Pegasus : 50 000 « cibles potentielles » ? (2/2)
Les « bourricots ailés » du cheval de Troie
Le 06 août 2021 à 15h01
24 min
Société numérique
Société
Plusieurs experts s'interrogent sur la provenance et la fonction de la liste des 50 000 « cibles potentielles » de Pegasus. On y trouve ainsi, étrangement, des numéros de téléphone fixe et américains, qui ne peuvent pourtant pas être infectés par le logiciel espion. Deuxième partie de notre décryptage.
Beaucoup voient dans les révélations du Projet Pegasus, du nom du consortium réunissant 17 médias et ONG autour du logiciel espion de la société israélienne NSO, un scandale au moins aussi (voire plus) dévastateur que les révélations d'Edward Snowden en 2013.
Certains vont même jusqu'à évoquer, sans nuances ni précautions, « 50 000 téléphones espionnés », alors que la liste partagée par l'ONG Forbidden Stories aux membres du consortium porterait sur « 50 000 cibles potentielles » d'une part. D'autre part, sur les 67 terminaux autopsiés, « 23 téléphones ont été infectés avec succès et 14 ont montré des signes de tentative de ciblage », comme nous le relevions dans notre premier volet.
Pourtant, plusieurs praticiens fins connaisseurs de ces questions, experts tant des services de renseignement technique que des marchands d'armes de surveillance numérique, abordent cette liste de « 50 000 cibles potentielles » avec pincettes et précautions.
Recruté en 2019 pour conseiller NSO en matière de protection de la vie privée et des droits de l'homme, l'ancien ambassadeur de France aux États-Unis, Gérard Araud, explique ainsi à Paris Match trouver « curieux de s'en prendre à l'entreprise et non à ses clients, qui auraient, pour certains, dévoyé des logiciels achetés », au surplus avec l'aval de l'État d'Israël :
« NSO vend à des États ou à des agences gouvernementales, les négociations se déroulent à un niveau étatique. NSO examine scrupuleusement les besoins de ses potentiels clients : ces acheteurs font-ils face à une criminalité endémique ? Doivent-ils lutter contre des mouvements terroristes ? De son côté, le client prend des engagements formels. Ce sont les mêmes procédures que pour les ventes d’armes. D’ailleurs, NSO dépend en Israël de la commission sur les ventes d’armes, car le logiciel Pegasus peut être assimilé à une arme. »
À la question de savoir si les 50 000 numéros de téléphones pourraient bien être des « cibles potentielles » des clients de NSO, Gérard Araud explique être « perplexe », au vu des sommes potentiellement engagées pour cette surveillance de masse et de la nature des contrats qui limitent le nombre de téléphones visés.
Quant à l’usage supposé par le Maroc de ce logiciel pour espionner des journalistes français, il déclare : « Il faut se méfier des apparences, on plonge ici dans le noir total, tout le monde peut mentir, et personne ne pourra jamais débusquer la vérité. »
« Je resterais extrêmement prudent sur l'exploitation immédiate qui est faite de tout ça, parce que ce n'est pas aussi simple », a de son côté expliqué sur Europe 1 Bernard Squarcini, l'ancien patron de la DCRI (le service de contre-espionnage intérieur, successeur de la DST et devenu depuis DGSI), dont le numéro figure lui aussi dans la liste :
« Quant au listing établi, il faut bien distinguer entre une bibliothèque sur laquelle on peut se reposer, quant à des tentatives réelles d'intrusion ou de l'infection véritable [...] entre établir un listing et faire de l'intrusion sur une cible particulière, parce que tout ceci demande énormément de travail et d'exploitation, je ne pense pas que sur les 50 000 abonnés tout le monde ait pu être écouté. »
Rappelant qu'il est courant, en matière de renseignement, d'essayer d'ouvrir des contre-feux, il estime que « tout est possible », et que le silence de l'Élysée est en conformité avec l'attente des résultats de l'enquête.
Interrogé par Le Point sur l'hypothèse que le Maroc aurait fait espionner le président français, Squarcini reste convaincu que le Royaume n’a aucun intérêt à mettre sur écoute le téléphone d’Emmanuel Macron. De même, il ne voit pas comment un service de renseignement institutionnel pourrait surveiller le Roi et la famille de son propre pays. « Ce listing confus de numéros, sorte d’inventaire à la Prévert, nous incite à faire preuve de la plus grande prudence en attendant les résultats des investigations judiciaires », conclut-il.
« Il y a encore bien plus grave que les bourricots ailés »
Dans une interview au Parisien, François Deruty, ancien directeur du service d’enquête de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et désormais directeur des opérations de l’entreprise de cybersécurité Sekoia, fait lui aussi montre de prudence :
« D’après mon expérience, être placé sur une liste de numéros de téléphone à cibler ne veut pas dire qu’on est victime et qu’on a été attaqué. Il y a beaucoup de faux positifs dans les compromissions. C’est comme lors des fuites de données massives qui font peur à tout à tout le monde alors que ce ne sont souvent que des compilations d’informations données volontairement par les gens. »
S'il ne s'est pas officiellement prononcé au sujet de Pegasus, Guillaume Poupard, actuel directeur général de l'ANSSI, a pour sa part ironisé sur LinkedIn sur ce qu'il a qualifié de « bourricots ailés et leurs avatars… 😩 », allusion à peine voilée au nom du logiciel espion de NSO.
