211service.com
L'homme qui a construit un empire des logiciels espions dit qu'il est temps de sortir de l'ombre
Mme Tech | Source : Photo AP/Daniella Cheslow, fichier
Shalev Hulio veut s'expliquer.
Normalement, le silence et le secret sont inhérents à l'activité d'espionnage. Pendant neuf années complètes, Hulio n'a jamais parlé publiquement de son entreprise de piratage d'un milliard de dollars, même lorsque ses outils de piratage étaient liés à un scandale ou qu'il était accusé d'être complice de violations des droits de l'homme dans le monde. Dernièrement, cependant, il prend la parole.
Les gens ne comprennent pas comment fonctionnent les renseignements, me dit Hulio lors d'un appel vidéo depuis Tel-Aviv. Ce n'est pas facile. Ce n'est pas agréable. L'intelligence est une affaire merdique pleine de dilemmes éthiques.
L'entreprise qu'il dirige, NSO Group, est la société de logiciels espions la plus notoire au monde . C'est au centre d'une industrie internationale en plein essor dans laquelle les entreprises de haute technologie trouvent des vulnérabilités logicielles, développent des exploits et vendent des logiciels malveillants aux gouvernements. La société dont le siège social est israélien a été liée à des incidents très médiatisés, notamment le meurtre de Jamal Khashoggi et espionnage contre Les politiciens en Espagne.
Histoire connexe
À l'intérieur de NSO, le géant israélien des logiciels espions d'un milliard de dollars La société de surveillance la plus notoire au monde dit qu'elle veut nettoyer son acte. Allez, on vous écoute.Dix ans après avoir fondé l'entreprise, il a pris la rare décision de parler du groupe NSO, de l'industrie du renseignement et de ce à quoi pourrait ressembler la transparence pour les entreprises de logiciels espions. C'est, dit-il, la chose la plus importante que l'industrie puisse faire maintenant : nous avons été accusés, avec raison, de ne pas être assez transparents.
Culture du silence
Ancien commandant de recherche et de sauvetage dans l'armée israélienne, puis entrepreneur spécialisé dans la technologie d'accès à distance aux smartphones, Hulio a déclaré avoir fondé NSO Group en 2010 à la demande des agences de renseignement européennes. À l'époque, NSO se présentait comme une entreprise de cyberguerre à la pointe de la technologie.
Il est entré sous les projecteurs mondiaux en 2016 lorsque Ahmed Mansoor, un militant des droits de l'homme aux Émirats arabes unis, a reçu ce qu'on a appelé le SMS le plus célèbre de tous les temps . Les chercheurs disent qu'il s'agissait d'un leurre de phishing sophistiqué envoyé par un gouvernement ; il contenait un lien qui, s'il avait été cliqué, aurait pris le contrôle du téléphone de Mansoor avec un logiciel espion. Des experts de Citizen Lab, un groupe de recherche de l'Université de Toronto, ont analysé le lien et pointé du doigt Pegasus, le produit phare de NSO. La révélation a conduit à un examen minutieux de la société, mais NSO est resté silencieux. (Mansoor purge actuellement une peine de dix ans de prison pour avoir insulté la monarchie – la description par un dictateur de son travail en faveur des droits de l'homme.)
Cette réponse était en partie fonction de la propriété de l'entreprise à l'époque. En 2014, NSO avait été racheté pour environ 100 millions de dollars par la société américaine de capital-investissement Francisco Partners, qui avait une politique stricte de non-presse qui, selon Hulio, a conduit à une culture néfaste du silence.
Pas d'interviews - nous ne pouvions pas parler aux journalistes sauf pour dire pas de commentaire, pas de commentaire, pas de commentaire, dit-il. Cela nous a créé beaucoup de mauvaises choses, car chaque fois que nous étions accusés d'abus, nous n'avions aucun commentaire.
Ceci, dit-il, était une erreur à éviter à l'avenir par des entreprises comme NSO, qui a été vendue l'année dernière pour 1 milliard de dollars à la société européenne de capital-investissement Novalpina et aux fondateurs d'origine, dont Hulio lui-même.
L'industrie devrait être plus transparente, dit Hulio. Chaque entreprise devrait être beaucoup plus responsable de qui elle vend, qui sont les clients, quelle est l'utilisation finale de chaque client.
En fait, le texte envoyé à Mansoor s'est avéré être une bénédiction déguisée pour les enquêteurs. Mansoor, qui était déjà ciblé par la surveillance depuis de nombreuses années, était méfiant et n'a pas cliqué sur le lien empoisonné. Au lieu de cela, il l'a partagé avec des experts. Mais de nos jours, l'industrie du piratage utilise de plus en plus des techniques plus avancées qui maintiennent leurs activités aussi discrètes que possible, y compris les techniques dites zéro clic qui infectent les cibles sans qu'elles n'agissent du tout. WhatsApp poursuit le groupe NSO pour avoir piraté l'application afin d'infecter silencieusement les téléphones. Des cibles au Maroc auraient subi des piratages par injection de réseau qui ne déclenchent aucune alarme, ne nécessitent aucune coopération de la part de la victime et laissent peu de traces.
