Pegasus, l’arbre qui cache la forêt du marché de la cybersurveillance étatique
Le siège de NSO Group, qui vend le logiciel espion Pegasus, se trouve à Herzliya, au nord de Tel Aviv.
Les révélations autour de Pegasus, le logiciel espion de la société israélienne NSO, ont provoqué de vives réactions depuis lundi. Mais, cet outil de cybersurveillance n’est pas unique en son genre.
Ces sites avaient de quoi inspirer confiance. Ils s’appelaient Amnesty Report, Refugee International, Euro News ou encore CNN 24-7. Mais une simple visite sur leur page d’accueil entraînait l’installation d’un virus sur le smartphone utilisé par l’internaute.
Et pas n’importe lequel puisqu’il s’agissait d’un logiciel espion très perfectionné, vendu par une entreprise israélienne et qui a été utilisé par plusieurs gouvernements pour espionner des journalistes ou des activistes. Un outil de cybersurveillance qui ressemble à Pegasus, le programme fouineur de la société NSO, en a les mêmes fonctionnalités, mais n’est pas Pegasus.
Dans la cour des grands
En l'occurrence, ce logiciel espion s’appelle Candiru et les récentes révélations au sujet de son déploiement dans une dizaine de pays aurait pu faire beaucoup plus de bruit médiatique. Mais le scandale Pegasus, révélé dimanche 18 juillet par le consortium d'investigation Forbidden Stories en partenariat avec Amnesty International, est passé par là.
Depuis lors, le fameux outil de surveillance électronique utilisé pour espionner des dizaines de journalistes, responsables politiques et activistes à travers le monde accapare toute l’attention médiatique.
Pourtant, l’exemple de Candiru démontre que le logiciel de NSO n’est pas unique en son genre. Il y a toute une forêt de la cybersurveillance derrière l’arbre Pegasus.
"Si on prend ce marché au sens large, il y a des milliers d’outils qui permettent d’espionner ce qui se passe sur un téléphone portable", souligne Bastien Bobe, directeur technique pour l’Europe du Sud de la société de cybersécurité sur les smartphones Lookout, contacté par France 24.
Mais au sein de cet écosystème, il existe une toute petite élite de Big Brothers à laquelle appartient Pegasus. "Il n’y a pas plus d’une demi-douzaine d’acteurs qui jouent dans la même cour que NSO", poursuit cet expert de Lookout, l’une des premières sociétés de cybersécurité à avoir analysé Pegasus en 2016.
À lire aussi sur France 24 : Après le scandale Pegasus, des conséquences internationales limitées ?
Cette poignée d’acteurs ne ressortent pas du lot grâce à la sophistication de leur logiciel espion. Les capacités de Pegasus – écouter les conversations, lire les messages envoyés sur WhatsApp ou Telegram, prendre des photos avec l’appareil piraté, géolocaliser le smarpthone, etc. – n’ont plus rien d’extraordinaire en 2021.
Ce qui distingue ces seigneurs du matériel de cybersurveillance, c’est "leur capacité à garantir à leurs clients que le logiciel espion sera installé en toute discrétion sur les terminaux des victimes", précise Bastien Bobe.
Pegasus appartient à cette petite famille de logiciels espions qui peuvent être activés à distance sans aucune interaction avec la victime. Autrement dit, la cible n’a pas besoin de cliquer sur un lien, de se rendre sur un faux site ou de répondre à un message pour que le programme de surveillance se mette en branle. Il suffit de rentrer le numéro de téléphone à surveiller sur une plateforme de contrôle à distance et le tour est joué, Pegasus s’occupe du reste.
Discrétion assurée
Pour améliorer encore leur discrétion, ces quelques acteurs à la pointe du cyberespionnage "utilisent des vulnérabilités technologiques des appareils visés – iPhone et Android – qui ne sont pas encore connues des fabricants de ces smartphones", précise Pierre Delcher, chercheur en cybersécurité pour la société russe de sécurité informatique Kaspersky, contacté par France 24.