À l'en croire, la « vaste campagne de compromissions touchant de nombreuses entités françaises » et usant d'un mode opératoire jusque-là attribué à une entité chinoise, que vient de découvrir l'Agence, serait « bien plus grave », même si bien moins médiatisée, que les révélations au sujet des « people » potentiellement ciblés par les clients de NSO.
Plusieurs experts ès-cyber s'interrogent
D'autres experts des affaires cyber ont eux aussi exprimé plusieurs réserves, notamment au sujet de ce que représenterait pour les clients de NSO cette « liste » des 50 000 numéros de « cibles potentielles », dont l'origine n'a pas été explicitée, mais dont l'interprétation qu'en font les membres du consortium semble varier.
Ils ne remettent pas en doute l'analyse technique d'Amnesty Tech, ni que Pegasus aurait été utilisé pour espionner des dizaines de défenseurs des droits de l'homme et de journalistes, notamment. Ils ne s'en interrogent pas moins sur les hypothèses, conclusions voire extrapolations faites autour de ces 50 000 numéros, qui relèveraient de « cibles potentielles » (comme le précisent soigneusement tous les partenaires du Projet Pegasus) plutôt que de cibles avérées, réellement espionnées (raccourci effectué par de nombreux médias non membres du consortium).
De nombreux médias ont ainsi titré que le téléphone d'Emmanuel Macron avait été « ciblé » par le logiciel espion, quand d'autres, plus prudents, se sont contentés d'expliquer que son numéro figurait dans une liste de « cibles potentielles » présumées, mais dont l'objet et la source reste indéterminés, comme le rappelle la journaliste d'investigation Kim Zetter, qui enquête sur ces questions depuis plus de 20 ans.
Ex-responsable sécurité informatique du New York Times, Runa Sandvik tente de son côté d'aggréger tous les articles au sujet de cette affaire, mais également de répertorier les tentatives d'infection qui avaient été documentées par le Citizen Lab puis Amnesty Tech. Elle en a dénombré 365 depuis 2016, dont 85 tentatives, et 29 infections avérées. Cherchant à comprendre ce delta entre les 50 000 « cibles potentielles » et les quelques dizaines de victimes avérées, Sandvik a aussi comparé les présentations faites par plusieurs des partenaires du consortium, et découvert qu'ils ne semblent pas en avoir la même interprétation.
Le Washington Post et PBS Frontline en parlent en effet comme d'une « liste de numéros concentrés dans des pays connus pour surveiller leurs citoyens mais également pour avoir été clients de NSO Group ». Ce, quand bien même 6 000 des 10 000 numéros reliés au Maroc étaient algériens et 1 000 français, par exemple.
Amnesty évoque une « fuite de 50 000 numéros de téléphone de cibles potentielles de surveillance », mais Forbidden Stories une « fuite de plus de 50 000 numéros de téléphones que des clients de NSO avaient sélectionné pour les surveiller », et l'OCCRP une « liste de 50 000 numéros de téléphone qui auraient été choisis comme cibles du logiciel espion ».
I couldn't find anything that definitely says what this list is -- only speculation. And then there is NSO denying that it's an actual target list and saying that the journalists misinterpreted what the list is. Obviously it's imp that some on the list were indeed infected...
— Kim Zetter (@KimZetter) July 20, 2021
Le Monde la qualifie de « liste de numéros présélectionnés par des clients de NSO pour une éventuelle mise sous surveillance », évoquant par ailleurs « 50 000 numéros de téléphone potentiellement ciblés par Pegasus ». En réponse à un internaute lui demandant « pourquoi parle-t-on de liste de "cibles potentielles" ? », Martin Untersinger, l'un des journalistes du Monde ayant enquêté à ce sujet, explique avoir « travaillé à partir d'une liste » :
« Nous avons approché plusieurs dizaines de personnes, dans de nombreux pays, qui apparaissent sur ces listes. Dans la majorité des cas, leurs téléphones comportaient des traces de repérages, de tentatives d’infection, voire d’attaques couronnées de succès. C’est ainsi, notamment, que nous avons déterminé que cette liste comportait des numéros qui avaient intéressé les clients de Pegasus en vue d’une potentielle infection. »
Il précise en outre que « dans une grande majorité de cas, des traces techniques laissées par Pegasus y ont été trouvées, souvent quelques secondes après l’apparition sur la liste du numéro de téléphone correspondant », ce pourquoi « la présence d’un numéro dans notre liste de cibles potentielles signifie qu’un client de Pegasus s’y est intéressé et a peut-être envisagé de le pirater ».
À ceci près qu'une chose est d'avancer que 37 des 67 téléphones autopsiés (soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total) montreraient bien des signes de tentatives d'infection voire d'infections par Pegasus, une autre est d'extrapoler que les 50 000 autres numéros constitueraient eux aussi des « cibles potentielles » de clients de Pegasus. D'autant que le consortium n'est parvenu à identifier que 1 000 de leurs détenteurs et ignore donc tout des 49 000 autres.
