ENQUÊTE. Le "projet Pegasus" : un logiciel espion utilisé par des États pour cibler des politiques, des journalistes, des avocats... y compris des Français
C’est sans doute l’affaire de cyberespionnage la plus importante depuis l’affaire Snowden. En 2013, on découvrait, sidéré, dans le contexte de l’après 11-Septembre, que la NSA américaine avait mis en place un système mondialisé de surveillance de données. Mais les révélations que Forbidden Stories et ses partenaires, avec le concours technique du Security Lab d'Amnesty International, sont en mesure de faire aujourd’hui, semblent encore plus graves. Car elles montrent que cette surveillance n’est pas l’apanage d’un pays aux pratiques déviantes, aussi grand soit-il, mais qu’elle est généralisée, et concerne tous types de nations.
Qu’il s’agisse du Mexique, de l’Inde, du Maroc, de l’Indonésie, de l’Arabie saoudite, des Emirats arabes unis, du Kazakhstan, de l’Azerbaïdjan, du Togo, du Rwanda, et même de la Hongrie, un membre de l’Union européenne, des agences gouvernementales ciblent leur propres concitoyens, ainsi que des personnalités à l’extérieur de leurs pays, qui n’ont pour seul tort que d’être des avocats, des journalistes, des diplomates, des médecins, des sportifs, des syndicalistes, de simples militants, ou des hommes politiques, y compris des ministres, et 13 chefs d’Etat ou de gouvernement (dont trois européens comme nous le préciserons ces prochains jours).
"Ce que l’on voit avec le projet Pegasus est très différent et encore plus inquiétant que ce qu’on voyait dans l’affaire Snowden, estime Laurent Richard, le directeur de Forbidden Stories. Ici, on a à faire à une société privée qui vend un logiciel extrêmement intrusif, à des États connus pour leur politique répressive en matière de droits de l’Homme et contre des journalistes. Et on voit clairement que ces États détournent cet outil pour l’utiliser contre ces populations-là".
Un logiciel de piratage des smartphones
Le logiciel espion dont il est question porte le nom très évocateur de Pegasus. Il n’est commercialisé qu’auprès d’États ou d’agences gouvernementales, avec l’aval du gouvernement israélien, par une société baptisée NSO, qui emploie 750 salariés à Herzliya, dans la banlieue de Tel Aviv, mais aussi à Chypre et en Bulgarie. Officiellement, il a pour but d’aider les services de renseignement à lutter contre la criminalité.
Sur son site Internet, NSO précise qu'elle "crée des technologies qui aident les agences gouvernementales à prévenir et à enquêter sur le terrorisme et les crimes, pour sauver des milliers de vie dans le monde". Pour cela, Pegasus pénètre dans les smartphones, qu’ils fonctionnent sous le système d'exploitation d'Apple, iOS (y compris dans sa dernière version) ou celui de Google, Android. Il a ensuite accès à tout : contacts, photos, mots de passe. Il peut lire les emails, suivre les conversations, même sur les messageries chiffrées, géolocaliser l’appareil et activer micros et caméras pour transformer le smartphone en véritable mouchard. "Nous nous engageons à vérifier le bon usage de notre technologie (…) et nous enquêtons sur toute allégation crédible d’un mauvais usage de nos produits", affirme NSO sur son site. Et il est vrai que la société a mis en place une adresse mail dédiée aux lanceurs d’alerte qui auraient des informations sur un possible détournement de l’usage de son logiciel.
Un consortium pour enquêter
La réalité semble cependant éloignée de ce discours officiel. Nos confrères de Forbidden Stories l’ont très vite compris lorsqu’ils ont eu accès à une liste de plus de 50 000 numéros de téléphones, entrés par une dizaine de clients de NSO dans le système qui active Pegasus. Ils ont alors partagé cette liste, qui court sur plusieurs années après 2016, avec un consortium international qu’ils ont constitué avec 16 médias, parmi lesquels le Washington Post aux Etats-Unis, le Guardian en Grande-Bretagne, le Süddeutsche Zeitung en Allemagne, la cellule investigation de Radio France, et le journal Le Monde en France.
