Huit ans après les révélations d’Edward Snowden sur les agissements de la NSA aux États-Unis, un nouveau scandale mondial sur la surveillance, baptisé « Projet Pegasus », met au jour les pratiques d’une dizaine de pays qui ont en commun d’avoir utilisé ces dernières années, sans le moindre contrôle, un logiciel espion surpuissant commercialisé par une société privée israélienne, NSO.
Les faits, d’une ampleur inédite, ont été révélés, dimanche 18 juillet dans la soirée, par le consortium Forbidden Stories, avec l’appui du Security Lab de l’ONG Amnesty International, en partenariat avec une quinzaine de médias internationaux, dont Le Monde en France, le Washington Post aux États-Unis et le Guardian en Angleterre.
Au total, plus de quatre-vingts journalistes ont épluché pendant plusieurs mois une fuite de données massive permettant d’identifier les cibles potentielles de cette surveillance : 50 000 numéros de téléphone, répartis dans cinquante pays et sélectionnés par les clients de NSO, qui affirme ne vendre son logiciel Pegasus qu’à des gouvernements.
Le siège du groupe israélien NSO, à Herzliya, près de Tel-Aviv, le 28 août 2016. © Photo Jack Guez / AFP Les propriétés du logiciel Pegasus sont redoutables – et elles ont franchi un nouveau cap depuis 2019 et la mise au point de la technologie dite « zéro clic ». Nul besoin d’accéder à un lien corrompu, aucune manipulation de l’utilisateur ciblé n’est nécessaire : le logiciel prend seul le contrôle d’un appareil et, théoriquement, peut avoir accès à l’intégralité du contenu d’un téléphone en temps réel. Il peut même permettre d’activer à distance – et de manière totalement invisible – le microphone et la caméra de l’appareil infecté.
Il ne s’agit donc pas d’une « simple » écoute téléphonique ou d’un « classique » piratage d’une messagerie, mais d’un véritable changement de paradigme dans la collecte (légale ou illégale) de données et, partant, de possibles atteintes à la vie privée, à la sécurité nationale, aux libertés publiques et à toutes sortes de secrets professionnels.
Les victimes identifiées par l’enquête de Forbidden Stories et ses partenaires n’ont rien à voir avec des suspects dans des affaires criminelles ou terroristes – ce qu’assure NSO dans sa communication officielle – mais sont, pour l’essentiel, des membres de la société civile : des journalistes (dont Mediapart, cible du royaume du Maroc), des opposants de tel ou tel régime ou des activistes. Et, parfois, des diplomates, des magistrats, des avocats, voire des hommes et femmes politiques de premier rang.
Au total, onze pays clients de NSO et utilisateurs du logiciel Pegasus ont été identifiés par l’enquête. Il s’agit du Maroc, de l’Inde, du Mexique, de l’Azerbaïdjan, du Kazakhstan, du Rwanda, de l’Arabie saoudite, du Togo, des Émirats arabes unis, du Bahreïn et, enfin, de la Hongrie, seul pays européen mis en cause. À lui seul, le Maroc de Mohammed VI est soupçonné d’avoir ciblé dix mille numéros de téléphone ces deux dernières années.
Aujourd’hui, nous découvrons, pour la première fois dans l’histoire de l’espionnage moderne, le visage des victimes de la cybersurveillance et ses conséquences parfois dramatiques.
Les conséquences de cet espionnage numérique mené par des régimes autoritaires ont pu être dramatiques : des journalistes et des militants ont été réduits au silence, pourchassés, harcelés, censurés, arrêtés, emprisonnés et, parfois, tués, comme en témoigne l’histoire de certaines victimes de l’Arabie saoudite et du Mexique.
« Aujourd’hui, nous découvrons, pour la première fois dans l’histoire de l’espionnage moderne, le visage des victimes de la cybersurveillance et ses conséquences parfois dramatiques : des femmes et des hommes ordinaires qui participent à la vie politique et économique de leurs pays, à l’information de leurs concitoyens et à la défense des libertés civiles », commente auprès de Mediapart le journaliste français Laurent Richard, directeur et fondateur de Forbidden Stories.
« Le “Projet Pegasus” pose aussi les questions de la privatisation du marché du renseignement et de l’absence de mécanismes de défense pour les citoyens. La collaboration de journalistes du monde entier entre eux est sans aucun doute l’un des meilleurs remparts contre ces atteintes violentes au droit d’informer », selon Laurent Richard.
« NSO Group nie fermement les fausses accusations portées dans votre enquête », a répondu l’entreprise israélienne aux journalistes du consortium, leur reprochant de ne s’appuyer « sur aucune base factuelle ». « Ces accusations sont pour beaucoup des théories non corroborées, qui jettent de sérieux doutes sur la crédibilité de vos sources, ainsi que sur le cœur de votre enquête. » NSO, qui affirme ne pas pouvoir suivre en temps réel l’usage fait par ses clients de Pegasus, s'engage à « enquêter sur les accusations crédibles d’utilisation abusive » du logiciel et à mettre un terme à certaines collaborations si nécessaire.
