc est même cité en premier.

Analyse de la stratégie des attaques : des attaques précises en continu pendant plusieurs semaines :

A partir du 18 juillet 2021, date du 1er communiqué de presse et de l’annonce des résultats de l’enquête du projet Pegasus, une coordination exceptionnelle entre les 2 ONG et les 16 médias partenaires va avoir lieu avec une publication intense et quotidienne de nouvelles annonces des acteurs impliqués. Entre le 18 juillet et le 27 juillet, Amnesty International va relayer pas loin de 15 articles détaillés et Forbidden Stories près de 27 publications. Un rapport complet sera publié le 23 juillet pour détailler les analyses techniques effectuées en réponse à des premières contre-attaques de NSO et des Etats niant les faits et leurs implications.

Taper fort d’entrée pour un maximum d’écho

Le communiqué de presse annoncera dès le début la couleur : 

« Du dimanche 18 juillet au vendredi 23 juillet, une série de révélations sera publiée pour dénoncer l’utilisation de ce logiciel espion extrêmement puissant. Le consortium de journalistes a relevé que 11 États utilisaient Pegasus pour cibler les communications de journalistes, militants, dissidents ou politiques. Parmi ces pays on trouve le Maroc, l'Arabie saoudite, l'Inde ou la Hongrie. La France fait partie des pays dans lesquels des personnes sont visées. »… et plus loin : « Tout au long de la semaine, des médias partenaires du Projet Pegasus tels que Le Monde, le Washington Post, RadioFrance, The Guardian révéleront ces affaires et exposeront la manière dont des dirigeants, des personnalités politiques, des défenseurs des droits humains et des journalistes ont été visés par ce logiciel »

Le 1er communiqué révèlera exclusivement des noms de journalistes visés (comme Edwy Plenel de Mediapart). Il rappellera également des anciennes affaires déjà révélées comme l’implication de Pegasus et des écoutes dans l’entourage du journaliste saoudien assassiné Jamal Khashoggi et aussi de l’espionnage du journaliste Marocain Maati Monjib, arrêté et faisant l’objet d’une liberté conditionnelle.

FS et Amnesty International décident de se concentrer dans un premier temps sur leur combat numéro 1 : la défense des droits humains et de la liberté de la presse.

Pendant 2 semaines, le rythme des publications prendra régulièrement la forme suivante :

- Un jour, des révélations avec des noms précis de personnes ciblées (journalistes, politiques…) et les auteurs des espionnages

- Le lendemain, des articles de fond sur les méthodes qui ont permis cet espionnage en masse : détails sur NSO Group et ses financements, le rôle du gouvernement Israélien, les failles de sécurité de logiciels des GAFAM, les actionnaires de NSO…Ces révélations auront pour conséquence la publication de nombreux articles par d’autres médias qui relaieront bien entendu chaque article des médias partenaires mais aussi de nouveaux contenus posant de nouvelles questions sur les conséquences et raisons d’espionnage. Au regard du nombre important de personnalités impliquées, d’innombrables interviews auront lieu à la radio, télévision et dans tous les médias internationaux.

La longue liste des révélations et des attaques informationnelles : tout démarre le 18 juillet

- Deux femmes proches du journaliste Khashoggi assassiné auraient été mises sous écoute par les services Saoudiens à l’aide de Pegasus.

Dès le 18 juillet, les médias rappellent une des premières affaires liant Pegasus à un journaliste. L’idée de rappeler une affaire qui avait ému l’opinion publique et largement relayée en 2018 et d’y associer l’affaire Khashoggi à Pegasus permettra de créer des connexions et des rappels dans l’inconscient du grand public et surtout de montrer les conséquences et le rôle de l’espionnage téléphonique sur un assassinat déjà prouvé.

- Les agences gouvernementales de l’ancien président mexicain du PRI auraient enregistré en seulement un an et demi sur leurs plateformes Pegasus les téléphones portables de plus de 15 000 personnes, dont au moins 25 journalistes ont pu être identifiés - six d'entre eux travaillaient à l'époque à Proceso,  le journaliste de Guerrero Cecilio Pineda Brito, a été assassiné quelques semaines plus tard -, des défenseurs des droits de l'homme, des syndicalistes, gouverneurs, chefs religieux, universitaires, médecins, militaires, mineurs et plus de 700 hommes politiques et leurs familles, principalement issus des partis d'opposition.

Dès le 2eme jour une série de près de 100 publications va inonder les médias d’informations sur l’ampleur des écoutes. L’approche éditoriale est simple mais efficace. 1 client NSO concerné = 1 article.

- Le 19 juillet, les ONG s’attaquent précisément aux Emirats Arabes Unis et de nouveau à l’Arabie Saoudite en dévoilant que les 2 Etats écoutaient des hauts responsables politiques libanais (le président de la république Michel Aoun, l’ex-premier ministre Saad Hariri, l’ex-ministre des affaires étrangères Gibran Bassil…) et de cadres du Hezbollah. Bien que cette révélation sera moins relayée en France que les suivantes, elle a comme but de démontrer que des états sont capables d’écouter jusqu’au plus haut sommet d’autres états.

