211service.com
À l'intérieur de NSO, le géant israélien des logiciels espions d'un milliard de dollars
La société de surveillance la plus notoire au monde dit qu'elle veut nettoyer son acte. Allez, on vous écoute. 19 août 2020
Ariel Davis
Maâti Monjib parle lentement, comme un homme qui se sait écouté.
C'est le jour de son 58e anniversaire que nous parlons, mais il y a peu de célébration dans sa voix. La surveillance est infernale, me dit Monjib. C'est vraiment difficile. Il contrôle tout ce que je fais dans ma vie.
Cette histoire faisait partie de notre numéro de septembre 2020
- Voir la suite du problème
- S'abonner
Professeur d'histoire à l'Université Mohammed V de Rabat, au Maroc, Monjib se souvient très bien du jour de 2017 où sa vie a changé. Accusé d'avoir mis en danger la sécurité de l'État par le gouvernement qu'il a vivement et publiquement critiqué, il était assis devant une salle d'audience lorsque son iPhone s'est soudainement allumé avec une série de SMS provenant de numéros qu'il ne reconnaissait pas. Ils contenaient des liens vers des nouvelles salaces, des pétitions et même des offres d'achat du Black Friday.
Un mois plus tard, un article l'accusant de trahison est apparu sur un site d'information national populaire étroitement lié aux dirigeants royaux du Maroc. Monjib était habitué aux attaques, mais il semblait maintenant que ses harceleurs savaient tout sur lui : un autre article contenait des informations sur un événement pro-démocratie auquel il devait assister mais dont il n'avait parlé à presque personne. Une histoire a même proclamé que le professeur n'avait aucun secret pour nous.
Il avait été piraté. Les messages avaient tous conduit à des sites Web qui, selon les chercheurs, étaient conçus comme des leurres pour infecter les appareils des visiteurs avec Pegasus, le logiciel espion le plus notoire au monde.
Pegasus est le produit à succès du groupe NSO, une société de surveillance israélienne secrète d'un milliard de dollars. Il est vendu aux forces de l'ordre et aux agences de renseignement du monde entier, qui utilisent les outils de l'entreprise pour choisir une cible humaine, infecter le téléphone de la personne avec le logiciel espion, puis prendre le contrôle de l'appareil. Une fois que Pegasus est sur votre téléphone, ce n'est plus votre téléphone.

L'universitaire marocain et militant de la liberté d'expression Maâti Monjib est surveillé par son gouvernement depuis des années. La surveillance est infernale, dit-il.
NSO vend Pegasus avec le même pitch que les marchands d'armes utilisent pour vendre des armes conventionnelles, le positionnant comme une aide cruciale dans la chasse aux terroristes et aux criminels. À une époque de technologie omniprésente et de cryptage puissant, ce piratage légal est devenu un outil puissant pour la sécurité publique lorsque les forces de l'ordre ont besoin d'accéder aux données. NSO insiste sur le fait que la grande majorité de ses clients sont des démocraties européennes, bien qu'étant donné qu'il ne publie pas de listes de clients et que les pays eux-mêmes restent silencieux, cela n'a jamais été vérifié.
Le cas de Monjib, cependant, fait partie d'une longue liste d'incidents dans lesquels Pegasus a été utilisé comme outil d'oppression. Il a été lié à des cas tels que le meurtre du journaliste saoudien Jamal Khashoggi, le ciblage de scientifiques et de militants réclamant une réforme politique au Mexique et la surveillance par le gouvernement espagnol de politiciens séparatistes catalans. Le Mexique et l'Espagne ont nié avoir utilisé Pegasus pour espionner des opposants, mais les accusations selon lesquelles ils l'ont fait sont étayées par des preuves techniques substantielles.
L'argument de base de NSO est qu'il est le créateur d'une technologie utilisée par les gouvernements, mais que puisqu'il n'attaque personne lui-même, il ne peut être tenu pour responsable.
