Réunir des preuves. Identifier les responsables. Savoir quel tribunal saisir, quelle procédure suivre. Dans le monde entier, les victimes de l’espionnage ciblé mis en place par une dizaine d’États via le logiciel-espion « Pegasus », commercialisé par le marchand de surveillance israélien NSO, sont confrontées aux mêmes questions : comment obtenir réparation lorsque le contenu intégral de son téléphone a pu être piraté par des autorités gouvernementales, fouillé, copié voire transmis à des tiers, grâce aux moyens fournis par une entreprise privée ?
Les révélations publiées dimanche par un consortium de 17 médias internationaux, en collaboration avec Amnesty International, sont l’aboutissement d’un long travail d’investigation journalistique et technique. Elles marquent aussi le début d’autre chose : une période pendant laquelle des personnes espionnées, par leur propre gouvernement ou celui d’un autre pays, peuvent envisager de se tourner vers la justice pour que les coupables soient punis. Pas toutes, bien sûr. Certaines vivent dans des États autoritaires où elles ne disposent d’aucun recours effectif. D’autres savent qu’elles ont été des cibles, mais n’ont pas la confirmation formelle de leur mise sous surveillance.
Une salle d'audience du tribunal judiciaire de Paris. © Photo illustration Mediapart avec Manuel Cohen / AFP En France, le parquet de Paris a ouvert mardi une enquête pour une dizaine d’infractions, dont « atteinte à l’intimité de la vie privée », piratage informatique, « interception de correspondances » et « association de malfaiteurs ». Les investigations ont été confiées à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), un service spécialisé de police judiciaire.
Cette ouverture d’enquête fait suite à la plainte contre X déposée lundi par Mediapart et ses deux journalistes espionnés, Lénaïg Bredoux et Edwy Plenel, pour « atteinte à l’intimité de la vie privée » et piratage informatique (« introduction et maintien frauduleux dans un traitement automatisé de données » en jargon juridique). L’infection de leurs téléphones par le logiciel Pegasus a été confirmée par le Security Lab d’Amnesty International à Berlin, qui a pu retrouver les dates de leurs mises sous surveillance en examinant leur matériel. Des informations tangibles et précieuses dont la justice peut désormais se saisir.
La plainte rédigée par Emmanuel Tordjman, l’avocat de Mediapart, souligne que ces faits « sont d’une particulière gravité par leur nature, la sophistication des moyens employés, leur finalité et l’implication possible de personnes au plus haut niveau de l’appareil étatique du Maroc grâce à la vente d’un logiciel espion fabriqué par la société israélienne NSO ».
D’autres victimes françaises de cette surveillance attribuée au royaume du Maroc ont annoncé leur intention de déposer plainte. C’est le cas du Canard enchaîné et de son ancienne journaliste Dominique Simonnot – devenue Contrôleuse générale des lieux de privation de liberté en octobre 2020. L’Humanité et sa journaliste Rosa Moussaoui devraient suivre.
Après la publication, mardi soir, de nouvelles révélations sur le ciblage de personnalités politiques françaises par le Maroc en 2019 - Emmanuel Macron, mais aussi 15 membres du gouvernement d'Edouard Philippe, des conseillers, des diplomates et des élus - l'ancien ministre François de Rugy a indiqué au Monde avoir « saisi le procureur de la République au titre de l’article 40 du code de procédure pénale » et se réserver « la capacité (...) d’engager d’autres procédures ». De son côté, l’ancienne parlementaire Leïla Aïchi (EELV à l’époque), dont le téléphone a gardé les traces de deux tentatives d'intrusion, a précisé à Radio France qu'elle entendait « saisir la justice ».
L’avocat Joseph Breham confirme également qu’il déposera plainte pour les mêmes infractions que celles visées par Mediapart, auxquelles il ajoute la « violation du secret professionnel ». Dans son cas, l’expertise technique réalisée par Amnesty International a décelé une infection par Pegasus entre septembre et décembre 2019. L’avocat s’apprête également à saisir le comité contre la torture de l’ONU, chargé de protéger les défenseurs des droits humains contre les « représailles ».
