NSO Group :Quelqu’un doit faire le sale boulot

Quelqu’un doit faire le sale boulot : Les fondateurs de NSO défendent le logiciel espion qu’ils ont créé.

Le PDG Shalev Hulio a déclaré qu’il  » fermerait Pegasus  » s’il existait une meilleure alternative. Dans de longues interviews, Hulio et le cofondateur Omri Lavie ont retracé un parcours lancé depuis un kibboutz israélien et ont affirmé que la technologie de l’entreprise avait sauvé des vies.

« Si quelqu’un dit : j’ai trouvé un meilleur moyen d’attraper des criminels, des terroristes, d’obtenir des informations d’un pédophile, je fermerai cette entreprise », a récemment déclaré Shalev Hulio, cofondateur et PDG de NSO Group. « Je fermerai complètement Pegasus. » (Jonathan Bloom)

Par Elizabeth Dwoskin et Shira Rubin

Deux entrepreneurs israéliens d’une vingtaine d’années, qui dirigeaient une petite start-up de services à la clientèle pour les téléphones portables, assistaient à une réunion avec un client en Europe en 2009 lorsqu’ils ont reçu la visite de représentants des forces de l’ordre.

Le premier réflexe des entrepreneurs a été la peur. Peut-être avaient-ils fait quelque chose de mal dont ils n’étaient pas conscients, se souviennent Shalev Hulio et Omri Lavie dans des entretiens accordés cette semaine au Washington Post.

Au lieu de cela, les fonctionnaires ont fait une demande inattendue. Les agents ont déclaré que la technologie des Israéliens, qui aidait les opérateurs à dépanner les smartphones de leurs clients en leur envoyant un lien SMS permettant à l’opérateur d’accéder au téléphone à distance, pourrait être utile pour sauver des vies. Les méthodes traditionnelles d’écoute téléphonique devenaient obsolètes à l’ère du smartphone, ont expliqué les agents, car les premiers logiciels de cryptage bloquaient leur capacité à lire et à écouter les conversations des terroristes, des pédophiles et autres criminels. Hulio et Lavie seraient-ils en mesure de les aider, en construisant une version de leur technologie que les fonctionnaires pourraient utiliser ?

Plus de dix ans plus tard, la société de cybersécurité née de cette conversation fatidique – NSO Group, un acronyme basé sur les prénoms des trois fondateurs – est au centre d’un débat mondial sur l’armement d’une technologie de surveillance puissante et largement non réglementée.

Cette semaine, le Washington Post et un consortium de 16 autres médias partenaires ont rapporté que le logiciel espion de qualité militaire de l’entreprise avait été utilisé pour tenter et réussir le piratage de 37 smartphones appartenant à des journalistes, des chefs d’entreprise et deux femmes proches du journaliste saoudien assassiné Jamal Khashoggi.

Le parcours de Hulio – raconté au Post dans des entretiens avec des amis, des investisseurs, des collègues et Hulio lui-même – a été salué au fil des ans comme une version israélienne d’une success story de la Silicon Valley, une vitrine brillante du potentiel d’une minuscule nation qui se targue d’avoir la plus forte concentration de start-ups par habitant au monde, selon Startup Genome, un groupe de recherche basé à San Francisco. Mais NSO montre également le côté plus troublant de cette histoire, selon certains experts – l’histoire d’un pays trop désireux de se faire des amis dans une région hostile et trop disposé à prendre des mesures controversées au nom de la survie, ainsi que les limites des capacités des entreprises technologiques à contrôler l’abus de leurs produits par leurs clients.

M. Hulio a reconnu que certains clients gouvernementaux de NSO avaient abusé de ses logiciels par le passé – décrivant cela comme une « violation de la confiance » – et a déclaré que NSO avait coupé l’accès de cinq clients au cours des dernières années après avoir mené un audit sur les droits de l’homme, et avait mis fin aux liens avec deux d’entre eux au cours de la seule année dernière. M. Hulio a déclaré qu’il était lié par des accords de confidentialité stricts avec les organismes d’application de la loi qui lui interdisent de nommer des clients ou de décrire leurs activités. Il a ajouté qu’il ne pouvait pas nommer le pays ou l’agence qui l’avait initialement approché en Europe, car il est devenu par la suite un client.

Toutefois, deux personnes connaissant bien les activités de la société ont déclaré que les clients suspendus étaient l’Arabie saoudite, Dubaï (Émirats arabes unis) et certaines agences publiques au Mexique. L’une des personnes a déclaré que la décision de l’Arabie saoudite était une réponse au meurtre de Khashoggi, et deux autres ont dit que les agences mexicaines continuaient à utiliser un autre produit de NSO conçu pour aider les premiers intervenants dans les missions de recherche et de sauvetage.

