Réactions au projet Pegasus

NSO = Non coupable, ou ?
Un commentaire de Patrick Beuth

Personne n’est aussi indigné par les révélations de Pegasus que la société à l’origine du logiciel de surveillance. Mais leur défense pourrait durer un certain temps – au moins plus longtemps que leur ridicule boycott médiatique.

Les reportages mondiaux sur le logiciel de surveillance Pegasus ont déclenché la tempête d’indignation attendue : les chefs d’État et de gouvernement, de la chancelière allemande au président français Emmanuel Macron, les militants des droits civils ainsi que les médias du monde entier sont indignés par l’utilisation révélée du logiciel d’espionnage contre leurs pairs. Les pays qui ont acheté et utilisé Pégase sont indignés car ils sont maintenant mis au pilori pour cela.

Mais personne n’est aussi indigné que les développeurs de Pegasus eux-mêmes, le groupe NSO d’Israël.

Ce que rapportent les médias impliqués dans le projet peut se résumer ainsi : Les clients de NSO Group, dont l’Inde, le Mexique, l’Arabie saoudite et la Hongrie, souhaitaient apparemment utiliser le logiciel de surveillance Pegasus pour espionner des chefs d’État étrangers, des figures de l’opposition dans leur propre pays, des journalistes d’investigation et des militants des droits de l’homme.

Le point de départ de ces recherches est une liste, dont la source n’a pas encore été rendue publique, contenant 50 000 numéros de téléphone qui seraient des cibles au moins potentielles de Pegasus. Les médias ont été en mesure de déterminer les noms d’environ 1000 numéros. Amnesty International a procédé à l’examen informatique légal de 67 des smartphones en question ; selon les experts, des traces d’une infection réussie ou d’une tentative d’infection par Pegasus ont été trouvées sur 37 d’entre eux.

« Malveillant », dit l’ONS. Pas l’utilisation de Pegasus, remarquez bien, mais la « campagne médiatique bien orchestrée ». C’est ce qu’indique un texte que la société a publié sur son site web mercredi, intitulé « Trop, c’est trop ». Il est écrit : « En raison du mépris total des faits, l’ONS annonce par la présente qu’elle ne répondra plus à aucune demande des médias sur cette question. »

L’ONS se considère comme « responsable » et « prudent ».

Le black-out de l’information qu’il s’est imposé n’a pas duré 24 heures. Jeudi, le cofondateur et PDG de NSO, Shalev Hulio, a accordé une interview au magazine Forbes, qui n’est pas impliqué dans le projet Pegasus, dans laquelle il a notamment répété la réponse standard de NSO jusqu’à présent. Elle affirme que la liste des 50 000 numéros de téléphone mobile n’a rien à voir avec NSO et Pegasus et que ce chiffre est tout simplement « fou » car NSO ne compte que 40 à 45 clients avec une moyenne de 100 destinations. Il s’agit d’affirmations non prouvées pour commencer, mais pour les réfuter, les partenaires du projet Pegasus devraient probablement révéler la source de la liste.

Deuxièmement, Hulio a carrément affirmé dans l’interview que pas un seul des 37 smartphones examinés par Amnesty n’avait été infecté par Pegasus.

Il s’agit d’une déclaration remarquable, étant donné que son entreprise souligne toujours qu’elle ne peut pas examiner activement les données de ses clients et qu’elle ne sait donc pas ce qu’ils font avec Pegasus. Mais selon Hulio, elle peut ensuite exiger que les clients lui remettent les fichiers journaux, y compris les numéros de téléphone mobile ciblés, si elle mène une enquête sur l’utilisation abusive de la technologie.

L’ONS affirme avoir déjà agi de la sorte, en mettant fin aux relations commerciales avec un client en 2020, par exemple, parce que ce dernier avait ciblé « une personne protégée ». C’est ce qui ressort du premier rapport sur la transparence et la responsabilité de l’entreprise, publié à la fin du mois de juin. L’ONS a également enquêté sur les cas décrits dans le projet Pegasus, et les 37 numéros mentionnés ne figuraient pas dans les fichiers journaux, nous dit Hulio. Il n’a cependant pas fait d’effort particulier pour le prouver et réfuter Amnesty.

Alors que l’ONS pourrait fournir un aperçu plus détaillé de Pegasus, mais ne le veut évidemment pas, c’est l’inverse qui se produit pour les médias et les experts en informatique légale impliqués : ils le veulent, mais ne peuvent pas fournir davantage de preuves. Seules des traces pointant vers Pegasus ont été trouvées sur les smartphones examinés – mais pas un morceau du logiciel lui-même.

Pour Erste, tout se résume donc à une question de crédibilité : les logs de NSO sont-ils vraiment aussi « inviolables » que le dit le rapport de transparence, NSO est-il vraiment « responsable » et « prudent » avec Pegasus comme le promet le rapport de transparence ? Cela signifierait que les experts techniques d’Amnesty et du Canadian Citizen Lab n’ont pas seulement commis des erreurs maintenant, mais qu’ils ont commis des erreurs répétées depuis 2016 dans l’analyse des artefacts logiciels, des réseaux et des serveurs qu’ils attribuent à NSO.

Au cas où l’une des deux lignes de défense de l’OSN s’effondrerait, un porte-parole en a rédigé une troisième peu avant le début du mini-boycott de la presse. Elle indique que les clients doivent être tenus responsables de l’utilisation de Pegasus, et non le développeur. Selon lui, « si j’étais un constructeur automobile et qu’un ivrogne renversait quelqu’un d’autre dans l’une de mes voitures, ce n’est pas vers moi qu’on se tournerait, mais vers le conducteur ».

Voici donc le groupe NSO, une entreprise qui ne peut pas éliminer ou empêcher l’utilisation abusive de son produit le plus célèbre. Qui compare ses clients à des conducteurs ivres, et ses cibles à des victimes d’accidents. Et qui, dans tout cela, n’a aucun doute sur son modèle économique. Il serait peut-être plus sage qu’elle ne dise rien pendant un moment.

Spiegel Netzwelt, 24/07/2021

Etiquettes : Pegasus, espionnage, NSO Group,