Certains de ses clients, comme Claude Mangin, l’épouse d’un militant sahraoui emprisonné au Maroc (espionnée d’octobre 2020 à juin 2021), comptent également porter l’affaire devant la justice. D’autres victimes vivant sur le sol français devraient se manifester dans les prochains jours.
Dans leurs démarches, toutes peuvent s’appuyer sur l’expérience acquise lors des vagues de révélations précédentes concernant NSO et son logiciel Pegasus, pendant lesquelles Amnesty International était déjà en première ligne. Dans un rapport consacré à NSO, publié en mai 2021 (à lire ici en anglais), l’ONG revenait en détail sur les obstacles techniques et juridiques rencontrés par ceux qui font les frais de ce type d’espionnage.
Amnesty International constatait que l’opacité propre au secteur de la surveillance privée empêche souvent d’identifier « les juridictions compétentes, les propriétaires des entreprises, l’étendue des capacités techniques des logiciels » et donc de savoir « quelles lois s’appliquent à leurs activités ». Dans le cas particulier de NSO, précise le rapport, l’entreprise « refuse de rendre publiques les informations les plus basiques sur ses opérations, ses ventes et ses contrats, ou ses enquêtes internes sur les allégations d’utilisation abusive, tout en vantant ses engagements “de pointe” à respecter les principes édictés par l’ONU ».
Par le recoupement d’informations disponibles en source ouverte, notamment via les registres du commerce de différents États, Amnesty International a néanmoins pu établir que NSO, ses filiales ou ses holdings opéraient dans des lieux aussi variés que « les îles Vierges britanniques, la Bulgarie, les îles Caïman, Chypre, Israël, le Luxembourg, la Grande-Bretagne et les États-Unis ».
C’est justement aux États-Unis qu’a été déposée la plainte la plus prometteuse contre NSO. En octobre 2019, WhatsApp et sa maison mère Facebook ont attaqué l’entreprise devant un tribunal californien, sous l’angle de la violation des conditions d’utilisation et de l’atteinte à la propriété intellectuelle. La version de Pegasus en vigueur à l’époque profitait d’une faille de la messagerie WhatsApp pour s’infiltrer dans les portables, via un appel manqué.
D’après les recherches du Citizen Lab confirmées par WhatsApp, 1 400 téléphones ont été infectés par ce biais en avril-mai 2019. Une centaine appartenait à des « défenseurs des droits humains, journalistes et autres membres de la société civile dans le monde », dont certains au Bahreïn, aux Émirats arabes unis et au Mexique. WhatsApp a par la suite corrigé cette faille et prévenu les utilisateurs concernés.
Au Maroc, le militant anticorruption Fouad Abdelmoumni faisait partie des sept personnes piratées par ce biais. Dans un entretien accordé à Mediapart en mars, il rappelait les démarches qu’il avait entreprises à l’époque : tandis que l’autorité en charge de la protection des données personnelles refusait d’agir, son courrier à l’administration marocaine avait « contribué à aggraver la diffamation et les menaces ». « Je ne suis jamais allé devant la justice marocaine demander des comptes sur des comportements dont cette institution est complice », concluait l’économiste, figure nationale de la défense des droits humains.
En Californie, la société NSO a tenté de faire annuler la procédure lancée par WhatsApp en invoquant un principe juridique, « l’immunité souveraine ». Elle avançait qu’une fois le logiciel vendu, il était entièrement aux mains de ses clients, qui sont tous des acteurs étatiques, et que l’entreprise ne pouvait donc être considérée comme pénalement responsable d’une utilisation abusive. En juillet 2020, un juge a écarté cet argument et décidé que la procédure pouvait continuer.
Depuis, la plainte déposée par WhatsApp a reçu le soutien formel de nombreuses ONG (dont Amnesty International, Privacy International et l’Electronic Frontier Foundation), mais aussi de géants de la tech’ tels que Google, Microsoft et sa filiale LinkedIn, ou encore Cisco Systems.
