Pegasus : les dessous de l’affaire

Toute la communauté de cybersécurité connaît Pegasus et l’éthique particulière de l’entreprise NSO. Il fallait cependant attendre davantage de preuves pour faire vaciller la défense de NSO et de ses clients étatiques.

Par François Joslain.

Forbidden Stories et Amnesty International viennent de révéler le Projet Pegasus. Il s’agit d’un logiciel développé par la société israélienne NSO qui permet de pirater n’importe quel téléphone Android ou iPhone. Le téléphone se transforme ainsi en mouchard espionnant son propriétaire. Les victimes se comptent en dizaine de milliers, dont des chefs d’État comme Emmanuel Macron.

Devant un tel but comment se fait-il que Pegasus soit un produit légal ? Que NSO soit une entreprise prospère ayant pignon sur rue ? Que ses patrons ne soient pas déjà en prison ?

Une clientèle ravie du produit

Pour réaliser ses piratages, NSO cherche en permanence de nouvelles failles dans les smartphones. Cette recherche constante a un coût élevé pour l’entreprise qui se répercute sur son produit. Il faut compter plusieurs dizaines de millions de dollars pour utiliser Pegasus. Avoir une telle envie d’espionner les citoyens et disposer d’un tel budget pour se payer Pegasus ne peut attirer que les États. Elle en revendique plus de 40 dont Israël, le Qatar, la Turquie, le Mexique ou l’Arabie Saoudite.

La clientèle étatique de NSO étant ravie de son produit Pegasus, celui-ci devient de facto légal.

Depuis toujours NSO, comme ses clients, se cache derrière un masque, jurant que son produit sert uniquement à traquer les terroristes et les pédophiles. C’est promis, l’honnête citoyen même dans l’opposition ne sera jamais visé, NSO veille au grain !

Il est presque drôle de voir des chefs d’État, si contents d’espionner leurs citoyens, se retrouver eux-mêmes espionnés par d’autres pays. On assiste aujourd’hui à un grand bal d’hypocrites faisant mine de découvrir ce logiciel et ses horribles utilisations, alors qu’il est connu depuis 5 ans.

Un scandale attendu depuis 2016

Pegasus s’est fait connaître dans le milieu de la cybersécurité dès 2016.

Le logiciel a été détecté dans le téléphone d’Ahmed Mansoor, un militant émirati. Il utilisait des failles dans iOS. En 2017 ce sont des journalistes mexicains qui se trouvent sur écoute à cause de ce logiciel. En 2019, on le retrouve sur le smartphone de Jeff Bezos et Omar Abdulaziz, un dissident saoudien. Cette fois, il passait par une faille sur WhatsApp. Un simple appel à la victime permettait de l’installer discrètement.

Bref, toute la communauté de cybersécurité connaît Pegasus et l’éthique particulière de l’entreprise NSO. Il fallait cependant attendre davantage de preuves pour faire vaciller la défense de NSO et de ses clients étatiques.

C’est chose faite, grâce au travail de Forbidden Stories et Amnesty International qui viennent de publier la liste de 50 000 victimes du logiciel incluant des hommes politiques, des journalistes, des militants et des chefs d’entreprise.

L’arbre qui cache la forêt

Il faut espérer que NSO paye pour ses pratiques. Mais il ne faut pas être naïf. Les États semblent avoir un budget illimité pour l’espionnage. Ils sont prêts à payer n’importe quelle entreprise pour se faciliter la tâche.

Évidemment, pour devenir un groupe financé et en quelque sorte légalisé par un État, il faut travailler pour lui en espionnant ses citoyens ou ses ennemis. Ce n’est pas le cas du groupe DarkSide, qui a piraté la Colonial Pipeline aux États-Unis en mai, déclaré ennemi public par Biden et activement recherché par le FBI. Tout comme le group REvil qui a piraté le géant agroalimentaire américain JBS en juin.

Tous font pourtant le même métier : ils piratent d’innocentes personnes à leur insu. Pourtant, certains, qui proposent d’espionner les citoyens, sont financés et adoubés par les États.

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.