- Que savait-on jusqu’ici de NSO et du logiciel Pegasus ?
Ces cinq dernières années, une série de révélations coordonnées par le consortium Forbidden Stories, l’ONG Amnesty International et les chercheurs du Citizen Lab de Toronto avaient déjà permis de découvrir les activités de la société NSO, créée en 2010 en Israël, et le fonctionnement de son logiciel espion Pegasus. Les noms de certains États clients et de nombreuses victimes ont été rendus publics depuis 2016, sans que l’ampleur exacte de ce redoutable programme de surveillance ne soit connue jusqu’ici.
Parmi les cibles – pour beaucoup espionnées par le gouvernement de leur pays d’origine – se trouvent des profils aussi variés que le défenseur des droits humains émirati Ahmed Mansour (aujourd’hui emprisonné), le journaliste marocain Omar Radi et son compatriote historien Maati Monjib (également emprisonnés), des religieux togolais, trente-six journalistes et cadres de la chaîne qatarie Al Jazeera, des indépendantistes catalans, des journalistes et responsables politiques mexicains ou encore le milliardaire américain Jeff Bezos. NSO est également soupçonné d’avoir contribué à l’espionnage du journaliste saoudien Jamal Khashoggi, assassiné en 2018 dans le consulat d’Arabie saoudite à Istanbul, et de l’un de ses amis.
Au fil du temps, des améliorations techniques de Pegasus ont été observées, rendant le programme progressivement indétectable pour la cible. Alors que le logiciel espion nécessitait auparavant que l’utilisateur clique sur un lien infecté, il a ensuite pu s’inviter dans les téléphones par le biais d’un simple appel manqué sur WhatsApp, puis sans aucune trace visible. Il devient quasiment impossible de s’en prémunir et même de s’en apercevoir. Seule une analyse technique des téléphones infectés permet, après coup, de retrouver des éléments caractéristiques du logiciel Pegasus.
En réponse aux révélations successives sur ses activités, la société NSO a promis dès 2019 qu'elle se montrerait particulièrement attentive aux risques de violation des droits humains. Le 30 juin, elle a publié son premier « rapport sur la transparence » censé désamorcer les critiques. « Une nouvelle occasion manquée », a commenté Amnesty International, pour qui ce document s’apparente à une « brochure commerciale ».
- Quelles sont les victimes mises au jour par le « Projet Pegasus » ?
Par son ampleur et la précision des preuves obtenues – notamment grâce aux expertises techniques du Security Lab d’Amnesty International –, l’enquête de Forbidden Stories lève aujourd’hui un voile unique sur les dérives de NSO et de ses clients aux quatre coins du monde, qui ont ceci de particulier d’être des régimes autoritaires.
Il n’est d’ailleurs pas anodin que ce soient essentiellement des journalistes spécialisés dans des enquêtes sensibles sur la corruption, les questions de libertés publiques, de défense ou de surveillance qui aient été la cible du logiciel Pegasus.
C’est vrai en Azerbaïdjan, où la reporter Khadija Ismayilova a été la cible régulière de Pegasus pendant trois ans ; en Hongrie, où les enquêtes du journaliste Szabolcs Panyi lui valent d’être perçu comme un terroriste par le régime de Viktor Orbán ; en Inde, où une trentaine de journalistes ont été espionnés par l’entremise de NSO, dont le site The Wire (partenaire de Mediapart sur les « Rafale Papers ») ; au Maroc, où des journalistes tels Omar Radi (Le Desk) et Souleimane Raissouni (Akhbar Al Youm) sont l’objet de cabales effroyables, ourdies par le royaume.
Plusieurs médias ciblés par Pegasus appartiennent à une même nouvelle génération de sites qui ont placé l’investigation au cœur de leur pratique professionnelle : Mediapart en France, Direkt36 en Hongrie, The Wire en Inde…
En montrant le vrai visage des pays dans lesquels ils vivent et sur lesquels ils enquêtent, tous les journalistes espionnés ont eu le tort de briser par leurs informations les efforts de communication mensongère d’États qui essaient de vendre à l’étranger l’image de régimes acceptables sur la scène internationale. D’où l’impérieuse nécessité de les faire taire et d’assécher leurs sources, sans lesquelles aucune information libre et indépendante n’est possible.
« J’ai compris qu’on ne pouvait rien faire. À moins que vous ne vous enfermiez dans une tente en fer, il n’y a aucun moyen pour qu’ils n’interfèrent pas dans vos communications », réagit auprès de Forbidden Stories la journaliste azérie Khadija Ismayilova, bête noire du régime. « Ma famille est victime, les sources sont victimes, les personnes avec qui je travaille sont victimes, les gens qui m’ont confié des secrets privés sont victimes », ajoute la reporter, à laquelle « Cash Investigation » (France 2) avait consacré en 2015 une partie d’une émission.
