Les chiffres émanent d’un document judiciaire, rendu public dans le cadre de l’action intentée par WhatsApp contre NSO, et repéré par Ctech et TechCrunch. La messagerie, propriété de Meta, accusait l’entreprise d’avoir ciblé « environ 1 400 » de ses utilisateurs, dont 100 défenseurs des droits humains et journalistes.

Le document ne fournit pas la liste des clients de NSO, mais un tableur intitulé « décompte des victimes par pays », estampillé « Highly Confidential – Attorneys’ Eyes Only » (« Hautement confidentiel – réservé aux avocats ») permet de s’en faire une idée. Mais également de découvrir, souligne Ctech, qu’un « nombre disproportionné » de victimes vivaient dans des pays « qui ne sont pas des démocraties occidentales », et que nombre des clients de NSO (qui doivent être validés par les autorités israéliennes) seraient des régimes semi-autoritaires.

On y découvre en effet que plus des deux tiers (456) résidaient au Mexique, 100 en Inde, 82 au Bahreïn, 69 au Maroc, 58 au Pakistan, 54 en Indonésie, et 51 en Israël. Parmi les autres pays comptant un nombre important de victimes figurent l’Ouzbékistan (43), l’Algérie (38), Chypre (31) et la Turquie (26).

Le nombre de victimes résidant dans des pays occidentaux est sans commune mesure, puisque si l’Espagne en dénombre 21, les Pays-Bas n’en compte que 11, la Hongrie 8, la France 7, la Belgique et la Finlande 4, la Suisse 3, le Royaume-Uni et l’Allemagne 2, le Canada et États-Unis 1.

En Afrique, la liste mentionne 18 victimes en Ouganda, 16 au Togo, 10 au Congo et à Djibouti, 9 en Afrique du sud, 4 au Burundi et 3 au Rwanda. Au Moyen-Orient, le tableur recense 11 victimes en Syrie, 9 au Liban, 6 dans les Émirats arabes unis, 2 au Qatar, 1 en Égypte et au Yémen.

La mention de ces pays de résidence ne signifie pas nécessairement qu’ils aient été clients de NSO. En témoigne par exemple, relève Ctech, la mention de 11 victimes en Syrie, un pays placé sous sanction et auquel NSO n’aurait jamais eu le droit de vendre son logiciel espion. A contrario, le Mexique, l’Inde, le Bahreïn, l’Espagne, le Maroc et Israël notamment sont connus pour faire partie de ses clients.

Il convient en outre de prendre ces chiffres avec précaution, souligne TechCrunch. La plainte initiale de Meta concernant le piratage des téléphones portables de 1 400 utilisateurs de la messagerie WhatsApp ne portait en effet que sur la seule période allant d’avril à mai 2019. Ces 1 223 « victimes » reconnues par NSO ne sauraient dès lors rendre compte de toutes celles ayant pu être ciblées par ailleurs.

62 M$ de chiffre d’affaires, entre 21 et 40 M$ de bénéfice

Un autre document de Meta, basé en partie sur les données de NSO et lui aussi estampillé « Highly Confidential – Attorneys’ Eyes Only », indique que ce piratage de WhatsApp par NSO lui aurait rapporté 61,71 millions de dollars entre le deuxième trimestre 2018 et le deuxième trimestre 2020, pour un bénéfice estimé entre 21,31 et 40,24 millions de dollars, le second montant excluant les dépenses de recherche et développement.

En 2023, une enquête du New York Times avait estimé qu’à lui seul, le Mexique avait dépensé plus de 60 millions de dollars dans le logiciel espion Pegasus, ce qui expliquerait aussi la proportion élevée de victimes mexicaines dans la liste.

Les contacts sont une mine d’or pour les services de renseignement

Le premier document judiciaire comprend par ailleurs un « pitch » de présentation du logiciel espion (page 94) datant de 2015. Et la première des fonctionnalités mise en avant est la possibilité d’accéder à la liste de tous les contacts enregistrés dans les téléphones ciblés :

« Pour chaque contact, l’agent récupère toutes les informations qui ont été sauvegardées, depuis son nom complet et son numéro de téléphone jusqu’à son adresse et son compte e-mail. Comme vous pouvez l’imaginer, les contacts sont une véritable mine d’or pour les services de renseignement. Si vous disposez de la liste des contacts d’une cible principale, vous pouvez facilement, grâce à cette liste, trouver les numéros d’autres cibles et utiliser Pegasus pour les surveiller eux aussi. »

Cette capacité était d’ailleurs au cœur du fact-check que nous avions publié au sujet des révélations du Projet Pegasus des ONG Forbidden Stories et Amnesty International. En 2021, ils avaient rendu publique «  une fuite massive de 50 000 numéros de téléphone sélectionnés comme cibles dans une cinquantaine de pays, depuis 2016 ».

• Société

  Pegasus : 50 000 « cibles potentielles » ? (1/2)

  Société

  Vendredi 06 août 2021 à 15h00 06/08/2021 15h00

  3

Or, nous avions à l’époque souligné que les 80 journalistes de 17 médias internationaux réunis dans leur consortium n’avaient réussi à identifier que 1 000 des 50 000 numéros de téléphones en question, soit 2 % seulement de leurs titulaires. Y figuraient notamment des journalistes, défenseurs des droits humains et responsables politiques, ce qui ne saurait pour autant présager de l’identité des utilisateurs des 49 000 autres téléphones.