Pendant plusieurs mois, près de 80 journalistes ont analysé ces numéros de téléphone et identifié nombre de leurs propriétaires, dans une cinquantaine de pays. Certains ont accepté de nous confier leurs téléphones, car être sélectionné comme cible ne signifie pas forcément être attaqué ou infecté. Le Security Lab d’Amnesty International, partenaire technique du projet et spécialiste de l’analyse de ce type d’infection, a pu établir que sur 67 téléphones expertisés, 37 présentaient des signes d’attaque ou d’infection par le logiciel Pegasus.
Cibles de Pegasus : les journalistes
Parmi les numéros sélectionnés comme cibles, nous avons pu comptabiliser plus de 180 journalistes. Et si l’on devait établir un classement des pays les plus actifs avec Pegasus, le Mexique serait sans doute dans le peloton de tête. Là-bas, ce sont près de 15 000 numéros de téléphone qui ont été sélectionnés comme autant de cibles potentielles pour une attaque du logiciel espion. Parmi eux, celui de Cecilio Pineda, un journaliste assassiné en mars 2017, quelques semaines après que son numéro soit apparu dans le listing. Figurent aussi une vingtaine de membres des principaux médias de la capitale Mexico (dont El Tiempo, El Mundo et la télévision nationale), ainsi que des journalistes de publications locales, un chroniqueur de Bloomberg, et un producteur de CNN. En Inde, ce sont 30 journalistes, dont cinq d’investigation, dix chargés de l’information internationale, et huit spécialistes politiques, qui ont été sélectionnés parmi les cibles du logiciel espion. Y-a-t-il un lien de cause à effet ? Certains d’entre eux avaient enquêté sur le contrat controversé des 36 avions Rafale vendus en 2016 par la France au gouvernement indien. Ils étaient poursuivis par des grands groupes industriels proches du Premier ministre indien, Narendra Modi, dont Reliance Industrie, le partenaire de Dassault soupçonné d’être impliqué dans une affaire de corruption dans le cadre de la vente des Rafale.
Nos investigations nous ont aussi conduits en Arabie saoudite. Le journal israélien Haaretz avait déjà révélé que le royaume avait acheté le logiciel Pegasus en 2017, juste avant que Mohamed Ben Salman n’entame une purge parmi près de 500 de ses opposants. Mais nos investigations démontrent qu’une partie de l’entourage et de la famille du journaliste Jamal Khashoggi, assassiné au consulat saoudien d’Istanbul le 2 octobre 2018, a été sélectionné sur la liste des cibles potentielles après le meurtre, dont sa fiancée, son avocat, l’un de ses enfants, et même le procureur en charge de l’enquête à Istanbul. Figurent aussi sur la liste des journalistes de la chaîne qatarie Al Jazeera.
En Hongrie, pays membre de l’Union européenne, même constat. Les numéros de dix avocats ont été rentrés dans le système Pegasus, ainsi que ceux de nombreuses personnalités, dont Zoltan Varga, le patron d’un grand groupe de médias indépendant, et deux journalistes de Direkt36, un site d’investigation indépendant de Budapest.
Plus de 1 000 Français ciblés
La France n’est pas cliente de NSO. Mais plusieurs journalistes de l’hexagone figurent parmi les numéros sélectionnés. C’est le cas de deux journalistes de Mediapart, dont son fondateur Edwy Plenel, mais aussi de Dominique Simonnot, l’actuelle contrôleuse générale des lieux de privations de liberté (CGLPL), qui jusqu’en 2020 était journaliste au Canard enchaîné, ou encore de Bruno Delport, le directeur de TSF Jazz, qui postula en 2019 à la présidence de Radio France. Figurent encore parmi les numéros sélectionnés, ceux de confrères du Monde, de France 2, de France 24, de RFI, celui de Rosa Moussaoui de L'Humanité, ancien responsable du bureau de l’AFP à Rabat, ainsi que l’éditorialiste du Figaro Eric Zemmour.