« Il y a une chose que je veux dire : Nous avons construit cette entreprise pour sauver des vies. Un point c’est tout », a déclaré Hulio lors d’une interview tard dans la nuit de lundi à mardi, à un étage élevé de la tour de bureaux non identifiée de la société, située dans la banlieue chic de Tel Aviv, à Herzliya. « Je pense qu’il n’y a pas assez d’éducation sur ce qu’une organisation de sécurité nationale ou de renseignement doit faire chaque jour afin de donner, vous savez, une sécurité de base à leurs citoyens. Et tout ce que nous entendons, c’est cette campagne selon laquelle nous violons les droits de l’homme, et c’est très contrariant. Parce que je sais combien de vies ont été sauvées dans le monde grâce à notre technologie. Mais je ne peux pas en parler ».

Interrogé sur les 37 piratages tentés et confirmés, il a déclaré : « Si même un seul est vrai, c’est quelque chose que nous ne supporterons pas en tant qu’entreprise ». Les téléphones figuraient sur une liste de plus de 50 000 numéros concentrés dans des pays connus pour la surveillance de leurs citoyens et également connus pour avoir été clients de NSO Group, selon l’enquête du consortium. M. Hulio a déclaré que la société poursuivait son enquête sur les numéros fournis par les médias et que les affirmations concernant un quelconque lien entre la liste et NSO étaient fausses.

Dans les premières semaines qui ont suivi la création de la société, en 2010, « avant même d’avoir écrit une ligne de code », Hulio a déclaré que lui et Lavie avaient établi trois principes directeurs qui restent en vigueur aujourd’hui. Premièrement, ils ne concéderaient des licences qu’à certaines entités gouvernementales, reconnaissant que la technologie pourrait être utilisée de manière abusive dans des mains privées. Deuxièmement, ils n’auraient aucune visibilité sur les individus ciblés par les clients après leur avoir vendu une licence logicielle. La troisième, qui selon Hulio était la plus importante, était de demander l’approbation de l’unité de contrôle des exportations du ministère israélien de la Défense, une décision inhabituelle car à l’époque, l’unité ne réglementait que les ventes d’armes à l’étranger (Israël a promulgué une loi sur la cybernétique en 2017).

Ces trois décisions ont été prises, selon Lavie, pour que « nous puissions dormir la nuit ». Il a dit que lui et Hulio croyaient fermement qu’il n’était pas approprié d’avoir une connaissance directe des questions de sécurité nationale interne des pays étrangers. Ils pensaient également qu’ils n’étaient pas équipés pour prendre des décisions politiques sur les clients à qui vendre.

NSO demande également à ses clients de signer un accord dans lequel ils promettent de n’utiliser le logiciel qu’à des fins d’application de la loi ou de lutte contre le terrorisme.

Ces derniers jours, certains dirigeants politiques israéliens ont commencé à faire valoir que les règles de contrôle des exportations qui régissent les entreprises de cybertechnologie étaient peut-être devenues trop sujettes à l’influence politique. Certains des pays où NSO avait des accords, notamment l’Arabie saoudite et les EAU, sont des endroits où le dernier Premier ministre israélien, Benjamin Netanyahu, a cherché à forger de nouvelles alliances.

La version de la Silicon Valley de Hulio et Lavie commence dans un poulailler rénové dans un kibboutz du centre d’Israël. Onze ans plus tard, NSO est une entreprise de 750 employés, évaluée par les investisseurs à plus de 1,5 milliard de dollars.

Hulio – décrit par ses amis comme un optimiste acharné et un charismatique sans prétention – a posé pour des photos tenant une figurine de Superman qu’il gardait dans son bureau à côté d’autres figurines et de statuettes du premier ministre israélien. À 39 ans, il sert dans la réserve militaire israélienne, où il s’est porté volontaire pour de nombreuses missions de recherche et de sauvetage, notamment lors du tremblement de terre de 2010 en Haïti.

Hulio et Lavie étaient les meilleurs amis du lycée, inséparables après s’être rencontrés lors d’un voyage scolaire en Europe où ils ont visité les sites d’anciens camps de concentration. Lavie était axé sur les affaires, tandis que Hulio était un enfant du théâtre. Tous deux étaient des férus d’informatique, passant des heures dans des salons de discussion en ligne et jouant à des jeux vidéo dans la ville portuaire à revenu moyen de Haïfa, disent-ils. Les amis sont entrés dans l’armée après le lycée, comme c’est le cas pour la majorité des citoyens israéliens, mais ont servi dans des rôles non techniques.