Chaque entreprise [de logiciels espions] devrait être beaucoup plus responsable de qui elle vend, qui sont les clients, quelle est l'utilisation finale de chaque client.
L'argument des entreprises de piratage est que les criminels et les terroristes s'obscurcissent à cause du cryptage et que les États ont besoin de pouvoir les chasser dans leur trou noir, déclare John Scott-Railton, chercheur principal au Citizen Lab. De plus en plus, dans le haut de gamme, les entreprises qui vendent ces techniques sont celles qui sombrent. Ce n'est pas seulement Whatsapp . Nous avons vu des ventes de vulnérabilités contre iMessage , [logiciel téléphonique] SS7 comme livraison pour les vulnérabilités sans clic , et beaucoup de injection réseau . Pour cette raison, il nous est presque impossible d'avoir une visibilité sur l'ampleur du problème. Nous ne pouvons que deviner à l'échelle. Nous ne connaissons que quelques joueurs. Le marché est en croissance, mais nous manquons de beaucoup d'informations sur les abus.
Il n'a jamais été facile de comprendre toute l'étendue de l'industrie du piratage pour compte d'autrui. Désormais, les techniques et les indicateurs sur lesquels les enquêteurs se sont longtemps appuyés car les indices deviennent plus rares, plus silencieux et plus difficiles à repérer. Le nouvel arsenal furtif rend extrêmement difficile de tenir les entreprises de piratage et les agences de renseignement responsables lorsque des violations des droits de l'homme se produisent.
De manière peut-être surprenante, Hulio convient catégoriquement que l'industrie du piratage est en train de sombrer. Lorsque je lui demande si l'industrie prend suffisamment de mesures en matière de transparence et de responsabilité, il secoue la tête et pointe du doigt ses concurrents :
En fait, je pense que c'est l'inverse. L'industrie s'éloigne de la réglementation. Je vois des entreprises essayer de cacher leur activité et de cacher ce qu'elles font. Cela nuit à l'industrie.
Esquiver la transparence
En revanche, affirme Hulio, NSO tente de renverser la vapeur sous son nouveau propriétaire. Bien qu'il soit confronté au procès très médiatisé de WhatsApp et à des dizaines d'allégations d'abus de Pegasus, Hulio insiste sur le fait que l'entreprise évolue. Le fait qu'il parle à des journalistes est un changement évident, dit-il, tout comme les nouvelles politiques d'autonomie et un engagement public à adhérer aux directives des Nations Unies sur les droits de l'homme. La question de savoir dans quelle mesure le discours se traduit dans la réalité reste ouverte : trois jours après que l'entreprise a annoncé une nouvelle politique en matière de droits de l'homme en 2019, des chercheurs d'Amnesty International disent que Pegasus a été utilisé pour pirater le journaliste marocain Omar Radi.
Mais Hulio suggère que ses rivaux esquivent la transparence et la responsabilité en déplaçant leurs entreprises ou en trouvant des refuges à partir desquels opérer.
Ils ouvrent des entreprises dans des pays où vous n'avez pas de mécanismes de réglementation, en Amérique latine, en Europe, dans la région Asie-Pacifique - où la réglementation est très faible, de sorte que vous pouvez exporter vers des pays vers lesquels vous ne pouvez pas exporter depuis Israël ou d'autres endroits en L'Europe, explique-t-il. Je vois des entreprises essayer de cacher leur activité en changeant sans cesse le nom de l'entreprise. Ou par le biais de mécanismes tels que la construction de la recherche et du développement sur un site, le cycle de vente vers une autre société, le déploiement via une troisième société, de sorte que vous ne pouvez pas retracer qui fait quoi.
«Tout comme il y a des pays qui agissent comme des abris fiscaux, il y a des pays qui agissent comme des abris pour la réglementation des exportations. Ces pays ont besoin de mécanismes mondiaux de régulation.
C'est peut-être vrai, mais NSO Group lui-même porte une série d'autres noms, dont Q Cyber Technologies en Israël et OSY Technologies au Luxembourg. Il a une aile nord-américaine appelée Westbridge. Ses employés sont répartis à l'international. Les médias israéliens ont rapporté les liens de l'entreprise avec des sociétés écrans et byzantin offres. Au fil des ans, elle a exploité un réseau déroutant d'autres entreprises à travers le monde, et ce labyrinthe d'entreprises a rendu presque impossible la compréhension de ses transactions et de ses actions - une tâche cruciale lorsque les outils de piratage peuvent être abusés par des gouvernements autoritaires avec des conséquences dévastatrices.