Les récentes révélations sur Pegasus ont ainsi permis de constater que le petit outil de NSO s’installait sur les iPhone des victimes en exploitant une faille du service iMessage qui avait échappé à Apple. "Il suffisait d’envoyer un code sur le numéro de la victime pour mettre l’iPhone sur écoute. Le destinataire n’avait même pas besoin d’ouvrir le message", note Philippe Rondel, expert en cybersécurité pour la société de sécurité informatique Check Point, contacté par France 24.
C’est cette capacité à agir en toute discrétion qui est l’argument de vente numéro 1 de ces quelques stars de la cybersurveillance privée. Outre NSO, il y a d'autres sociétés israéliennes et au moins un "groupe d’Europe du Nord" qui sont capables d’offrir le même niveau de service, assure Bastien Bobe, qui refuse d’en dire plus sur l’identité de ces marchands d’armes numériques.
Si NSO est le plus connu de ces revendeurs de logiciels espions, c’est essentiellement "parce qu’il est le groupe qui a le plus de clients dans le monde et qui fait le plus ouvertement la promotion de son savoir-faire", estime Philippe Rondel, l’expert de Check Point.
Cette entreprise représente en outre "le bras cyber de la diplomatie israélienne", affirme Bastien Bobe. Il ajoute que lorsque l’État hébreu signe un accord avec une autre nation, il peut inclure des clauses prévoyant que NSO fournira son fameux logiciel espion au service de renseignement du pays signataire. Une manière pour le gouvernement de rentabiliser politiquement la très développée filière du cyberespionnage, dont Pegasus ou Candiru ne sont que deux exemples.
C’est ainsi que l’accès à la technologie de NSO "a sûrement aidé à finaliser les accords de normalisation des relations avec certains pays arabes", comme le Maroc ou les Émirats arabes unies, a affirmé Yoel Guzansky, chercheur à l’Institut israélien pour la sécurité nationale, interrogé par l’AFP.
Un marché en plein essor
Les révélations du consortium Forbidden Stories prouvent aussi qu’il y a une importante demande pour ce type d’outils. NSO avait une trentaine de clients étatiques prêts à dépenser des millions de dollars pour mieux lutter contre le terrorisme… ou espionner des journalistes et leaders d'opinion.
"C’est un marché en plein essor. Il y a multiplication des acteurs et des méthodes d’espionnage proposées", affirme Bastien Bobe. Ainsi, ceux qui ne peuvent pas s’offrir les services de l’élite de ce secteur peuvent se rabattre sur des entreprises qui proposent des logiciels espions ne nécessitant, par exemple, qu’une seule interaction avec la victime, comme c'est le cas avec Candiru. Il suffit alors que le propriétaire du smartphone visé ouvre un message ou un lien piégé. "C’est beaucoup moins cher et il y des dizaines de sociétés qui vendent ce type de service un peu moins discret", précise l’expert de Lookout.
Et tous ces mercenaires de la cybersurveillance se perfectionnent de plus en plus, ce qui fait "qu’il y aura très probablement dans cinq ans des dizaines d’entreprises qui offriront le même niveau de services que NSO", estime Bastien Bobe.
Le risque sera alors que ces logiciels espions très puissants, actuellement réservés à des services de renseignement étatiques, se retrouvent entre les mains de cybercriminels ordinaires. "On constate souvent que les armes cyber utilisés par les États se retrouvent in fine en vente sur le marché noir de la cybercriminalité", rappelle Philippe Rondel.
C’est pourquoi il est urgent, d’après Pierre Delcher de Kaspersky, de "réglementer davantage le commerce et l’exportation de ces logiciels afin de mieux contrôler ce secteur". Qui sait ce qu’un groupe de cybercriminels pourrait faire comme dégâts s’il mettait la main sur une arme du calibre de Pegasus, capable de siphonner en toute discrétion des informations personnelles de n’importe quel téléphone.