L’affaire permet de déterminer si l’immunité souveraine peut être étendue aux entreprises de cybersurveillance travaillant pour des gouvernements étrangers.
SAN FRANCISCO (CN) – Trois juges du neuvième circuit ont signalé lundi qu’il était peu probable qu’ils bouleversent des siècles de précédents juridiques en accordant l’immunité souveraine à une société israélienne de logiciels dont l’outil de cybersurveillance a été utilisé par des gouvernements étrangers pour espionner quelque 1 400 journalistes et activistes.
NSO Group Technologies est probablement mieux connu pour Pegasus, un logiciel espion qui peut pirater un appareil mobile sans être détecté. Il envahit l’appareil par le biais d’un code malveillant dissimulé dans les messages texte envoyés via WhatsApp, Telegram ou d’autres services de messagerie. Une fois implanté sur l’appareil, Pegasus peut contrôler les microphones et les caméras d’un téléphone tout en extrayant les données personnelles et de localisation de son propriétaire – par exemple en grattant l’historique du navigateur et les contacts, en saisissant des captures d’écran et en infiltrant les communications.
En octobre 2019, WhatsApp et son propriétaire Facebook ont poursuivi NSO, affirmant qu’elle avait infiltré la plateforme de messagerie pour espionner les appareils utilisés par des avocats, des militants des droits de l’homme, des journalistes et des diplomates. WhatsApp affirme que NSO y est parvenu en utilisant les serveurs de WhatsApp pour lancer des appels qui pouvaient infecter les appareils avec des logiciels malveillants une fois l’appel terminé – même si la cible visée ne décrochait jamais le téléphone.
En juillet 2020, le juge de district américain Phyllis Hamilton a refusé de rejeter l’affaire de WhatsApp, estimant que NSO n’est pas protégé par l’immunité souveraine en tant que société privée, même si elle agit en tant qu’agent de ses clients souverains étrangers.
Lors de la plaidoirie lundi, l’avocat de NSO, Jeffrey Bucholtz, a eu du mal à convaincre les juges du circuit américain Mary Murguia, nommée par Barack Obama, et Ryan Nelson Dani Hunsaker, nommé par Donald Trump, d’annuler la décision de Hamilton.
Murguia a demandé à Bucholtz si NSO avait demandé une suggestion d’immunité au Département d’État, ce qui fait partie de la procédure en deux étapes permettant à un tribunal de déterminer si un État étranger a droit à l’immunité souveraine étrangère de sa juridiction.
« Comment pouvons-nous accorder l’immunité que vous demandez alors qu’il n’y a pas d’exemple apparent de l’exécutif suggérant l’immunité pour une société étrangère privée », a-t-elle demandé.
Bucholtz a déclaré que le juge Hamilton n’avait pas demandé l’avis du Département d’Etat sur la reconnaissance de l’immunité de NSO, ajoutant que la nouveauté de l’affaire WhatsApp pourrait expliquer pourquoi il n’y a pas d’exemples antérieurs de la branche exécutive pesant sur des poursuites contre des sociétés étrangères privées agissant en tant qu’agents de souverains étrangers.
« Ils savent qu’ils ne peuvent pas poursuivre les clients étatiques étrangers de NSO », a-t-il dit. « Ils poursuivent donc la société qui fournit le support informatique aux États étrangers. C’est comme si les États-Unis menaient une opération militaire dans un autre pays et que quelqu’un n’aimait pas la façon dont les États-Unis menaient l’opération et poursuivait la société qui a vendu les missiles ou les balles et cherchait à contourner l’immunité des États-Unis de cette façon. »
Hunsaker a repoussé. « Je trouve l’argument que vos clients avancent ici remarquable », a-t-elle dit à Bucholtz. « Dans les plus de 200 ans d’histoire de notre pays, nous n’avons aucun exemple d’immunité souveraine étrangère accordée à une entreprise privée. »
Bucholtz a comparé l’affaire à la décision du quatrième circuit Butters v. Vance International, où une société privée engagée pour assurer la sécurité de l’épouse du roi d’Arabie saoudite s’est vu accorder l’immunité contre le procès pour discrimination sexuelle d’un employé.
