Le logo de la société israélienne NSO dans le désert d’Arava, au sud d’Israël, le 22 juillet 2021. Amir Cohen/Reuters
La société israélienne NSO et son logiciel controversé Pegasus, au cœur d’un scandale mondial d’espionnage, incarnent l’émergence d’entreprises spécialisées dans la production d’armes informatiques, une tendance qui inquiète de nombreux experts et organisations internationales. Pegasus permet « de s’acheter sa propre NSA », ironise, en référence à l’agence américaine de renseignements, Ron Deibert, directeur de Citizen Lab. Ce laboratoire de l’Université de Toronto a joué un rôle-clef dans l’exposition au grand jour de Pegasus. « Vous n’avez pas vos capacités maison ? Grâce à des entreprises comme NSO, vous pouvez simplement aller les acheter ! » insiste-t-il.
En mars dernier, le centre de réflexion américain Atlantic Council avait déjà tiré la sonnette d’alarme sur le rôle dangereux joué par NSO et d’autres sociétés spécialisées dans la vente d’outils d’intrusion dans les smartphones et autres systèmes informatiques. Ces firmes « d’intrusion à la demande (AaaS, access as a service) créent et vendent des capacités cyberoffensives à un rythme alarmant », notait le rapport, décrivant en particulier le rôle joué par trois entreprises : NSO, une société russe dont l’Atlantic Council préférait taire le nom et DarkMatter, basée aux Émirats arabes unis et créée avec le soutien d’experts américains. Selon le rapport, l’émergence de ces sociétés « a contribué à la compromission d’infrastructures nationales critiques, et permis le développement de nouveaux outils offensifs par des États » qui auparavant étaient dans l’incapacité technique de le faire.
Pour les experts de l’Atlantic Council, il est temps que les gouvernements régulent de façon plus contraignante ces sociétés privées. Ils recommandent notamment de leur imposer des obligations de transparence sur leurs clients et leurs fournisseurs, mais aussi de restreindre leurs capacités à recruter des spécialistes ayant travaillé pour des agences étatiques. La chancelière allemande Angela Merkel a tenu la même ligne mercredi, en demandant plus de restrictions sur la vente de logiciels type Pegasus. « Il est important » que de tels logiciels « n’arrivent pas entre de mauvaises mains », a-t-elle notamment déclaré.
Un marché de la faille informatique
Interrogé avant la déclaration de Mme Merkel, Ron Deibert ne cachait pas cependant son scepticisme sur la volonté des États d’agir réellement pour contrer la prolifération du cyberespionnage. « La réalité est que presque tous les gouvernements ont un intérêt à garder cette industrie comme elle est : secrète, non régulée », a-t-il dit. Pourtant, estime-t-il, « nous avons besoin d’une législation qui permettrait aux victimes de poursuivre les entreprises et les gouvernements responsables » de leur piratage.
L’affaire Pegasus met également en lumière un problème récurrent : comment déceler et réparer les failles et vulnérabilités dans les systèmes informatiques ? Ces dernières sont le carburant dont se nourrissent les sociétés comme NSO pour construire leurs cyberarmes. Un rapport de l’OCDE pointait en février les efforts insuffisants des États en la matière. Il soulignait notamment le rôle parfois néfaste joué par des agences étatiques : les services de renseignements ou de police notamment achètent les informations sur ces vulnérabilités pour leurs propres outils d’espionnage, et entretiennent ainsi un véritable marché de la faille informatique. L’OCDE préconisait « un effort collectif », suggérant notamment le développement et le partage à grande échelle de bases de données internationales sur les failles repérées.
Faute d’une telle approche coordonnée, certaines sociétés se sont fait une spécialité d’acheter des informations aux hackers qui découvrent des failles, et de les revendre à des services d’État ou à des sociétés comme NSO. L’américaine Zerodium, une des stars de ce marché du courtage, n’hésite pas à publier sur Twitter et sur son site internet le type de vulnérabilités qu’elle recherche, et le prix qu’elle est prête à les payer.
Laurent BARTHÉLÉMY/AFP
Riyad et Abou Dhabi démentent les accusations d’espionnage
L’Arabie saoudite et les Émirats arabes unis ont démenti les accusations d’espionnage à leur encontre après les affirmations de l’enquête choc selon laquelle ils ont utilisé le logiciel israélien Pegasus pour surveiller notamment des journalistes et militants des droits humains. « Un responsable a démenti les allégations parues dans la presse selon lesquelles une entité du royaume (d’Arabie saoudite) aurait utilisé un logiciel pour surveiller les communications », a indiqué l’agence de presse officielle saoudienne SPA mercredi soir, sans préciser le nom du logiciel en question. Selon cette source, dont ni le nom ni le statut n’ont été précisés, « ces allégations sont infondées », et l’Arabie saoudite « n’approuve pas ce genre de pratiques », a ajouté SPA. Le royaume est régulièrement accusé de traquer les opposants sur les réseaux sociaux, voire d’avoir infiltré des taupes au sein de Twitter. Les Émirats, qui contrairement à l’Arabie saoudite ont officiellement normalisé leurs relations avec Israël, ont également démenti jeudi des accusations d’espionnage. « Les allégations faites récemment par des médias prétendant que les Émirats font partie d’un certain nombre de pays accusés de surveillance ciblant des journalistes et des particuliers sont dénuées de preuves et catégoriquement fausses », a déclaré le ministère émirati des Affaires étrangères dans un communiqué. Les Émirats ont eux aussi été accusés par des ONG et des experts d’utiliser les technologies à des fins de surveillance. Le militant émirati des droits humains Ahmad Mansour, actuellement détenu dans son pays, est notamment connu pour avoir lancé l’alerte en 2016 sur Pegasus. Il avait collaboré avec l’ONG CitizenLab pour identifier un message suspect qu’il avait reçu.
commentaires (0)
Commenter