Comme le montre ce recensement établi par le Citizen Lab de Toronto, d’autres plaintes ont été déposées à travers le monde par des particuliers, depuis 2018. Aucune n’a abouti à ce jour. On peut néanmoins en rappeler quelques-unes.
En Espagne, deux militants indépendantistes catalans ont porté plainte en juillet 2020 contre Félix Sanz Roldán, qui dirigeait le Centro Nacional de Inteligencia (CNI), un service de renseignement espagnol, lorsqu’ils ont été espionnés par le biais de Pegasus. Si l’Espagne ne figure pas parmi les pays cités dans les dernières révélations de Forbidden Stories, sa qualité de cliente était déjà connue.
NSO est également visée par une plainte déposée en Israël, fin 2018, par un ami de Jamal Khashoggi, le journaliste saoudien assassiné dans le consulat saoudien à Istanbul. Omar Abdulaziz, qui vit aujourd’hui au Canada, accuse NSO d’avoir installé Pegasus sur son téléphone pour espionner le journaliste, ce que l’entreprise dément.
Toujours en Israël, Amnesty International a par ailleurs tenté de faire révoquer la licence d’exportation dont bénéficie NSO, en s’appuyant notamment sur le cas du journaliste marocain Omar Radi. Mais un tribunal de Tel-Aviv a rejeté cette demande en juillet 2020.
Certaines victimes étant réfugiées hors de leur pays d’origine, les démarches devant la justice font parfois le tour du monde. En 2018, des journalistes et activistes mexicains ont porté plainte contre le groupe NSO en Israël, tandis qu’un Qatari déposait la sienne à Chypre. Quant au dissident saoudien Ghanem Almasarir, il a porté plainte au Royaume-Uni, où il réside, contre le royaume d’Arabie saoudite. Ce dossier a passé une première étape début 2020.
Certains États exercent une surveillance illicite sans avoir à craindre de conséquences juridiques.
Au fil des années, le logiciel Pegasus a évolué, devenant de plus en plus difficile à détecter, même après coup, en particulier sur Android. Seul un examen technique poussé des téléphones permet d’en retrouver les traces. C’est un autre obstacle à l’action en justice, souligné par le Citizen Lab dans un rapport de décembre 2020 : « À mesure que les techniques se perfectionnent, les développeurs de logiciels-espions deviennent capables de dissimuler leurs activités, d’intervenir sans entrave dans le marché mondial de la surveillance et ainsi de faciliter des violations permanentes des droits humains sans avoir à rendre de comptes. »
Dès 2019, le rapporteur spécial des Nations unies sur la liberté d’opinion et d’expression, David Kaye, s’inquiétait que « certains États exercent une surveillance illicite sans avoir à craindre de conséquences juridiques ».
À défaut d’enquêtes judiciaires efficaces, peut-on espérer que NSO mène des enquêtes internes sérieuses sur la façon dont ses clients prennent en main le logiciel ? Dimanche, tout en discréditant le travail du consortium mené par Forbidden Stories, l’entreprise a promis qu’elle « continuerait d’enquêter sur toutes les allégations crédibles d’utilisation abusive et prendrait les mesures adaptées en fonction des résultats de ces enquêtes ». À ce jour toutefois, très peu d’informations filtrent sur ces résultats comme sur les mesures prises.
Dans son rapport de mai 2021, déjà cité, Amnesty International publie ses échanges par courrier avec NSO, à l’automne 2020. L’ONG demande des précisions à l’entreprise sur les enquêtes internes qu’elle a lancées, leurs résultats et les informations pouvant être communiquées aux personnes se déclarant victimes. Le groupe NSO, qui assure « prendre très au sérieux » ces procédures, refuse toutefois de transmettre la moindre information aux plaignants sur les suites données. Et, comme à son habitude, ne confirme l’identité d’aucun de ses clients.