- Toujours le 19 juillet, des médias partenaires comme Le Monde, France Info et Le Soir annoncent que les services de renseignements marocains utiliseraient Pegasus pour écouter des journalistes marocains mais aussi français voir d’autres personnalités. Seul des noms de journalistes sont cités : Edwy Plenel, Eric Zemmour, Omar Radi, Taoufik Bouachrine. Cette publication a pour but de faire pression sur le procès intenté par l’état marocain à Omar Radi et de sa condamnation le jour même à six ans de prison pour « atteinte à la sécurité de l’état ». Amnesty demandera dans le même temps un nouveau procès équitable.

Les services marocains seront encore pointés du doigt le jour même sur une tentative d’écoute du maire d’Ivry-sur-seine, Philippe Bouyssou. Ce sera une des premières personnalités politiques révélée dans le Pegasus project.

- Le Washington Post, Le Monde et The Wire révèlent l’utilisation de Pegasus par le gouvernement indien sur l’opposant, Rahul Gandhi, leader du Parti du Congrès.

- Le Soir et The Guardian publient toujours le 19 juillet l’information que Carine Kanimba, la fille de l’opposant au président Rwandais, Paul Rusesabagina, aurait été écoutée par Pegasus. Là aussi, le choix de la date de publication permet de mettre en lumière au même moment le procès en cours de Rusesabagina.

- Radio France, Le Soir, le Washington Post et The Guardian annoncent que le gouvernement hongrois aurait mis sur écoute plus de 300 numéros de téléphones de journalistes, patrons de presse et hommes d’affaires : de nombreux noms sont directement visés notamment le président controversé Victor Orban, les journalistes d’Andras Szabo et de Szabolcs Panyi, journalistes reconnus du site d’investigation Direkt36, média partenaire du Pegasus Project.

- Dernière révélation du 19 juillet, Le Monde détaille une cible précise écoutée par le gouvernement mexicain du PRI : les familles des étudiants disparus d’Ayotzinapa

=> Cette journée du 19 juillet permet d’exposer au monde entier un panorama clair et précis : tous les continents sont touchés, l’Afrique, L’Amérique centrale, l’Asie, le Moyen-Orient et l’Europe. Aucun journaliste n’est épargné et certains gouvernants non plus.

- Le 20 juillet en fin de matinée, le Maroc est de nouveau ciblé avec la révélation de plus de 6 000 numéros algériens sélectionnés par les services marocains.

- Toujours le 20 juillet, la nature des révélations va changer d’ampleur et générer un écho mondial avec la publication d’articles notamment du Washington Post, Le Monde et Radio France révélant que les services de renseignements marocains auraient utilisé le logiciel Pegasus pour écouter le 1er ministre Français Edouard Philippe et 15 ministres français.

- Toujours le 20 juillet, des articles du monde entier précisent qu’un des téléphones du président de la république Emmanuel Macron aurait été infecté par Pegasus sur ordre  du Maroc.
Cette attaque informationnelle aura pour conséquence une série de décisions politiques.

Classement Google Trends des recherches associées à Pegasus sur Google France en septembre 2021.

pegasus4

 


Les jours suivants, les publications continueront afin de mettre en lumière les agissements des clients de NSO :

- Les noms de 13 chefs d’états en exercice et d’exécutif feraient parti de la liste des 50 000 numéros analysés par les ONG 

-  Le 21 juillet, Le Soir explique comment l’utilisation de Pegasus aurait jouer un rôle dans la capture de la princesse Latifa fille de Mohammed ben Rachid Al Maktoum, Premier ministre des Emirats arabes unis.

- Le 21 juillet, les fans de Foot découvrent que le patron Qatari du PSG et de BeIN Sports Nasser Al-Khelaïfi, a été visé par le logiciel espion Pegasus en pleine bataille diplomatique et commerciale entre l’Arabie saoudite, les Emirats arabes unis et le Qatar.

- Le 22 juillet, The Guardian, Le Monde, The Wire, détaillent comment l’entourage (en exil) du Dalaï Lama a été mis sur écoute par le gouvernement Indien
-
Toujours le 22 juillet, le gouvernement indien Narendra Modi est mis en cause toujours avec l’utilisation de Pegasus pour avoir écouté le responsable de Dassault en Inde au cours de la vente des Rafales, ainsi qu’EDF lors de la négociation de réacteurs EPR.

- Le 23 juillet, Le Monde explique comment le Togo surveille les opposants au président Gnassingbé.
 

Les conséquences diplomatiques et judiciaires au 15 septembre 2021

Après les attaques informationnelles, les politiques, journalistes et personnes concernées par les écoutes vont contre-attaquer aussi bien sur le terrain de la guerre de l’information, que diplomatique et judiciaire. - Suite à des articles mettant en cause des sociétés technologiques comme Apple ou Facebook, Amazon décide de prendre les devants le 20 juillet et annonce la fermeture de l’accès à ses serveurs AWS à la société NSO Group.