« Il n’est pas tout à fait juste de dire qu’il n’y a pas d’exemple », a déclaré Bucholtz. « Mais il est tout aussi remarquable qu’il n’y ait pas un seul exemple d’un tribunal ou de l’exécutif disant que les entités ne sont pas admissibles à l’immunité fondée sur le comportement. »
Hunsaker a répondu : « L’une des raisons pour lesquelles cela ne s’est pas produit est que tout le monde savait ou supposait que lorsque vous parlez d’immunité souveraine, vous parlez d’un souverain, pas d’un acteur privé. »
Bucholtz a exhorté le panel à considérer Doğan v. Barak, dans lequel le neuvième circuit a jugé que les fonctionnaires étrangers ont droit à l’immunité lorsqu’ils agissent en leur qualité officielle ratifiée par un gouvernement souverain.
« Dans l’affaire Doğan, le gouvernement avait fait une déclaration concernant une suggestion d’immunité, ce qui semble assez significatif pour distinguer cette affaire de Doğan », a déclaré Murguia.
Le NSO ne décide pas quels États étrangers utilisent ses outils ou comment ils choisissent leurs cibles, a déclaré Bucholtz, mais se contente d’installer le logiciel, de former les gouvernements sur la façon de l’utiliser et de fournir un support informatique – ce qui atténue encore sa responsabilité. « Si quelqu’un est responsable, ce sont les États étrangers », a-t-il déclaré.
Ces dernières années ont été marquées par une vague de procès contre la société de cyberarmement, notamment par Amnesty International et un dissident saoudien qui affirme que le piratage de son téléphone par Pegasus a conduit au meurtre de son ami, le journaliste saoudien Jamal Khashoggi.
L’année dernière, le Citizen Lab de l’Université de Toronto a signalé que le logiciel espion Pegasus avait été implanté sur les téléphones personnels de 36 journalistes, producteurs, présentateurs et cadres d’Al-Jazeera.
Un grand nombre d’entreprises technologiques et de groupes de défense ont déposé des mémoires d’amicus curiae dans l’affaire WhatsApp, avertissant que les outils de cybersurveillance comme Pegasus « augmentent considérablement le risque systémique de cybersécurité » et représentent un danger pour les défenseurs des droits de l’homme.
« Les outils de cybersurveillance comme Pegasus de NSO sont puissants et dangereux. Ces outils dépendent des vulnérabilités du code qui permettent à une personne d’accéder au dispositif, au réseau ou au système d’une autre personne. Si ces outils sont mal utilisés, les résultats peuvent être désastreux », a écrit l’avocat Mark Farris au nom du groupe qui comprend Microsoft, Cisco, LinkedIn et GitHub.
L’Electronic Frontier Foundation a souligné que la liste des clients étrangers de NSO « reste secrète » et que pour « promouvoir la transparence dans les affaires internationales, la doctrine de l’immunité ne devrait protéger que les actions entreprises par un État, ses organes ou ses entreprises – et non les actions blanchies par une entité privée comme NSO ».
Représentant WhatsApp, l’ancien Solicitor General adjoint Michael Dreeben a attaqué la stratégie de NSO consistant à chercher à obtenir une forme nouvelle et sans précédent d’immunité pour ses actions, qui n’est habituellement accordée qu’aux individus qui représentent des États étrangers.
« NSO cherche à étendre ce concept dans une direction radicalement nouvelle qui couvrirait les entreprises contractantes. Cette forme d’immunité n’a jamais été soutenue par la common law dans l’histoire des États-Unis », a-t-il déclaré.
M. Dreeben a noté que les États étrangers se manifestent généralement pour protéger leurs opérations en demandant une suggestion d’immunité au Département d’État.
« Ici, nous n’avons rien de tel. NSO n’a même pas identifié les multiples clients étrangers pour lesquels elle prétend travailler. C’est totalement opaque », a-t-il déclaré, ajoutant que NSO ne sert pas d’agent d’un État étranger, mais « opère comme une entreprise commerciale privée dont la principale préoccupation est de réaliser des bénéfices pour son propre actionnaire. Et dans ce contexte, elle ne sert d’agent de personne, c’est une société ».
Bucholtz a déclaré qu’un jugement en faveur de WhatsApp pourrait laisser plus d’entreprises technologiques ouvertes à des poursuites devant des tribunaux étrangers si elles contractent avec les États-Unis dans leurs enquêtes de sécurité nationale à l’étranger. « La chaussure pourrait facilement être sur l’autre pied », a-t-il déclaré.
Le panel a pris l’affaire en délibéré.
Courthouse News Service, 12 avr 2021
Etiquettes : Israël, NSO, Pegasus, espionnage, Facebook, Whatsapp, logiciel espion, spyware,