L'analyse des données auxquelles nous avons eu accès nous a permis de démontrer que ces numéros de téléphone avaient été rentrés dans le système Pegasus par le Maroc, parfois compte tenu de leurs prises de positions considérées comme hostiles au régime ou de leur proximité avec des Marocains perçus comme des opposants, mais dans d’autres cas pour des raisons inconnues. Le Security Lab d’Amnesty avait déjà trouvé des traces d’infection du logiciel Pegasus dans le téléphone portable d’Omar Radi, le journaliste du site d’information indépendant Le Desk, officiellement accusé de viol et d’atteinte à la sécurité intérieure de l’État, et emprisonné au Maroc depuis juillet 2020. Or le même laboratoire a pu démontrer que le téléphone d’Edwy Plenel a lui aussi été infecté, après qu’il ait participé au festival culturel d’Essaouira en juin 2019, à l’invitation du Desk, où il a plaidé pour la libération des prisonniers du Rif, incarcérés après des manifestations en 2016.
Outre ses fonctions de patron de média, Bruno Delport préside quant à lui le Conseil d’administration de Solidarité Sida, une association qui démarrait des projets de prévention auprès de prostituées et de toxicomanes au Maroc, lorsque son téléphone a été attaqué. Au total, nous avons pu établir qu’au moins 35 numéros de journalistes ont été sélectionnés comme cibles par le Maroc. Et en deux ans, toutes professions confondues, ce sont plus de 10 000 numéros que l’utilisateur du logiciel de NSO dans ce pays a rentrés dans le système, dont près de 1 000 correspondent à des citoyens français.
En réponse à nos questions, l’ambassade du Maroc nous a adressé la réponse suivante : "Les autorités marocaines ne comprennent pas le contexte de la saisine par le consortium international de journalistes (Forbidden Stories) sollicitant les réponses et précisions du gouvernement marocain sur les outils de surveillance numérique de NSO group." Évoquant le cas d’Omar Radi, elle ajoute : "Les autorités marocaines demeurent depuis le 22 juin 2020 dans l’attente de preuves matérielles de la part d’Amnesty International qui a été incapable de prouver une quelconque relation entre le Maroc et NSO."
NSO argue de sa bonne foi
En octobre 2019, NSO avait déjà été fragilisée pour avoir rendu possible le piratage de 1 400 téléphones, en exploitant une vulnérabilité de la messagerie chiffrée WhatsApp. Une centaine de journalistes et des militants des droits de l’Homme avaient alors été ciblés. Facebook, maison mère de WhatsApp, avait déposé une plainte à laquelle s’étaient joints Google, Microsoft et d’autres sociétés informatiques. En décembre 2020, nos confrères du Guardian révélaient que des traces de Pegasus avaient été repérées dans les téléphones portables d’une douzaine de journalistes de la chaîne qatarie Al Jazeera. Et en décembre 2020, le projet Cartel, déjà conduit par Forbidden Stories avec la cellule investigation de Radio France, avait documenté un dévoiement de Pegasus au Mexique.
En réponse aux questions que nous lui avons adressées, NSO réaffirme qu'elle a pour mission de sauver des vies. "Nous assurons cette mission avec détermination, en dépit de tentatives répétées de nous discréditer sur la base de fausses informations", explique la société. Au regard de ce que nous révélons, peut-elle pour autant continuer d’ignorer que de nombreux pays détournent sa technologie à d’autres fins que la prévention du crime organisé et du terrorisme ? Dans sa réponse, la société ajoute : "NSO Group continuera d’enquêter sur toute allégation de mauvais usage (de Pegasus), et nous prendrons des décisions en fonction des résultats de ces enquêtes. Cela peut aller jusqu’à fermer l’accès de notre système à nos clients … Ce que nous avons déjà fait par le passé de nombreuses fois, et que nous n’hésiterons pas à refaire si nécessaire."