Certaines de ces preuves sont contenues dans un procès intenté en octobre dernier en Californie par WhatsApp et sa société mère, Facebook, alléguant que Pegasus a manipulé l'infrastructure de WhatsApp pour infecter plus de 1 400 téléphones portables. Les enquêteurs de Facebook ont trouvé plus de 100 défenseurs des droits humains, journalistes et personnalités publiques parmi les cibles, selon des documents judiciaires. Ils ont découvert que chaque appel intercepté envoyait un code malveillant via l'infrastructure de WhatsApp et obligeait le téléphone du destinataire à télécharger des logiciels espions à partir de serveurs appartenant à NSO. Selon WhatsApp, cela constituait une violation de la loi américaine.
Histoire connexe
À l'intérieur de NSO, le géant israélien des logiciels espions d'un milliard de dollars La société de surveillance la plus notoire au monde dit qu'elle veut nettoyer son acte. Allez, on vous écoute.NSO a longtemps fait face à de telles accusations avec silence. Prétendant qu'une grande partie de ses activités est un secret d'État israélien, elle a fourni peu de détails publics précieux sur ses opérations, ses clients ou ses garanties.
Maintenant, cependant, la société suggère que les choses changent. En 2019, NSO, qui appartenait à une société de capital-investissement, a été revendue à ses fondateurs et à une autre société de capital-investissement, Novalpina, pour 1 milliard de dollars. Les nouveaux propriétaires décident d'une nouvelle stratégie : sortir de l'ombre. L'entreprise a embauché des cabinets de relations publiques d'élite, élaboré de nouvelles politiques en matière de droits de l'homme et élaboré de nouveaux documents d'auto-gouvernance. Il a même commencé à montrer certains de ses autres produits, comme un système de suivi covid-19 appelé Fleming, et Eclipse, qui peut pirater des drones considérés comme une menace pour la sécurité.
Pendant plusieurs mois, j'ai parlé avec la direction de NSO pour comprendre comment l'entreprise fonctionne et ce qu'elle dit faire pour prévenir les violations des droits de l'homme commises à l'aide de ses outils. J'ai parlé à ses détracteurs, qui y voient un danger pour les valeurs démocratiques; à ceux qui demandent instamment plus de réglementation de l'activité de piratage ; et aux régulateurs israéliens chargés de la gouverner aujourd'hui. Les dirigeants de l'entreprise ont parlé de l'avenir de NSO et de ses politiques et procédures de gestion des problèmes, et il a partagé des documents qui détaillent ses relations avec les agences auxquelles il vend Pegasus et d'autres outils. Ce que j'ai trouvé, c'est un marchand d'armes prospère - au sein de l'entreprise, les employés reconnaissent que Pegasus est une véritable arme - aux prises avec de nouveaux niveaux de contrôle qui menacent les fondements de toute son industrie.
Une tâche difficile
Dès le premier jour où Shmuel Sunray a rejoint NSO en tant que conseiller juridique, il a fait face à un incident international après l'autre. Embauché quelques jours seulement après le dépôt de la plainte de WhatsApp, il a trouvé d'autres problèmes juridiques qui l'attendaient sur son bureau dès son arrivée. Ils se sont tous concentrés sur la même accusation de base : les outils de piratage du groupe NSO sont vendus à des régimes riches et répressifs qui n'ont que peu ou pas de comptes à rendre et peuvent en abuser.
Sunray avait beaucoup d'expérience avec le secret et la controverse : son travail précédent était celui de vice-président d'un grand fabricant d'armes. Au cours de plusieurs conversations, il était amical car il m'a dit que les propriétaires lui avaient demandé de changer la culture et les opérations de NSO, de la rendre plus transparente et d'essayer d'empêcher les violations des droits de l'homme de se produire. Mais il était aussi évidemment frustré par le secret qui, selon lui, l'empêchait de répondre aux critiques.