En réponse à une demande de précision, un responsable israélien d'Amnesty International a de son côté tenu à préciser dans un communiqué que l'ONG « n'a jamais présenté cette liste comme "la liste du logiciel espion Pegasus de NSO", bien que certains des médias aient pu le faire. Amnesty [...] a très clairement expliqué dès le départ en langage très clair qu'il s'agit d'une liste de numéros marqués comme numéros d'intérêt pour les clients de NSO », expression qu'elle avait effectivement utilisée dans le tweet annonçant la publication.
La piste chypriote
La journaliste Kim Zetter relève que Shalev Hulio, patron de NSO, a expliqué qu'un courtier en informations l'avait contacté le mois dernier parce qu'un pirate aurait volé des informations sur des serveurs de NSO à Chypre :
« Il a dit qu'il y avait une liste qui circulait sur le marché et que celui qui la détenait a dit que les serveurs NSO à Chypre ont été piratés et qu'il y a une liste de cibles là-bas et que nous devons être prudents. Nous l'avons examiné, nous n'avons pas de serveurs à Chypre, pas plus que ce type de listes, et le nombre [50 000] n'a aucun sens, donc cela n'a rien à voir avec nous. »
Elle souligne qu'en 2014, NSO avait fusionné avec une entreprise de surveillance par géolocalisation enregistrée à Chypre, Circles Technologies, que NSO avait fermée mi 2020 en licenciant tous ses employés, et ce, alors que la liste des 50 000 numéros de téléphone couvrirait de son côté une période allant « de fin 2017 à fin 2019 ».
« Si vous prenez toute l'histoire de NSO, vous n'atteindrez pas les 50 000 objectifs de Pegasus depuis la création de la société », se défend par ailleurs Hulio :
« Pegasus compte 45 clients, avec environ 100 cibles par client et par an. De plus, cette liste comprend des pays qui ne sont même pas nos clients et NSO n'a même pas de liste qui inclut toutes les cibles Pegasus - simplement parce que l'entreprise elle-même ne sait pas en temps réel comment ses clients utilisent le système. »
Des propos qui ont fait tiquer John Scott-Railton, du Citizen Lab, rappelant que WhatsApp avait enregistré « une attaque contre 1 400 de ses utilisateurs sur une période de deux semaines en 2019 », dont environ 100 journalistes, défenseurs des droits de l'homme et militants. Will Cathcart, directeur de WhatsApp, vient en outre de révéler qu'y figuraient également de hauts responsables gouvernementaux du monde entier – y compris des personnes occupant des postes de haute sécurité nationale « alliées des États-Unis ».
Hulio n'en déplore pas moins « un manque fou d'informations : ils disent que la liste a fuité, je ne demande pas qui l'a fait fuité, mais d'où sort-elle ? À qui appartient-elle ? Qui la détenait ? Pourquoi n'avons-nous pas cette information ? C'est absurde ». Deux clients auraient également été contactés par un ou des courtiers, et NSO aurait même reçu des captures d'écran de la liste, mais « cela ne ressemblait pas au système Pegasus », plaide-t-il.
Après les avoir examinées avec ses clients, il en serait arrivé à la conclusion qu'« il s'agit d'une liste conçue sans rapport avec nous », mais émanant probablement d'un serveur de recherche HLR (pour Home Location Register, ou enregistreur de localisation géographique des abonnés, un élément des réseaux cellulaires de téléphonie mobile GSM ou EDGE).
Circles avait précisément créé un opérateur de téléphonie mobile de sorte de disposer d'un HLR, base de données comportant les informations relatives à tout abonné autorisé à utiliser un réseau et notamment sa localisation aproximative dans le réseau.
Cathal McDaid, CTO d'AdaptiveMobile, une entreprise spécialisée dans la sécurité et les renseignements sur les menaces pour les réseaux de téléphonie mobile, explique que « les recherches HLR permettraient à NSO de déterminer si l'appareil était actuellement actif/enregistré- et donc disponible pour une infection par SMS ou par une autre méthode à ce moment ou à un moment ultérieur » :
« La recherche HLR est un terme assez large. En fonctionnement normal, il fait référence aux commandes du réseau de signalisation SS7 telles que les paquets SRI-SM envoyés à un enregistreur de localisation nominal (HLR) d'un opérateur mobile, pour voir si un numéro de mobile spécifique (MSISDN) est enregistré et quel emplacement approximatif (réseau nœud) dans lequel le téléphone est enregistré. Ceci est normalement fait pour la livraison de SMS à ce MSISDN. Mais il peut aussi être le point de départ de nombreuses attaques liées à la signalisation. »
Cela pourrait expliquer pourquoi la liste concernerait des « personnes d'intérêt » ou « cibles potentielles », et non des cibles avérées, à mesure qu'« une recherche HLR est également la première partie de la livraison d'un SMS, qui pourrait être utilisé pour envoyer plus tard un SMS avec le lien vers le malware Pegasus. »
Une source ayant « une connaissance directe des systèmes de NSO » a de son côté déclaré au consortium que les recherches HLR avaient été intégrées dans le système Pegasus après la fusion de NSO et de Circles, relève Kim Zetter. Les recherches HLR pourraient également servir à vérifier si un téléphone est allumé ou basé dans un pays qui autorise le ciblage de Pegasus.
