ANALYSES

Affaire Pegasus : « Ces logiciels espions doivent inquiéter les États, autant que les utilisateurs privés »

Presse
22 juillet 2021

En quoi consiste le projet Pegasus ?


Le projet Pegasus est un projet qui dépend d’une société privée qui s’appelle NSO, qui agit uniquement sur autorisation du gouvernement américain et qui fournit, sur le papier uniquement à des acteurs étatiques, des logiciels d’intrusion dans les téléphones. Cette société dispose d’une technologie très avancée. En principe, il s’agit de logiciels destinés à lutter contre l’espionnage ou la grande criminalité et qui ont la particularité de s’infiltrer dans le smartphone (système Android ou iOS). Une fois infiltré, le système accède à toutes les informations (contenu des appels, des applications, géolocalisation). En cela, ce piratage diffère de la simple interception d’appels téléphoniques.


À l’époque des écoutes téléphoniques de l’Élysée, les services de police surveillaient les conversations échangées entre des téléphones fixes. Par la suite, on a connu les immenses scandales qu’ont révélés Snowden et Assange. En 2013, il a même été dévoilé que la NSA, sous Obama, avait écouté Chirac, Sarkozy, Hollande et Merkel. La NSA avait capté leurs communications de l’extérieur via des systèmes satellites par exemple. Il y a deux différences principales avec la situation actuelle: d’une part, il s’agit ici de sociétés privées ; d’autre part, leurs techniques leur permettent de prendre le pouvoir du téléphone portable, ce qui est plus grave que d’écouter des conversations.


Comment a-t-on pu contourner la sécurité et infiltrer le portable du président français ?


Il n’est pas absolument certain à ce stade que l’on ait infiltré les téléphones portables. Il paraît effectivement étrange que le portable d’Emmanuel Macron ne soit pas ultra-sécurisé, il n’est pas certain que cela soit arrivé. La documentation est surabondante dans cette affaire et il faut faire attention. L’ONG Forbidden Stories détiendrait une liste de 50 000 numéros de téléphone que certains États auraient voulu écouter: il n’y a pas de preuve absolue que cela ait fonctionné. Pour Forbidden Stories, cela représente un travail colossal. Au moment de l’affaire Snowden, l’ONG concernée avait dû se faire aider par des titres de presse pour absorber la charge de travail.


Forbidden Stories a trouvé une liste de téléphones susceptibles d’être infectés dont 1 000 Français, contenant par exemple Éric Zemmour. Par ailleurs, l’association donne une liste d’États «en principe» : il s’agit de ceux qui auraient déjà pratiqué cela auparavant (l’Arabie saoudite, le Mexique, le Maroc). Si j’ai bien compris, il n’y a ni la France ni les États-Unis. Si j’étais paranoïaque, je me demanderais si certains États n’utilisent pas d’autres États amis comme sous-traitants.


Que recherchait le Maroc en procédant à de telles écoutes ?


Le Maroc a évidemment démenti ces accusations. Quand le pays écoute ses propres dissidents, comme le fameux Omar Radi, on peut à la limite comprendre les motivations. C’est un opposant écouté et infiltré depuis des années avec des technologies qui s’améliorent. Omar Radi s’amusait d’ailleurs en donnant de faux rendez-vous par message à ses amis pour des manifestations et regardait la police arriver sur les lieux. En dehors de cela, dans la liste des personnalités qui seraient écoutées par le Maroc, il y a le Premier ministre marocain, cela se comprend aussi. Pourquoi par contre fait-il écouter Edwy Plenel ? Peut-être a-t-il peur qu’il fasse des dossiers sur le Maroc. Où s’arrête l’intérêt du Maroc en faisant écouter des journalistes du Monde ou quelqu’un comme Zemmour ? Peut-être souhaite-t-il savoir si Éric Zemmour va avoir une influence sur l’élection présidentielle française ou même se présenter. Tout le monde pointe le Maroc ou l’Arabie saoudite, mais on pourrait pointer plusieurs autres pays. Cette surabondance du Maroc a deux explications: soit le roi du Maroc est paranoïaque et il souhaite savoir ce qu’il se passe en France car elle est un pays allié particulièrement important ; soit le Maroc fait le travail pour quelqu’un d’autre et je n’ai aucune réponse à cette question.


Quelles sont les conséquences d’une telle surveillance, à la fois au niveau des règles de sécurité de l’État et au niveau diplomatique ?


On espère que les règles de sécurité des conversations téléphoniques de nos ministres et de notre président vont être renforcées. C’est une marque de patriotisme que de le souhaiter. J’ai aussi été indigné quand Hollande avait été écouté sous Obama ! Pour le renforcement des règles, cela devient une question technique: on a de très bons informaticiens, l’ANSSI est performante, on a probablement les moyens techniques de vérifier si le logiciel Pegasus a réellement fonctionné pour l’écoute des appareils, même s’il est très discret et qu’il reste dans la mémoire vive. La question de savoir si l’on va donner des systèmes vraiment sécurisés ou si Android ou iOS (Apple garantit publiquement la vie privée) vont s’emparer de la question, est incertaine, même si cela est probable.


Les conséquences internationales sont encore inconnues: va-t-on prendre des mesures contre des acteurs privés ? Dans le fond, rien ne changera significativement. Snowden s’est sacrifié héroïquement, le système a continué à fonctionner. Pourrait-on au moins, comme le recommande Snowden, imaginer des mesures de sanction contre des acteurs privés qui vendent des systèmes d’espionnage dont le but est de violer la vie privée ? En principe, ils ne les vendent qu’à des États. Cependant, nous savons que les États ne vont pas l’utiliser que pour arrêter des criminels et des terroristes. De plus si quelque chose sert à un État, il peut servir aussi à des intérêts privés. Il est déjà possible de se procurer, pas en France mais à l’étranger, des logiciels qui, après installation, permettent de savoir à qui la personne téléphone. Il existe beaucoup de dispositifs pour violer la vie privée (des caméras dissimulées par exemple). Il faudrait arriver à des accords internationaux pour sanctionner au-delà d’un certain degré de sophistication. Pegasus est vraiment à la pointe du progrès technique.


Pour infiltrer un téléphone, pour en connaître l’intégralité du contenu, il y a trois méthodes. Il y a d’abord les pearfishing, où l’on vous envoie des messages truqués avec des liens qui infiltrent l’appareil et en prennent le contrôle en installant un système. Le stade 2, c’est d’infiltrer quand vous allez consulter une adresse URL: croyant vérifier les horaires de train ou le site d’un ministère, on est en réalité envoyé vers un autre site qui télécharge le système. Ils seraient arrivés au stade 3, ils auraient les moyens par des failles méconnues de rentrer directement dans le téléphone. Même si rien de stupide n’est fait, ils auraient les moyens de rentrer dans le téléphone sans être décelé. Cela daterait de 2013, des ONG sont sur la piste depuis cette année-là, quand ils s’en prenaient à Omar Radi.


Il y a un progrès technique dans les moyens, mais le seul frein est le prix. Tout le monde ne peut pas s’offrir ces services. Il semble de pas y avoir de limite à leur système. Même Telegram, réseau très sécurisé, ne leur résiste pas.




 

Propos recueillis par Eugénie Boilait pour Figaro Vox.


Sur la même thématique