C'est une tâche difficile, m'a dit Sunray au téléphone depuis le siège de la société à Herzliya, au nord de Tel-Aviv. Nous comprenons la puissance de l'outil; nous comprenons l'impact d'une mauvaise utilisation de l'outil. Nous essayons de faire la bonne chose. Nous avons de vrais défis à relever avec le gouvernement, les agences de renseignement, la confidentialité, les nécessités opérationnelles, les limites opérationnelles. Ce n'est pas un cas classique de violation des droits de l'homme par une entreprise, car nous n'exploitons pas les systèmes - nous ne sommes pas impliqués dans les opérations réelles des systèmes - mais nous comprenons qu'il existe un risque réel d'abus de la part des clients. Nous essayons de trouver le bon équilibre.
Cela sous-tend l'argument de base de NSO, qui est courant chez les fabricants d'armes : l'entreprise est le créateur d'une technologie utilisée par les gouvernements, mais elle n'attaque personne elle-même, elle ne peut donc pas être tenue pour responsable.
Pourtant, selon Sunray, plusieurs couches de protection sont en place pour essayer de s'assurer que les mauvaises personnes n'y ont pas accès.
Faire une vente
Comme la plupart des autres pays, Israël a des contrôles à l'exportation qui exigent que les fabricants d'armes soient autorisés et soumis à la surveillance du gouvernement. En outre, NSO fait sa propre diligence raisonnable, dit Sunray : son personnel examine un pays, examine son bilan en matière de droits de l'homme et examine ses relations avec Israël. Ils évaluent les antécédents de l'agence spécifique en matière de corruption, de sécurité, de financement et d'abus, ainsi que la prise en compte de son besoin de l'outil.
Parfois, les négatifs sont mis en balance avec les positifs. Le Maroc, par exemple, a un bilan en matière de droits de l'homme qui se détériore, mais une longue histoire de coopération avec Israël et l'Occident en matière de sécurité, ainsi qu'un véritable problème de terrorisme, de sorte qu'une vente aurait été approuvée. En revanche, NSO a déclaré que la Chine, la Russie, l'Iran, Cuba, la Corée du Nord, le Qatar et la Turquie font partie des 21 pays qui ne seront jamais des clients.
Enfin, avant qu'une vente ne soit effectuée, le comité de gouvernance, des risques et de la conformité de NSO doit approuver. La société affirme que le comité, composé de dirigeants et d'actionnaires, peut refuser des ventes ou ajouter des conditions, telles que des restrictions technologiques, qui sont décidées au cas par cas.
Prévenir les abus
Une fois qu'une vente est conclue, selon l'entreprise, des garde-fous technologiques empêchent certains types d'abus. Par exemple, Pegasus n'autorise pas l'infection des numéros de téléphone américains, dit NSO, et les téléphones infectés ne peuvent même pas être localisés physiquement aux États-Unis : si l'on se trouve à l'intérieur des frontières américaines, le logiciel Pegasus est censé s'autodétruire.
Le NSO affirme que les numéros de téléphone israéliens sont, entre autres, également protégés, bien que qui d'autre bénéficie de la protection et pourquoi reste flou.
Lorsqu'un rapport d'abus arrive, une équipe ad hoc de jusqu'à 10 employés de l'ONS est constituée pour enquêter. Ils interrogent le client sur les allégations et demandent des journaux de données Pegasus. Ces journaux ne contiennent pas le contenu extrait par le logiciel espion, comme les chats ou les e-mails - NSO insiste sur le fait qu'il ne voit jamais de renseignements spécifiques - mais incluent des métadonnées telles qu'une liste de tous les téléphones que le logiciel espion a tenté d'infecter et leurs emplacements à ce moment-là.
Selon un contrat récent que j'ai obtenu, les clients doivent utiliser le système uniquement pour la détection, la prévention et l'investigation des crimes et du terrorisme et s'assurer que le système ne sera pas utilisé pour des violations des droits de l'homme. Ils doivent informer l'entreprise d'une utilisation abusive potentielle. NSO dit avoir résilié trois contrats dans le passé pour des infractions, notamment l'abus de Pegasus, mais il refuse de dire quels pays ou agences étaient impliqués ou qui étaient les victimes.