NSO interdit en effet « techniquement » à ses clients de pouvoir cibler des numéros de téléphone américains, russes et chinois, mais également toute tentative d'infection de n'importe quel téléphone dès lors qu'il se trouve aux États-Unis, explique le Washington Post.
Le journal révèle ainsi qu'une réfugiée rwandaise vivant en Belgique a vu son téléphone belge infecté par Pegasus, mais pas son numéro enregistré aux États-Unis. De plus, une attaque visant son téléphone belge avait été bloquée alors qu'elle se trouvait à Boston, aux États-Unis.
Pour Kim Zetter, il peut s'agir de recherches HLR effectuées sur des serveurs contrôlés par NSO, ou via des services tiers par des clients de NSO, voire décorrélés de NSO : « il reste encore beaucoup de questions sans réponse sur la base de données qui a servi de base aux histoires du projet Pegasus. Et on ne sait pas si les réponses à ces questions viendront de si tôt. »
« Trop c'est trop ! »
En réponse aux questions détaillées du consortium d'enquête, NSO a de son coté déclaré qu'elle «surveille la façon dont son logiciel espion est utilisé et annule l'accès au système pour tout client qui en abuse », notant que ce sont les clients, et non l'entreprise elle-même, qui « sont responsables de son utilisation ».
« NSO Group continuera d'enquêter sur toutes les allégations crédibles d'abus et de prendre les mesures appropriées en fonction des résultats de ces enquêtes », indique le communiqué. Dans un autre, publié suite aux révélations concernant les chefs d'État potentiellement ciblés, la firme israélienne a également déclaré qu’elle peut « confirmer qu'au moins trois noms [cités dans l’enquête] ne sont pas, et n'ont jamais été, des cibles ou sélectionnés comme cibles des clients du Groupe NSO ».
Il s’agit d'Emmanuel Macron, du roi Mohammed VI et de Tedros Ghebreyesus, directeur général de l’OMS. De plus, « tous les fonctionnaires ou diplomates français et belges mentionnés dans la liste ne sont pas et n'ont jamais été des cibles de Pegasus », a ajouté la société.
Interrogé à ce sujet par Calcalist, le patron de NSO explique que « le client doit coopérer et nous permettre de mener une recherche. Il ne peut pas mentir car c'est une analyse technique que nous menons dans ses systèmes. Nous avons vérifié tous les numéros qui nous ont été envoyés et nous examinerons chaque numéro que nous recevons. Jusqu'à présent, tous les numéros qui nous ont été donnés n'avaient rien à voir avec Pegasus. »
Il reconnaît cela dit que, par le passé, certains journalistes avaient pu être espionnés : « Nous avons changé notre politique des droits de l'homme en 2020 et sommes entrés dans la norme de l'ONU. Ce sont des données de 2017 et 2018 et nous avons depuis déconnecté cinq systèmes. Nous vérifierons tout, et s'il y a un client existant qui cible un journaliste, il ne sera plus client. »
Un rapport de 32 pages sur la transparence et la responsabilité de NSO Group, publié en juin 2021, moins de trois semaines avant les dernières révélations, explique que la société compte 60 clients dans 40 pays et promet que « [Pegasus] n'est pas une technologie de surveillance de masse et ne collecte des données qu'à partir des appareils mobiles d'individus spécifiques, soupçonnés d'être impliqués dans des crimes graves et terroristes ».
La société ajoute disposer d'une liste de plus de 55 pays auxquels elle ne vendra pas en raison de leurs antécédents en matière de droits de l'homme, avoir révoqué l'accès à cinq clients depuis 2016 après des enquêtes sur des abus, et résilié des contrats avec cinq autres qui ne respectaient pas les normes des droits de l'homme, ce qui lui aurait fait perdre plus de 100 millions de dollars de revenus.
Depuis sa création, NSO Group aurait au total rejeté plus de 300 millions de dollars de contrats parce que les acheteurs potentiels n'avaient pas adhéré aux normes internationales en matière de protection des droits de l'homme. De plus, et de mai 2020 à avril 2021, « environ 15 % des nouvelles possibilités pour Pegasus ont été rejetées du fait de préoccupations relatives aux droits de l'homme qui ne pouvaient pas être résolues ».
Dans un troisième communiqué, intitulé « Trop c'est trop ! », NSO « annonce qu'il ne répondra plus aux demandes des médias sur cette question et ne jouera pas avec la campagne vicieuse et calomnieuse » (elle n'a, de fait, pas répondu à nos questions) :
« La liste n'est pas une liste de cibles ou de cibles potentielles de Pegasus.
Les numéros de la liste ne sont pas liés au groupe NSO.
