Des journalistes ciblés par l’utilisation de Pegasus en Inde

Le logiciel Pegasus de l'entreprise de surveillance NSO montre encore en cette fin d'année qu'il est l'un des outils les plus prisés des gouvernements qui veulent surveiller la société civile, les journalistes et les militants.

• Pegasus : les États-Unis placent NSO sur « liste noire »
• Au Mexique, le sous-ministre qui enquêtait sur Pegasus a lui aussi été victime du logiciel espion
• 23 personnes, dont 7 ministres en exercice, identifiées comme « victimes » de Pegasus

Début novembre, des journalistes indiens et des membres de l'opposition du pays ont été alertés par Apple à propos d'attaques « financées par un État » et visant leurs iPhone.

Amnesty International et le Washington Post ont enquêté et ont pu confirmer conjointement la trace de la présence de Pegasus sur les iPhone de journalistes indiens, dont Siddharth Varadarajan, le fondateur du média indien The Wire, et d'Anand Mangnale, membre du consortium international de journalistes Organized Crime and Corruption Reporting Project (OCCRP).

Utilisation de la faille BLASTPASS d'iOS 16.6

« Nos dernières conclusions montrent que les journalistes indiens sont de plus en plus souvent confrontés à la menace d'une surveillance illégale simplement parce qu'ils font leur travail, ainsi qu'à d'autres outils de répression tels que l'emprisonnement en vertu de lois draconiennes, les campagnes de diffamation, le harcèlement et l'intimidation », explique Donncha Ó Cearbhaill, le responsable du laboratoire de sécurité d'Amnesty International. Ce labo a analysé les iPhone d'Anand Mangnale et Siddharth Varadarajan.

Il a trouvé une preuve de l'envoi d'une attaque « zero-click » envoyé via iMessage le 23 août 2023 sur le smartphone du premier journaliste équipé à l'époque de la version 16.6 d'iOS. Selon les experts de l'ONG, cette attaque a été spécifiquement conçue pour installer secrètement le logiciel espion Pegasus. Ils ont aussi repéré les traces d'une adresse email appartenant au client de NSO, l'éditeur israélien du logiciel, utilisée pour permettre l'activation du logiciel sur l'appareil. Les traces retrouvées sur le téléphone correspondraient à la faille BLASTPASS, identifiée par Citizen lab en septembre dernier, estampillée CVE-2023-41064 et patchée par Apple depuis sa version iOS 16.6.1.

Pour ces experts, une tentative d'attaque avec Pegasus a donc bien eu lieu contre Anand Mangnale et son iPhone était bien vulnérable à ce moment-là. Ils n'ont cependant pas encore la preuve que l'attaquant a réussi, au final, à installer le logiciel espion.

Selon Amnesty International, le smartphone de Siddharth Varadarajan a été attaqué le 16 octobre dernier avec le même processus. L'ONG a retrouvé la même adresse email correspondant donc au même client de NSO, ce qui confirme une attaque venant des mêmes personnes contre les deux journalistes.

Une inquiétante utilisation répétée de Pegasus en Inde

Ce n'est pas la première fois que Siddharth Varadarajan est ciblé par une tentative d'espionnage utilisant le logiciel de l'entreprise israélienne. The Wire rappelle que son fondateur faisait déjà partie des cibles de Pegasus révélées en 2021 lorsqu'un consortium international de médias avait mis en avant pour la première fois l'utilisation du logiciel contre des journalistes, des personnalités politiques et des militants.

Concernant Anand Mangnale, le Washington Post explique que le 23 aout dernier, le jour de l'attaque sur son iPhone, l'OCCRP venait d'envoyer un email au milliardaire indien Gautam Adani pour lui demander de commenter une information a propos de négociations potentiellement illégales menées par son frère au nom de son entreprise. Ce président du conglomérat du même nom, spécialisé dans la négociation de matières premières et les infrastructures, est aussi un proche du premier ministre indien Narendra Modi.

L'entreprise indienne a nié auprès du journal américain toute implication dans une tentative de pirate et dit opérer « avec le plus haut niveau d'intégrité et de normes éthiques ».

Le gouvernement de Narendra Modi n'a jamais confirmé ni infirmé utiliser des logiciels espions. De son côté, NSO explique au Washington Post, comme elle l'a toujours affirmé, ne vendre ses logiciels qu'à des agences gouvernementales. « Les stratégies et contrats de l'entreprise prévoient des mécanismes pour éviter de cibler les journalistes, les avocats, les défenseurs des droits de l'homme ou les dissidents politiques qui ne sont pas impliqués dans des actes de terrorisme ou des crimes graves », affirme même un porte-parole de l'éditeur israélien, sans pour autant expliquer ces mécanismes.

Apple mise sous pression par le gouvernement Modi

Selon le Washington Post, l'entreprise à la Pomme a subi des pressions par l'administration indienne après avoir averti en octobre les journalistes indiens et les opposants au régime que des iPhone avaient été ciblées par des attaques gouvernementales. Des sources du journal expliquent que des responsables de l'administration Modi ont appelé des représentants de l'entreprise en Inde pour qu'Apple aide à atténuer les répercussions politiques de cette information.

Si l'entreprise n'a pas cédé aux intimidations, le journal explique qu'elles ont quand même troublé les dirigeants de l'entreprise jusque dans son siège de Cupertino en Californie.