Nous ne sommes pas naïfs
Le manque de transparence n'est pas le seul problème : les garde-fous ont des limites. Alors que le gouvernement israélien peut révoquer la licence de NSO pour violation de la loi sur l'exportation, les régulateurs ne se chargent pas de rechercher les abus de clients potentiels et ne sont pas impliqués dans les enquêtes sur les abus de l'entreprise.
De nombreuses autres procédures sont également simplement réactives. NSO n'a pas d'équipe interne permanente sur les abus, contrairement à presque toutes les autres entreprises technologiques d'un milliard de dollars, et la plupart de ses enquêtes ne sont lancées que lorsqu'une source extérieure telle qu'Amnesty International ou Citizen Lab affirme qu'il y a eu malversation. Le personnel de NSO interroge les agences et les clients sous surveillance mais ne parle pas aux victimes présumées, et bien que l'entreprise conteste souvent les rapports techniques présentés comme preuves, elle affirme également que le secret d'État et la confidentialité des affaires l'empêchent de partager plus d'informations.
Les journaux Pegasus, cruciaux pour toute enquête sur les abus, soulèvent également de nombreuses questions. Les clients de NSO Group sont des hackers qui travaillent pour des agences d'espionnage ; serait-il difficile pour eux de falsifier les journaux ? Dans un communiqué, la société a insisté sur le fait que ce n'était pas possible, mais a refusé de fournir des détails.
Si les journaux ne sont pas contestés, NSO et ses clients décideront ensemble si les cibles sont légitimes, si de véritables crimes ont été commis et si la surveillance a été effectuée dans le cadre d'une procédure régulière ou si des régimes autocratiques ont espionné les opposants.
Sunray, visiblement exaspéré, dit qu'il a l'impression que le secret l'oblige à opérer les mains liées derrière le dos.
C'est frustrant, me dit-il. Nous ne sommes pas naïfs. Il y a eu des abus. Il y aura des abus. Nous vendons à de nombreux gouvernements. Même le gouvernement américain – aucun gouvernement n'est parfait. Une mauvaise utilisation peut se produire, et il faut y remédier.
Ariel DavisMais Sunray revient également sur la réponse standard de l'entreprise, l'argument qui sous-tend sa défense dans le procès WhatsApp : NSO est un fabricant, mais ce n'est pas l'opérateur du logiciel espion. Nous l'a construit mais elles ou ils a fait le piratage - et ce sont des nations souveraines.
Ce n'est pas suffisant pour de nombreux critiques. Aucune entreprise qui croit pouvoir être le chien de garde indépendant de ses propres produits ne me convainc jamais, déclare Marietje Schaake, une politicienne néerlandaise et ancienne membre du Parlement européen. Toute l'idée qu'ils ont leurs propres mécanismes alors qu'ils n'ont aucun problème à vendre des logiciels espions commerciaux à qui veut les acheter, sachant qu'ils sont utilisés contre les défenseurs des droits de l'homme et les journalistes - je pense que cela montre davantage le manque de responsabilité de cette société que n'importe quoi.
Alors pourquoi la poussée interne pour plus de transparence maintenant ? Parce que le déluge de rapports techniques des groupes de défense des droits de l'homme, le procès de WhatsApp et l'examen gouvernemental croissant menacent le statu quo de NSO. Et s'il doit y avoir un nouveau débat sur la façon dont l'industrie est réglementée, il vaut la peine d'avoir une voix puissante.
Un contrôle croissant
Le piratage légal et le cyberespionnage se sont énormément développés en tant qu'activité au cours de la dernière décennie, sans aucun signe de recul. Les anciens propriétaires de NSO Group ont acheté la société en 2014 pour 130 millions de dollars, soit moins d'un septième de la valeur pour laquelle elle avait été vendue l'année dernière. Le reste de l'industrie est également en expansion, profitant de la diffusion des technologies de communication et de l'aggravation de l'instabilité mondiale. Il ne fait aucun doute que n'importe quel État a le droit d'acheter cette technologie pour lutter contre le crime et le terrorisme, a déclaré la directrice adjointe d'Amnesty International, Danna Ingleton. Les États sont légitimement et légalement en mesure d'utiliser ces outils. Mais cela doit s'accompagner davantage d'un système de réglementation qui prévient les abus et fournit un mécanisme de responsabilisation en cas d'abus. Faire la lumière sur l'industrie du piratage informatique, soutient-elle, permettra une meilleure réglementation et une plus grande responsabilité.