Toute affirmation selon laquelle un nom dans la liste est nécessairement lié à une cible Pegasus ou à une cible potentielle Pegasus est erronée et fausse. »
Des téléphones fixes et américains
Un détail nous a cependant intrigué. L'une des journalistes membres du consortium a en effet expliqué (à 10'35) au micro de France Culture que « pour certains numéros correspondant à des noms, il y a des choses qui peuvent paraître étranges » :
« Dans la liste des personnes ciblées par le renseignement marocain, c'est un peu un inventaire à la Prévert, vous trouvez de tout, on voit que c'est fait de manière assez industrielle, ils rentrent même des lignes de téléphone fixe, il y a un certain amateurisme derrière alors que ça ne marche évidemment pas avec les téléphones fixes. Il y a des médecins, des syndicalistes policiers français, des journalistes pour qui c'est évident, pour d'autres c'est beaucoup moins... »
De fait, trois articles au moins s'étonnent que des numéros de téléphone fixe – et même américains – figureraient aussi dans la liste, alors même que Pegasus n'a vocation qu'à cibler des téléphones portables, et que le logiciel est configuré pour interdire son installation sur des téléphones américains, russes et chinois.
Évoquant le fait que « les numéros de très nombreux journalistes français du Monde, de France Télévisions et notamment de France 24 sont apparus sur une liste de cibles potentielles, alors même que certains de nos confrères n’avaient jamais traités de sujets liés au Maroc », la cellule d'investigation de Radio France précise :
« Dans une apparente frénésie, les autorités marocaines ont même sélectionné des numéros de téléphone fixe de journalistes de Radio France, alors que la technologie Pegasus ne fonctionne que sur les smartphones. »
Au détour d'un article consacré aux soupçons de tentative d'espionnage du patron du PSG, Le Monde relève qu'en sus de deux de ses numéros de téléphone portable, aurait également été ciblé « un numéro de téléphone fixe attribué au directeur de la communication du club parisien, Jean-Martial Ribes ».
Le Guardian note pour sa part qu'« il y a un très petit nombre de lignes fixes et de numéros américains dans la liste, qui, selon NSO, sont "techniquement impossibles" à accéder avec ses outils – ce qui révèle que certaines cibles ont été sélectionnées par les clients de NSO même s'ils ne pouvaient pas être infectés par Pegasus. »
Le Washington Post relève pour sa part que la liste n'en comprenait pas moins « les numéros de téléphone à l'étranger d'une douzaine d'Américains, dont des journalistes, des travailleurs humanitaires, des diplomates », ainsi que « le numéro de téléphone portable de la région de Washington du principal négociateur iranien de l'administration Biden, Robert Malley, tout comme ceux de plusieurs diplomates des Nations Unies basés aux États-Unis et d'expatriés rwandais opposés au gouvernement du président Paul Kagame. »
« On ne sait pas pourquoi les numéros américains qui, selon NSO, ne seraient pas piratables avec son système, figuraient sur la liste », précise le Post. Pour autant, aucun article du consortium ne semble avoir interrogé cette incongruité, ni le fait que la liste des 50 000 numéros pourrait dès lors correspondre à autre chose que des « cibles potentielles ».
Vu le prix de Pegasus, on peine à imaginer que ses utilisateurs aient pu entrer dans la liste des « cibles potentielles » des numéros de téléphone fixe ou américains, a fortiori qu'ils auraient voulu pouvoir infecter 50 000 numéros. La liste pourrait bien, a contrario, correspondre à celle de numéros passés à la moulinette d'un HLR, dont la consultation coûte peu cher, d'autant que c'était l'une des prestations de Circles, l'ex-filiale chypriote de NSO.
Quid du « contact chaining » ?
L'Organized crime and corruption reporting project (OCCRP), l'un des membres du consortium, dont la FAQ semble être la plus transparente et complète quant au Projet Pegasus, précise à ce titre que l'enquête collaborative n'a pas permis de savoir combien de numéros de téléphone auraient réellement été espionnés, ni combien en auraient été empêchés ou auraient failli à y parvenir, faute de pouvoir percer les mécanismes de sécurité des iPhone et Android ciblés. « Il y a encore beaucoup de choses que nous ne pouvons pas prouver sur la liste » :
« Comment elle a été compilée, qui l'a compilée ou comment elle a été utilisée. Ce n'est pas nécessairement parce qu'un numéro a été inclus qu'il a été compromis. La liste peut inclure les numéros de téléphone où une tentative d'infection a échoué, ou où aucune tentative n'a été faite. »
Étrangement, ni l'OCCRP ni aucun des membres du consortium ne semble avoir émis l'hypothèse que cette liste pourrait aussi correspondre à des numéros liés ou ayant été en contact avec des personnes réellement ciblées, comme c'est généralement le cas dans les enquêtes reposant en tout ou partie sur la téléphonie (voir notre article sur le livre qu'Haurus, ancien policier de la DGSI, a consacré à ces techniques).
Le « contact chaining », consistant à analyser le « graph social » des personnes en relation avec une cible est en effet l'une des principales fonctionnalités des logiciels de criminalistique téléphonique, et le b.a.-ba des enquêtes tant policières que de renseignement.