- Des journalistes assassinés, d’autres emprisonnés
La technologie Pegasus a parfois permis à ces gouvernements de s’en prendre directement aux personnes ciblées.
À deux reprises au moins, la surveillance par les outils de NSO a précédé ou suivi l’assassinat de journalistes. Les révélations de Forbidden Stories apportent notamment une nouvelle lumière sur les circonstances et les suites de l’assassinat, en octobre 2018, de Jamal Khashoggi par les services saoudiens. Elles révèlent que plusieurs proches du journaliste, dont sa fiancée et son fils, ont été placés sous surveillance par l’Arabie saoudite peu après sa disparition.
Hatice Cengiz, la compagne de Jamal Khashoggi, a été ciblée quatre jours seulement après l’assassinat de ce dernier. Son fils, Abdullah Khashoggi, a quant à lui été visé par les Émirats arabes unis, voisins et (alors) amis du royaume saoudien, quelques semaines plus tard.
En 2018, le laboratoire canadien de recherche Citizen Lab avait déjà révélé que le téléphone d’Omar Abdulaziz, activiste saoudien et ami intime du journaliste, avait été ciblé par un piratage. Celui-ci a depuis publiquement accusé le gouvernement saoudien d’avoir utilisé ses échanges sur WhatsApp avec Jamal Khashoggi pour organiser sa mise à mort.
J’ai compris qu’on ne pouvait rien faire. À moins que vous ne vous enfermiez dans une tente en fer, il n’y a aucun moyen pour qu’ils n’interfèrent pas dans vos communications.
Un an plus tôt, la technologie Pegasus était déjà en cause dans l’assassinat en mars 2017 du journaliste mexicain Cecilio Pineda. Quelques semaines à peine avant le drame, le téléphone de ce dernier était surveillé par un client mexicain de NSO. Cecilio Pineda avait diffusé une vidéo sur Facebook, deux heures avant son assassinat, dans laquelle il évoquait les liens entre le gouverneur de l’État de Guerrero et le principal narcotrafiquant de la région.
Dans d’autres cas, l’espionnage par Pegasus a permis des poursuites judiciaires à l’encontre de journalistes. Le Maroc a piraté au moins trente-cinq journalistes dans cinq pays – dont deux de Mediapart, Lénaïg Bredoux et Edwy Plenel. Ce sont évidemment les Marocains qui payent le plus lourd tribut de cette surveillance massive. Plusieurs d’entre eux ont été arrêtés, poursuivis et emprisonnés, le plus souvent pour des affaires sexuelles.
Taoufik Bouachrine, rédacteur en chef du journal Akhbar Al Youm, a été interpellé en février 2018 pour « agression sexuelle », « viol », « prostitution » et « harcèlement ». Forbidden Stories a révélé dimanche que les téléphones de plusieurs femmes citées dans l’affaire étaient infectés par le logiciel. En ce moment a lieu, à Casablanca, le procès d’Omar Radi, un journaliste et militant marocain accusé de « viol » et d’« espionnage » (lire l’enquête de Mediapart et de L’Humanité).
« On traque la vie privée de certaines personnes afin de trouver le bon prétexte pour les traîner en justice », a dénoncé auprès de Forbidden Stories Ahmed Benchemsi, un ancien journaliste, fondateur du média indépendant TelQuel et responsable de la communication de l’ONG Human Rights Watch dans le monde arabe. L’enquête contre Omar Radi a été ouverte fin juin 2020, deux jours après la publication d’un rapport d’Amnesty International révélant que son téléphone avait été espionné par un client de NSO.
- Des questions toujours en suspens
À la lecture des révélations du « Projet Pegasus », plusieurs questions demeurent. La première d’entre elles concerne l’implication du gouvernement d’Israël dans le système de surveillance illégal mis en place par la société NSO, structurellement liée au ministère de la défense israélien.
Les services secrets israéliens profitent-ils eux-mêmes de la technologie Pegasus ? Ont-ils accès aux informations obtenues par les clients de NSO ? Si oui, les partagent-ils dans le cadre d’accords de coopération avec des pays amis, au premier rang desquels les États-Unis ?
La question du rôle d’Israël dans les agissements de NSO est d’autant plus brûlante que Forbidden Stories et ses partenaires affirment que des sources internes ont insisté auprès d’eux sur l’implication du ministère de la défense israélien dans la sélection des clients de NSO. Ainsi, les autorités israéliennes auraient fait pression pour que l’Arabie saoudite obtienne la technologie Pegasus, en dépit des réserves émises par NSO sur le royaume wahhabite.
Ce n’est d’ailleurs pas un hasard si l’immense majorité des pays clients de NSO listés dans le « Projet Pegasus » ont, ces deux dernières années, intensifié ou normalisé leurs relations avec Israël, souvent à la faveur d’une diplomatie sécuritaire. C’est le cas par exemple du Bahreïn, des Émirats arabes unis, de l’Inde, du Maroc, du Rwanda, du Togo ou de la Hongrie.