Plus tôt cette année, Amnesty International était devant un tribunal en Israël pour faire valoir que le ministère de la Défense devrait révoquer la licence de NSO en raison des abus de Pegasus. Mais juste au moment où l'affaire commençait, des responsables d'Amnesty et 29 autres pétitionnaires ont été sommés de quitter la salle d'audience : un ordre de bâillon a été placé sur la procédure à la demande du ministère. Puis, en juillet, un juge a carrément rejeté l'affaire.
Je ne crois pas par principe et en droit que les NSO puissent se prévaloir d'une irresponsabilité totale quant à l'utilisation de leurs outils, déclare Agnès Callamard, rapporteure spéciale des Nations unies. Ce n'est pas ainsi que cela fonctionne en vertu du droit international.
Callamard conseille l'ONU sur les exécutions extrajudiciaires et s'exprime à propos du groupe NSO et de l'industrie des logiciels espions depuis qu'il est apparu que Pegasus était utilisé pour espionner les amis et associés de Khashoggi peu de temps avant son assassinat. Pour elle, le problème a des conséquences de vie ou de mort.
Si NSO perd l'affaire WhatsApp, dit un avocat, cela remet en question toutes ces entreprises qui gagnent leur vie en trouvant des failles dans les logiciels et en les exploitant.
Nous n'appelons pas à quelque chose de radicalement nouveau, dit Callamard. Nous disons que ce qui est en place à l'heure actuelle s'avère insuffisant, et donc les gouvernements ou les organismes de réglementation doivent passer rapidement à une vitesse différente. L'industrie est en pleine expansion, et elle devrait se développer sur la base d'un cadre approprié pour réglementer les abus. C'est important pour la paix mondiale.
Il y a eu des appels à un moratoire temporaire sur les ventes jusqu'à ce qu'une réglementation plus stricte soit promulguée, mais on ne sait pas à quoi ressemblerait ce cadre juridique. Contrairement aux armes conventionnelles, qui sont soumises à diverses lois internationales, les cyberarmes ne sont actuellement réglementées par aucun accord mondial sur le contrôle des armements. Et bien que des traités de non-prolifération aient été suggérés, il y a peu de clarté sur la façon dont ils mesureraient les capacités existantes, comment la surveillance ou l'application fonctionneraient, ou comment les règles suivraient les développements technologiques rapides. Au lieu de cela, la plupart des contrôles se déroulent aujourd'hui au niveau juridique national.
Aux États-Unis, le FBI et le Congrès étudient d'éventuels piratages de cibles américaines, tandis qu'une enquête menée par le bureau du sénateur Ron Wyden veut savoir si des Américains sont impliqués dans l'exportation de technologies de surveillance vers des gouvernements autoritaires. Un récent projet de loi américain sur le renseignement exigerait un rapport du gouvernement sur les logiciels espions commerciaux et la technologie de surveillance.
Le procès de WhatsApp, quant à lui, a visé près du cœur des activités de NSO. Le géant de la Silicon Valley affirme qu'en ciblant les résidents de Californie, c'est-à-dire WhatsApp et Facebook, NSO a donné compétence au tribunal de San Francisco, et que le juge chargé de l'affaire peut interdire à l'entreprise israélienne de futures tentatives d'utilisation abusive des réseaux WhatsApp et Facebook. Cela ouvre la porte à énormément de possibilités : Apple, dont l'iPhone a été une cible primordiale pour les NSO, pourrait vraisemblablement monter une attaque juridique similaire. Google a également repéré NSO ciblant les appareils Android.