De plus, sur les 67 smartphones expertisés, seuls 35 avaient « montré des signes d’activité de Pegasus » (soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total des soi-disant « 50 000 numéros de téléphone sélectionnés comme cibles »).

Nous relevions en outre qu’à aucun moment les membres du consortium n’avaient expliqué comment ils en étaient parvenus à la conclusion, ou déduction, que les 50 000 numéros de téléphone en question auraient été « sélectionnés comme cibles ».

D’autant qu’aucun n’avait non plus expliqué pourquoi ils auraient écarté le fait que le « contact chaining », consistant à étudier le « graph’ social » (et donc la liste des contacts) des cibles avérées, constitue le b.a-ba de toute enquête criminalistique en matière de téléphonie mobile.

Nous doutions enfin qu’il puisse s’agir d’une liste de 50 000 « cibles potentielles » à mesure qu’y figuraient également des numéros de téléphone fixes ne pouvant, par définition, être infectés par le logiciel espion.

De nombreux autres experts avaient, eux aussi, émis de sérieuses réserves quant à la finalité de ladite liste, comme nous l’avions répertorié dans le second volet de notre fact-check. Mais à l’époque, aucun des membres du consortium que nous avions contacté à ce sujet n’avait daigné répondre à nos questions.

• Société

  Pegasus : 50 000 « cibles potentielles » ? (2/2)

  Société

  Vendredi 06 août 2021 à 15h01 06/08/2021 15h01

  31

Activer caméra et micro, même en mode veille

Le pitch souligne par ailleurs qu’au-delà de la surveillance en temps réel de ce que les utilisateurs ciblés font de leurs téléphones portables à partir du moment où ils ont été infectés, le logiciel espion permettait également de remonter dans le temps.

Le pitch dresse, en effet, un inventaire à la Prévert de fonctionnalités, allant de la consultation de la liste des appels, mails et messages préalablement reçus ou envoyés, à celle de l’historique de ses navigateur et calendrier, en passant par les listes d’identifiants, mots de passe et points d’accès Wi-Fi enregistrés dans les portables.

Le logiciel espion permettait également d’effectuer des captures d’écran, d’activer les caméras avant et arrière, le micro, le GPS, le tout de façon furtive, même et y compris si le téléphone infecté était en mode veille.

Le pitch concédait cela dit qu’au moment de l’infection, l’écran du portable « clignotait brièvement ». Ce pourquoi il était recommandé aux utilisateurs de Pegasus de vérifier si le téléphone à infecter était bien sans activité depuis quelques heures, signe que son détenteur pourrait être endormi :

« Si, par exemple, nous sommes au beau milieu de la nuit et que ma cible a été active pour la dernière fois il y a 3 heures, c’est probablement le bon moment d’installer mon agent. »

Le logiciel était également capable d’identifier si le téléphone utilise le Wi-Fi ou la 3G (de sorte de savoir quand et comment transférer des données sans que son détenteur ne s’en aperçoive), de surveiller les changements de cartes SIM et l’usage de la batterie, et donc d’être alerté s’il y a un risque de perdre le contact avec la cible.

Afin de faire gagner du temps et de l’argent à ses clients, NSO leur proposait également de paramétrer des alertes pour n’être, par exemple, informé que des seuls moments où la cible entre, sort ou se situe dans un périmètre donné, ou qu’elle entre en contact avec un autre individu en particulier.

20 M$ de contrats rejetés en 2024 pour respecter les droits humains

Le recours intenté par WhatsApp, rapportait TechCrunch en novembre 2024, avait depuis permis de découvrir que NSO Group avait déconnecté 10 de ses clients gouvernementaux ayant abusé de son logiciel espion. Les nombreux scandales ont en effet poussé l’entreprise à se doter d’engagements en matière de respect des droits humains.

Dans son rapport annuel de transparence, publié en février 2025, NSO indiquait avoir lancé trois nouvelles enquêtes concernant de potentiels mésusages de Pegasus. L’une des enquêtes a conclu à la violation des conditions d’utilisation de Pegasus et des standards de NSO ès-droits humains par un pays s’en étant servi pour espionner des individus faisant partie d’une « communauté protégée ». L’enquête de NSO lui a valu de voir son accès à Pegasus être « révoqué de façon permanente ».

NSO précise également avoir constitué une liste noire de 60 pays avec lesquels elle ne fera pas commerce, et avoir rejeté l’équivalent de 20 millions de dollars de contrats en 2024 émanant de pays ne respectant pas ses standards de protection des droits humains.

L’entreprise y dénombre par ailleurs 54 clients (dont 23 services de renseignement et 23 forces de l’ordre) dans 31 pays, contre 60 clients dans 40 pays comme elle l’avait indiqué dans son premier rapport de transparence, en 2021.

La prochaine étape du procès est une audience qui déterminera les dommages et intérêts que le fabricant de logiciels espions devra verser à WhatsApp, rapporte TechCrunch.