Ces 50 000 numéros pourraient dès lors constituer des « numéros d'intérêt pour les clients de NSO », pour reprendre l'expression initiale d'Amesty Tech, sans pour autant constituer des « cibles potentielles ». Certains auraient certes pu l'être, mais de là à laisser entendre que tous l'auraient été...
Le fait de ne pas le mentionner (ne serait-ce que pour expliquer pourquoi cette piste aurait été exclue), pour ne privilégier que la seule hypothèse, conclusion ou extrapolation qu'il s'agirait de numéros « sélectionnés comme cibles » est, à ce titre, étonnant, d'autant que 49 000 détenteurs de ces 50 000 numéros n'ont pu être identifiés.
Contactés à ce sujet, ni Amnesty ni Forbidden Stories, pas plus que plusieurs des journalistes membres du consortium que nous avons également interrogés, non plus que NSO, n'ont répondu à nos questions. Elles visaient notamment à comprendre pourquoi la piste du « contact chaining » n'a jamais été publiquement évoquée, mais également à savoir combien de numéros de téléphone fixes et/ou américains figurent dans la liste des « cibles potentielles ».
Pegasus : 50 000 « cibles potentielles » ? (2/2)
-
« Il y a encore bien plus grave que les bourricots ailés »
-
Plusieurs experts ès-cyber s'interrogent
-
La piste chypriote
-
« Trop c'est trop ! »
-
Des téléphones fixes et américains
-
Quid du « contact chaining » ?
Commentaires (31)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/08/2021 à 16h19
Il n’y a pas la une contradiction ?
Dans la première citation, il (Hulio, le patron de NSO) dit que l’entreprise ne sait pas ce que ses clients font de l’application, mais dans la seconde citation, il (toujours Hulio, le patron de NSO) semble dire que l’entreprise dispose d’un accès aux systèmes clients (direct ou indirect on ne sait pas, mais le fait qu’il précise “ne peut pas mentir” sembler inciter à penser qu’il s’agit d’un accès direct).
Le 06/08/2021 à 16h50
De ce que je comprends, NSO n’a pas accès, de prime abord, aux cibles de ses clients, ce qui peut se comprendre au vu du caractère secret et souverain de leurs activités; par contre, en cas de doute ou d’accusation, NSO peut, a posteriori, vérifier si tel ou tel n° a été ciblé, ce qui peut aussi se comprendre eu égard aux efforts entrepris en matière de respect des droits humains depuis 2020; après, il semblerait que la majeure partie des cibles dûment espionnées l’auraient été avant ces changements, même si Amnesty a continué à voir des smartphones être attaqués en 2021.
Le 06/08/2021 à 17h35
Du coup, la première citation que j’ai fait joue un peu sur les mots : NSO n’a pas accès en temps réel, mais a accès en différé.
Le 06/08/2021 à 18h10
Quelqu’un a un lien vers cette liste. Je ne la trouve nul part
Le 06/08/2021 à 19h10
Elle n’a bien évidemment pas été rendue publique (au surplus parce que n’y figurent très probablement pas que des personnalités politiques, journalistes et défenseurs des droits humains)
Le 06/08/2021 à 19h22
Oui donc on peut tout dire et rien dire c’est bien le soucis. Rien que de mettre un moteur a la have i been pwned serait déjà un grand pas en avant. Au final les arguments de nso sont autant valables que ceux du consortium vu que peu de gens peuvent vérifier
Le 07/08/2021 à 07h03
petite permutation de codes ASCII ?
” serveur de recherche HLR (pour Home Rocation Legister “ ce serait pas Location Register ?
Le 07/08/2021 à 08h28
Oups, bien vu, j’ai rectifié.
Et sinon, raccord avec Soriatane pour ce qui est de Pegasus VS Eagle; comme indiqué en intro de la 1ère partie, le recours à des logiciels espions type Pegasus émane précisément du fait que l’augmentation considérable du trafic web chiffré d’une part, et du recours aux messageries chiffrées d’autre part, rend sourd et aveugle les systèmes de surveillance de masse type Eagle (renommé Cerebro depuis par Nexa, qui l’a racheté à Amesys)
Le 07/08/2021 à 07h23
en tout cas merci d’ avoir apporté un regard un peu plus posé que lors de l’ inflammation de cette affaire, ( qui reste sérieuse et grave ) , car si quelque un apprends que j’ ai demandé a ma copine de “ ramener des carottes du marché ” et que plus tard je confirme que “ les carottes sont cuites “
les algo de déchiffrement vont boucler a l’ infini, et les ingénieurs de NSO vont burn-outer
a JMManhack : si on pouvait évaluer la puissance de pénétration des systèmes NSO sur une échelle de 1 a 10 , quelle serait la puissance relative du Système bien français d’ AMESYS ( le EAGLE ) ?
systemes qui sont encore en service dans beaucoup de pays du Maghreb il me semble
Le 07/08/2021 à 08h09
Eagle et Pegasus ne fonctionnent pas au même niveau.