Et les dommages financiers ne sont pas la seule épée qui pèse sur la tête de NSO. De telles poursuites entraînent également la menace d'une découverte dans la salle d'audience, qui a le potentiel de révéler au public les détails des accords commerciaux et des clients de NSO.
Beaucoup dépend exactement de la manière dont le tribunal statue et de la manière dont il caractérise la violation que NSO aurait commise ici, déclare Alan Rozenshtein, un ancien avocat du ministère de la Justice maintenant à la faculté de droit de l'Université du Minnesota. Au minimum, si NSO perd cette affaire, cela remet en question toutes les entreprises qui fabriquent leurs produits ou gagnent leur vie en trouvant des failles dans les logiciels de messagerie et en fournissant des services exploitant ces failles. Cela créera suffisamment d'incertitude juridique pour que j'imagine que ces clients potentiels réfléchiraient à deux fois avant de contracter avec eux. Vous ne savez pas si l'entreprise continuera à fonctionner, si elle sera traînée en justice, si vos secrets seront exposés. NSO a refusé de commenter le piratage présumé de WhatsApp, car il s'agit toujours d'une affaire active.
Nous sommes toujours espionnés
Au Maroc, Maâti Monjib a fait l'objet d'au moins quatre autres attaques de piratage en 2019, chacune plus avancée que la précédente. À un moment donné, le navigateur de son téléphone a été redirigé de manière invisible vers un domaine suspect que les chercheurs soupçonnent d'avoir été utilisé pour installer silencieusement des logiciels malveillants. Au lieu de quelque chose comme un message texte qui peut déclencher l'alarme et laisser une trace visible, celle-ci était une attaque par injection de réseau beaucoup plus silencieuse, une tactique appréciée car elle est presque imperceptible, sauf pour les enquêteurs experts.
Le 13 septembre 2019, Monjib a déjeuné chez lui avec son ami Omar Radi, un journaliste marocain qui est l'un des détracteurs les plus virulents du régime. Le jour même, une enquête a révélé plus tard, Radi a été frappé par le même type d'attaques par injection de réseau qui avaient piégé Monjib. La campagne de piratage contre Radi a duré au moins jusqu'en janvier 2020, ont déclaré des chercheurs d'Amnesty International. Depuis, il fait régulièrement l'objet de harcèlement policier.
Au moins sept autres Marocains ont reçu des avertissements de WhatsApp concernant l'utilisation de Pegasus pour espionner leurs téléphones, y compris des militants des droits de l'homme, des journalistes et des politiciens. S'agit-il des types de cibles d'espionnage légitimes - les terroristes et les criminels - définis dans le contrat signé par le Maroc et tous les clients de l'ONS ?
En décembre, Monjib et les autres victimes ont envoyé une lettre à l'autorité marocaine de protection des données demandant une enquête et une action. Rien n'en est sorti formellement, mais l'un des hommes, l'économiste pro-démocratie Fouad Abdelmoumni, dit que ses amis haut placés à l'agence lui ont dit que la lettre était sans espoir et l'ont exhorté à laisser tomber l'affaire. Le gouvernement marocain, quant à lui, a réagi en menaçant d'expulser Amnesty International du pays.
Ce qui se passe au Maroc est emblématique de ce qui se passe dans le monde. S'il est clair que les démocraties sont les principaux bénéficiaires du piratage légal, une liste longue et croissante d'enquêtes crédibles, détaillées, techniques et publiques montre que Pegasus est utilisé à mauvais escient par des régimes autoritaires ayant de longs antécédents d'atteintes aux droits humains.
Le Maroc est un pays sous un régime autoritaire qui croit que des gens comme Monjib et moi-même doivent être détruits, dit Abdelmoumni. Pour nous détruire, avoir accès à toutes les informations est la clé. Nous considérons toujours que nous sommes espionnés. Toutes nos informations sont entre les mains du palais.
Lire la suite
L'homme qui a construit un empire des logiciels espions dit qu'il est temps de sortir de l'ombre Shalev Hulio, co-fondateur et PDG de NSO, affirme que son industrie regorge d'entreprises qui tentent d'éviter un examen minutieux.