- Le 20 juillet, le parquet de Paris ouvre une enquête sur l’espionnage des journalistes de Mediapart suite à la plainte du Canard Enchaîné et Mediapart.
- Au même moment à Alger,
le procureur algérien ouvre aussi une enquête préliminaire concernant les révélations d’écoutes de la part du Maroc. Alger attaque en diffamation l’ONG Reporters Sans Frontières, qui accusait l’Algérie d’utiliser Pegasus, l’ONG étant revenue sur ses affirmations. A ce jour, les relations diplomatiques ont été rompues entre l’Algérie et le Maroc suite à des tensions sur le dossier du Sahara occidental.

- Le 21 juillet , de nombreuses personnalités politiques françaises vont réagir en France sur twitter et dans la presse. Cédric Villani et François de Rugy saisissent la justice et portent plainte. Le jour même, le ministre de la Défense israélienne arrive à Paris.

- Dans le même temps, en Inde, les révélations déclenchent un tollé au congrès.
- Pendant qu’Emmanuel Macron convoque un conseil de défense exceptionnel pour faire un point sur la situation sur les cibles françaises et sur le thème de la cybersécurité, le Maroc porte
plainte et attaque en diffamation FS et Amnesty International devant le tribunal correctionnel de Paris. Le jour même les ONG répondent immédiatement par un communiqué en maintenant bien entendu les données publiées. Les autorités françaises confirmeront les infections des téléphones de plusieurs journalistes par Pegasus.

- Le 24 juillet, Amnesty International demande un moratoire sur l’utilisation des technologies de cybersurveillance. L’ONU réagira le 12 août en nommant un groupe d’experts et un groupe de travail des procédures spéciales du Conseil des Droits de l’Homme. L’objectif est la mise en place d'une réglementation sur l'utilisation des technologies de surveillance garantissant les droits de l'homme.

- Angela Merkel plaide et alerte sur la nécessité de restreindre l’accès à des technologies de cybersurveillance. On apprendra début septembre que finalement la police fédérale allemande était aussi cliente de NSO.

- Fin juillet, on découvre que l’actionnaire principal de NSO Group, le fonds européen Novalpina va être dissous suite à des désaccords entre associés du fonds et qu’il va être remplacé par un nouveau fonds le Berkeley Research group. Le peu d’analyses de fonds de la part des ONG sur cette affaire de gros sous pose question et l’avenir capitalistique de NSO Group sera à surveiller de près. On peut aussi se poser la question des liens entre les annonces faites fin juillet et du calendrier des annonces des changements d’actionnaires.

- Malgré des démentis en continu de la part de NSO, ces derniers vont toutefois décider d'empêcher temporairement plusieurs de ses clients gouvernementaux d'utiliser sa technologie

- Le 6 août, 17 journalistes aux côtés de Reporters sans frontières et 7 pays décident de porter plainte contre NSO Group

- 3 semaines après avoir été mis en cause, Apple annonce avoir réparé une faille de sécurité. Apple sera encore mis en avant par le Citizen Lab le 13 septembre qui communiquera sur une nouvelle faille de sécurité dans son application iMessage, Apple déclarera 3 jours plus tard avoir corrigé la faille.

Les enquêtes réalisées, la coordination avec des médias internationaux et la diffusion intense et continue des attaques ont eu un effet dévastateur sur les cibles. La plupart des pays attaqués ont soit répondu par des communiqués de presse qui niaient les faits, soit attaqué en justice pour diffamation les ONG. NSO et l'Israël ont aussi gagné du temps et finalement peu répondu par des contres arguments précis.

Est-ce que le gouvernement Israélien a accès aux données de NSO ? Pegasus a t-il été utilisé comme une arme de soft power ou de pression dans le cadre des accords d’Abraham ? Existe-t-il un lien ou est-ce simplement une coïncidence dans le fait que les ONG sortent l’affaire au même moment que des désaccords majeurs entre associés du fond majoritaire de NSO ? Les services de renseignements français étaient-ils au courant de l’ampleur des écoutes sur la classe politique française ? Pourquoi le Maroc espionne autant de politiques français ?

Bien que beaucoup de questions restent en suspens, cette affaire aura permis de révéler au monde entier les conséquences du renseignement privé. Les technologies d’espionnage autrefois réservées aux « grandes puissances » deviennent désormais accessibles au plus grand nombre. NSO n’est pas la seule entreprise technologique privée à vendre ce type de logiciel de renseignement, le logiciel DevisTongue de la société Candiru a déjà été aussi identifié par le Citizen Lab.

L’idée de faire réagir les instances internationales sur la nécessité de réguler les ventes de logiciels d’écoutes n’est qu’à son début.

 

Sylvain Dely
Auditeur de la 37ème promotion MSIE