Pour faire une analogie, Pegasus peut rentrer à l’intérieur n’importe quelles voitures mais une par une. Alors Eagle se branche surtout le réseau routier et peut voir toutes voitures d’un pays. Par contre avec la montée du chiffrement bout en bout, Eagle voient de moins bien ce qui se passe dans les voitures.
Le 07/08/2021 à 09h49
merci à Soriatane pour cette métaphore routière très pédagogique, vraiment bien trouvée, et Jmm pour ces précisions
Le 07/08/2021 à 10h22
NSO, NSA, même combat… On rappelle qu’apple et google se laissent une porte dérobée dans leurs appareils - quoi de plus facile que de l’utiliser pour y déposer un logiciel “aspirateur” ?
Vous en faites des tas, mais en fait, quand on y réfléchit un peu, il est évident que ces appareils n’offrent aucune confidentialité.
Je suis convaincu que même Firefox OS offrait plus de sécurité avec beaucoup moins de surfaces d’attaques potentielles. Raison pour laquelle ils l’ont suicidé.
Le 07/08/2021 à 11h24
Ah bon? si vous le savez vous devriez donner plus de détails sur les portes dérobées.
Le 08/08/2021 à 06h34
Une des portes s’appelle tout simplement Google Play. Ça couvre déjà 90% des téléphones Android (à la louche). En pratique, c’est celle qu’ils ont utilisés pour installer d’office l’API Bluetooth anticovid. CQFD
Le 07/08/2021 à 23h47
Article très intéressant qui montre que cette histoire n’est pas aussi simple, et sensationnel que les médias français veulent le faire penser.
Ça montre une nouvellement fois le manque de connaissance/culture/compétence sur tout ce qui est numérique/cyber dans la presse Française, on voit la différence de maitrise avec l’affaire Snowden et cette affaire, par les journalistes du New York Post/The Guardian, par rapport aux journalistes du Monde.
Au final, cette liste ressemble plus à un annuaire d’une agence/organisme de renseignement personne notables.
Par contre la question que personne se pose est, pourquoi ces failles sont toujours pas fixés après tant d’année par Apple ? (Est-ce que c’est pas des blackdoors NSA-friendly vendu à NSO/Israel ?)
Le 08/08/2021 à 11h28
Amnesty avait prévenu Apple, qui aurait corrigé une des failles utilisées, tout comme celles identifiées par l’équipe de chercheurs de 0days du Project Zero de Google, cf :
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/
https://googleprojectzero.blogspot.com/2020/01/remote-iphone-exploitation-part-1.html
Le 08/08/2021 à 13h37
Je pensais la mode du french bashing derrière nous .
Factuellement, l’affaire Snowden a pu autant être mal couverte par des rédactions/journalistes des EUA (ie: par idéologie) que l’affaire Pegasus en France (et réciproquement)..
C’est quoi, du soft power etatsuniens votre affaire?
Le 08/08/2021 à 14h25
On voit vraiment que tu parle sans comprendre ce qu’es une api ou comment ca fonctionne.
Un mélange d’info incomplete couplé a des fausse information sur Google play.
Sinon les preuves elle arrivent quand ?
Ou c’est juste encore un texte écrit sur un ton péremptoire d’un libriste extrémiste ?
(pourtant je hais google raison pour la quel je suis sur apple) mais si t’es un libriste extrémiste Apple aussi est l’antéchrist.
Le 11/08/2021 à 15h43
C’est un peu court, jeune homme. Pour montrer que je raconte n’importe quoi, il faudrait faire un peu plus d’efforts qu’une ridicule attaque Ad-Nomimen.
API => Application Programmable Interface. Ce n’est qu’un terme générique. Concrètement, ça peut prendre de très, très nombreuses formes différentes en fonction des logiciels à interfacer et du canal de communication choisi.
L’important dans mon exemple n’est pas que Google aient poussé une API, l’important est que Google peut pousser le code qu’il veut sans te demander ton avis.
Le 08/08/2021 à 14h41
Non juste que encore une fois, on voit que les journalistes américains (ou même Allemand par exemple) sont plus sensibilisé au domaine du renseignement, à l’espionnage, au “cyber” …
Dans l’article, on parle d’un “responsable sécurité informatique du New York Times”, je suis pas sûr qu’il existe un équivalent dans la presse Française (ou bien quelqu’un qui s’occupe de la DSI sans avoir son mot à dire à ce genre de sujet).
J’ai l’impression que les concepts de chiffrements, anonymat etc, c’est assez nouveau dans le milieu journalistique (et encore ça doit être réservé à quelques initiés un peu geek)
Quand tu vois Edwy Plenel donner son Iphone aux renseignements pour “analyse”, c’est quand même surprenant.
Et enfin ils ont fait beaucoup de sensationnalisme sur cette affaire, alors même que les “experts” du domaine (ANSSI, DCRI …) disent qu’il faut se méfier, et que c’est des menaces habituelles.
Le 08/08/2021 à 16h44
Ce n’est pas Edwy Plenel qui rédige tous les articles de Mediapart et encore une fois les journalistes se rapprochent d’expert en fonction de leur besoin (ie: ANSSI).