« Ils n’avaient pas le parcours de l’entrepreneur israélien typique », a déclaré Eddy Shalev, le premier investisseur de la société. « Ils ne venaient pas de l’intelligence, ni de l’argent. Ils n’étaient pas du tout des informaticiens. Mais il [Hulio] avait le charisme d’un véritable entrepreneur. »

Après l’armée, Hulio était en fac de droit quand lui et Lavie ont eu l’idée de créer un logiciel qui permettrait aux gens d’acheter les produits qu’ils voyaient dans les émissions de télévision. L’entreprise, MediAnd, s’est retrouvée à court d’argent lors du krach boursier de 2008. Dépité et sans emploi, Lavie a commencé à vendre des téléphones Nokia et des BlackBerrys dans un kiosque de centre commercial. Les deux hommes se sont sentis frustrés par la difficulté pour les opérateurs d’effectuer des mises à jour de base sur les appareils mobiles. Ils ont décidé de cofonder la société de service clientèle mobile CommuniTake, ainsi nommée parce qu’elle prenait le contrôle des téléphones des gens avec l’autorisation du client.

Après la réunion impromptue avec les forces de l’ordre en Europe, Lavie a déclaré que Hulio et lui étaient « stupéfaits » par la rapidité avec laquelle le rythme de la technologie et l’avènement des smartphones avaient permis aux criminels d’échapper aux forces de l’ordre.

Ils sont allés directement au conseil d’administration de CommuniTake et ont déclaré qu’ils voulaient changer la direction de l’entreprise. Selon eux, le conseil d’administration s’est moqué de l’idée de faire un changement aussi radical et difficile alors que CommuniTake montrait déjà des signes de succès.

Quelques mois plus tard, Hulio participait à une mission bénévole de recherche et de sauvetage en Haïti, où il retirait des corps des décombres d’une université effondrée.

« J’ai pensé, vous savez, si vous avez quelque chose qui peut sauver des vies, pourquoi ne pas le faire ? C’est le moment ou jamais », a-t-il déclaré.

Il a persuadé Lavie de le rejoindre, et les entrepreneurs ont quitté CommuniTake après avoir tenté en vain de persuader le conseil d’administration de changer de cap.

Mais Hulio dit qu’il s’est vite rendu compte qu’il n’avait aucune idée de la faisabilité technologique de son objectif : créer un logiciel permettant aux forces de l’ordre de prendre le contrôle d’un téléphone portable.

Un jour, lui et Lavie ont entamé une conversation dans un café avec deux inconnus qu’il avait entendus parler de la façon d’accéder à distance à des téléphones, ont-ils dit. Les inconnus ont dit qu’ils avaient un ami, un ingénieur qui travaillait dans une branche locale de Texas Instruments, qui pouvait construire le logiciel envisagé par Hulio. Les inconnus ont appelé l’ingénieur, et Hulio lui a offert un emploi sur-le-champ, lui promettant une augmentation de salaire considérable, bien qu’à l’époque il n’avait pas d’investisseurs. (Eddy Shalev et quelques autres ont rapidement consacré 1,5 million de dollars à l’entreprise).

NSO a obtenu son premier bureau – le poulailler rénové. Environ sept mois plus tard, ils ont fait la démonstration d’une première version du produit et l’année suivante, ils ont décroché leur premier client, le Mexique, selon une personne connaissant bien la société et un rapport des médias israéliens. Ils ont appelé le logiciel espion Pégase, d’après le cheval ailé de la mythologie grecque, parce que Hulio a dit que le logiciel était comme un cheval de Troie envoyé par les airs vers les téléphones des gens. (Le troisième fondateur de l’acronyme NSO, Niv Carmi, est parti peu après).

Le matin de Noël de cette même année, le président du Mexique a appelé NSO pour la remercier du « plus grand cadeau de Noël que vous puissiez offrir au peuple mexicain », à savoir l’arrestation d’un grand criminel, selon deux employés au courant de la conversation qui ont parlé sous le couvert de l’anonymat parce qu’ils ne sont pas autorisés à en parler publiquement.

Deux personnes familières avec les transactions de l’entreprise ont déclaré que le logiciel espion de NSO avait aidé à deux reprises le Mexique à capturer le baron de la drogue Joaquín « El Chapo » Guzmán, d’abord en 2014, puis en 2016. Un rapport de 2019 du journal israélien Yedioth Ahronoth a rapporté la même affirmation ; le Post n’a pas confirmé de manière indépendante un rôle de NSO dans la capture d’El Chapo.