Alors, à quoi ressemblerait la responsabilité ? Lorsque NSO Group est apparu pour la première fois, l'arrangement de Wassenaar, un accord crucial de contrôle des exportations d'armes entre 42 pays, n'avait aucune dimension cybernétique. Israël n'avait pas de loi sur les cyber-exportations. Désormais, le ministère israélien de la Défense est régi par la loi sur le contrôle des exportations de défense du pays - le groupe NSO a aurait ne s'est jamais vu refuser une licence d'exportation, mais à l'échelle mondiale, l'industrie du piratage reste largement cachée, opaque et irresponsable malgré sa puissance et ses capacités croissantes.
Il y a des lacunes, dit Hulio. Tous les pays ne font pas partie de l'accord de Wassenaar. Je pense vraiment qu'il est très difficile de faire quelque chose d'international. Évidemment, l'international est une excellente idée, mais tout comme il y a des pays qui agissent comme des abris fiscaux, il y a des pays qui agissent comme des abris pour la réglementation des exportations. Ces pays ont besoin de mécanismes mondiaux de régulation.
Qui est dans le collimateur ?
Des dizaines d'abus par des utilisateurs de la technologie de NSO ont été allégués depuis l'incident de Mansoor pour la première fois braqué les projecteurs sur l'entreprise. Lorsque de telles allégations sont faites, le NSO ouvre une enquête. Si les comptes sont en conflit, NSO peut exiger des journaux qui révèlent les cibles. Le plus souvent, dit Hulio, le client dira que les allégations à son encontre sont vraies, que le ciblage est réel, mais que leurs actions étaient légales en vertu de la législation locale et du contrat qu'ils ont signé. Cela laisse à NSO et au client le soin de déterminer si le ciblage est effectivement légitime.
Histoire connexe
Comment un régime autoritaire interceptera tout le trafic Internet à l'intérieur de son pays Une grande partie des critiques adressées au groupe NSO survient lorsque des chercheurs affirment que Pegasus est utilisé contre des avocats, des militants des droits de l'homme, des journalistes et des politiciens. Mais Hulio dit que le contexte peut justifier de telles actions – que ces personnes peuvent être des cibles de surveillance légitimes tant que la loi est respectée. Il évoque les événements entourant la capture en 2014 du baron de la drogue mexicain Joaquín El Chapo Guzmán. Bien qu'il ne l'ait jamais confirmé publiquement, NSO Group a vanté en privé son rôle dans l'exploitation depuis des années.
Chapo s'est enfui de prison, dit Hulio. Des gens comme Chapo ou [le chef de l'Etat islamique Omar Bakr] al-Baghdadi n'ont pas de smartphone. Quand Chapo s'est échappé, ils ont pensé qu'il finirait probablement par appeler son avocat, alors essayons d'intercepter l'avocat. L'avocat n'est pas une mauvaise personne - et je ne dis pas que nous étions impliqués. L'avocat en lui-même n'est pas suspect d'activité criminelle, mais El Chapo, qui est un criminel, va appeler son avocat, et le seul moyen de l'attraper est d'intercepter son avocat.
C'est le genre d'étui facile à faire. Baron de la drogue meurtrier, action policière extrême, photos en première page. Mais la plupart des allégations d'abus ne ressemblent pas à l'affaire El Chapo. Les pays du Golfe ont été accusés à plusieurs reprises d'utiliser Pegasus pour cibler l'opposition politique, ce qui a entraîné plus tard frais falsifiés pour avoir offensé les familles royales ou autres.
Hulio dit que souvent NSO est accusé d'un travail dont d'autres sociétés de logiciels espions sont responsables.
Nous posons des questions très difficiles lorsque nous vendons un système, mais je ne suis pas sûr que tout le monde le fasse, dit-il. Je n'ai aucun problème à m'asseoir devant le ministre de la défense d'un pays, ou le chef de la police, ou des services secrets, et à demander : à quoi ça sert ? Quelle est la cible ? Quelle est la mission ? Quelles sont les enquêtes ? Quel est le procédé que vous utilisez ? Comment analysez-vous les données ? Qui doit approuver chaque cible ? Quelle est la loi dans votre pays spécifique ? Comment fonctionne-t-elle ? Des questions dont beaucoup d'entreprises ne se soucient pas vraiment. Ils ont un accord—ils veulent vendre. Ils le vendront parce que c'est de l'argent pour eux.
Nous avons bouclé la boucle, revenant dans un épais enchevêtrement de secret. L'argent coule, les abus se multiplient et les outils de piratage se multiplient : personne ne le conteste.
Mais qui est responsable lorsque des autoritaires brutaux mettent la main sur des logiciels espions de pointe à utiliser contre des adversaires ? Un monde déjà sombre s'assombrit et les réponses deviennent de plus en plus difficiles à trouver.