Après cela, Lavie – qui est toujours membre du conseil d’administration et a depuis fondé une autre cyber start-up – a commencé un effort de plusieurs années pour trouver le nom de fixeurs bien connectés qui travaillent avec des agences de renseignement dans le monde entier.

Très vite, la société a doublé sa clientèle chaque année, a déclaré l’un des premiers employés. Il a dit que parfois les clients montraient leurs remerciements en envoyant un article de presse sur l’arrestation d’une figure criminelle – sans référence à un quelconque rôle furtif joué par NSO dans l’arrestation – une expérience qui, selon lui, ressemblait à de la « magie ».

L’employé a déclaré que Hulio est obsessionnellement persistant mais réaliste. « Si 50 personnes lui disent que quelque chose n’est pas possible, il continuera à chercher jusqu’à ce qu’il trouve la personne qui peut le faire. Mais ensuite, si la personne dit qu’elle peut le faire, il dira : « Comment se fait-il que vous puissiez faire quelque chose alors que 50 personnes avant vous ont dit que ce n’était pas possible ? Prouvez-le. »

Au fur et à mesure que NSO se développait, l’entreprise a été couverte de récompenses par les meilleures institutions académiques israéliennes. En 2018, une émission à potins a couvert la retraite d’entreprise tous frais payés de NSO en Thaïlande ; Hulio avait fait venir par avion certaines des plus grandes célébrités israéliennes pour l’occasion.

Mais même avant les controverses croissantes de NSO, certaines personnes de la communauté technologique israélienne très soudée ont déclaré qu’elles pensaient que les activités de NSO étaient contraires à l’éthique et ont dit qu’elles évitaient ce que l’on appelle la « cyber-offensive », se concentrant plutôt sur la technologie qui aide les victimes à se défendre contre les attaques.

Ces jours-ci, Hulio vit de peu de sommeil, de coca light et de sushis à emporter, et tente de s’expliquer sans grand espoir que le monde l’écoute.

Il oscille entre contrition et défensive : Il dit croire que des intérêts hostiles à Israël sont à l’origine de certaines des attaques contre sa société et d’autres cyberentreprises israéliennes. Il note que les États-Unis vendent depuis des années du matériel militaire à l’Arabie saoudite, un pays avec lequel NSO a été identifié comme ayant travaillé.

Dans le même temps, M. Hulio a déclaré que l’entreprise continuerait à fermer immédiatement tout client ayant « violé la confiance » et a refusé de vendre à 90 pays, dont la Russie et la Chine. NSO a commencé à demander à ses clients de signer un engagement en matière de droits de l’homme en 2020, et le mois dernier, elle a publié son premier rapport de transparence.

Mais la capacité de NSO à enquêter est aussi fondamentalement entravée par sa politique de n’avoir aucune visibilité sur les activités des clients.

Si elle apprend ou soupçonne qu’un client a enfreint ses règles, elle peut actionner un interrupteur qui coupe l’accès à Pegasus. Elle a les moyens techniques d’identifier les numéros de téléphone qui ont été ciblés par son logiciel, mais seulement si le client ou une personne extérieure, comme un dénonciateur ou une organisation de presse, fournit les numéros et que le client donne la permission d’accéder à son système.

La situation serait meilleure, selon M. Hulio, si le secteur de la cybersécurité était réglementé par un organisme mondial. Plus important encore, a-t-il ajouté, le gouvernement israélien a un rôle à jouer : Les pays qui ne respectent pas leurs accords devraient se voir interdire l’accès à la cybertechnologie israélienne.

Et il insiste sur le fait que ce que NSO a construit est toujours pour le bien de tous.

« Si quelqu’un dit : j’ai trouvé un meilleur moyen de coincer des criminels, des terroristes, d’obtenir des informations d’un pédophile, je fermerai cette société », a-t-il déclaré. « Je fermerai Pegasus complètement. »

Lavie l’a exprimé en termes encore plus durs.

« C’est horrible », a-t-il dit à propos des rapports sur les attaques contre les journalistes et autres abus. « Je ne le minimise pas. Mais c’est le prix à payer pour faire des affaires. … Cette technologie a été utilisée pour gérer littéralement le pire de ce que cette planète peut offrir. Quelqu’un doit faire le sale boulot ».

Le projet Pegasus est une enquête collaborative qui implique plus de 80 journalistes de 17 organismes de presse, coordonnée par Forbidden Stories avec le soutien technique du Security Lab d’Amnesty International. Plus d’informations sur ce projet.

The Washington Post, 21/07/2021

Etiquettes : NSO Group, Pegasus, Espionnage, Israël,