Je pense qu’en tant que geek vous avez analysez la chose avec un biais: la langue anglaise est la langue de l’IT donc c’est normal que ce soit plus compréhensible pour un geek qui ne fera pas la traduction littérale. Les journalistes anglophone ont donc un net avantage sur le sujet. Rien à voir avec le fond.
Vous parlez comme si le journalistes savaient tout sur tout. Imaginez qu’un journaliste parle, hasard, d’une pandémie? Vous croyez qu’il va rédiger son article sur la base de ses connaissances potentielles acquissent en fac de lettre?
Non, c’est pour ça qu’il font appel à des experts. Sont-ils en mesure ensuite de juger de la pertinence de l’expertise? C’est un autre sujet.
Enfin n’oubliez pas le public cible. Les gens ne sont pas tous come vous des geeks plus ou moins informés (parce que je suis d’accord, même chez les geeks ça laisse à désirer).
Je suis d’accord aussi que cela pourrait être mieux mais rien ne vous empêche de proposer vos services aux salles de rédac’.
Le 08/08/2021 à 17h17
Les articles du Monde ne prétendent pas plus que ce qui écrit dans l’article si on les lit attentivement.
Je trouve que l’article laisse une très (trop ?) grande place à la contre-offensive de communication de NSO, alors qu’il est aujourd’hui avéré qu’ils mentent depuis le début.
Il faut tout de même rappeler que 85 % des téléphones de la liste analysés par Amnesty International avaient des traces d’infection par Pegasus., ce qui démontre que la liste est bel et bien directement liée à NSO, ce n’est pas “juste” une liste sans rapport d’un sous traitant racheté par NSO comme le sous entend l’article à en rapportant en long et en large les propos d’un représentant de NSO.
Mais même ça, l’article le relativise de manière assez étonnante:
“Un taux estimé de 85 % d’infections contre 0,074 % avéré. Ce qui pose la question de ce à quoi correspond ce que Forbidden Stories qualifie de « fuite massive de 50 000 numéros de téléphone sélectionnés comme cibles dans une cinquantaine de pays, depuis 2016 »”
comme si Amnesty International pouvait analyser les 50 000 téléphones de la liste..
Le 08/08/2021 à 20h52
L’article donne bien plus de place aux questions et précautions pointées du doigt par plusieurs experts de ces questions qu’à la “contre-offensive” de NSO, et il ne sous-entend pas non plus que la liste serait “sans rapport” avec NSO (qui a par ailleurs été le premier à avancer qu’elle émanerait de serveurs de son ex-filiale Circles), mais s’interroge quant au fait qu’il s’agirait de 50 000 “cibles potentielles”, aucun des membres du consortium n’expliquant ce pourquoi il ne pourrait pas s’agir de “contact chaining”.
D’autre part, et comme indiqué dans la première partie, seuls 67 smartphones ont été autopsiés par Amnesty Tech, et 37 d’entre eux auraient effectivement « montré des signes d’activité de Pegasus », soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total, ce pourquoi j’ai demandé à Forbidden Stories à quoi correspondait ce taux de 85 %.
Enfin, Amnesty s’est contenté de l’analyse forensic de ces 67 smartphones, ce sont FS et les 80 journalistes partenaires qui ont été chargés d’essayer d’identifier à qui appartenaient les 50 000 n° de la liste, et ils n’ont donc réussi qu’à en identifier ~1000, ce qui est déjà énorme, mais 98 % d’entre eux n’ont donc toujours pas été identifiés.
tl;dr : nombre de médias & ONG ont relayé le fait que les 50 000 n° (et/ou les 188 journalistes) auraient été “espionnés”, alors qu’Amnesty Tech n’en a dénombré que 23 (+ 14 tentatives), et que les membres du consortium prennent bien soin, eux, de préciser qu’il s’agirait de “cibles potentielles”, ce qui reste donc à vérifier…
Et ce, nonobstant la présence de n° de téléphones fixes et/ou américains dans ladite liste… d’où nos réserves, précautions et questions, auxquelles les ONG & journalistes interrogés n’ont donc pas répondu (alors qu’il serait a priori relativement simple de chercher combien de n° mobiles type 06/+33 6 & 07/+33 7 VS les n° fixes commençant par 01/02/03/04/05/08/09, ou +33 1/2/3/4/5/8/9 figurent dans la liste des ~1000 n° de téléphones français).
Le 08/08/2021 à 14h44
Tu a totalement raison, quand tu vois que certain journaliste parlent comme s’il savait tous car ils utilise linux mais ne savent pas comment ca marche ou ceux qui pense (ici meme) que d’avoir les Google Api = backdoor, les pays européen on facile 15 a 20 ans de retard sur les connaissances technique, les 3⁄4 des journalistes copie colle les articles sans comprendre la moitié du dixième du comment cela fonctionne.
Le 08/08/2021 à 16h53
Existe-t-il un outil pas trop compliqué pour détecter si on est infecté par Pegasus?
Je comprends bien qu’un simple particulier a près de zéro “chance” d’être une cible potentielle, MAIS il doit bien exister des malwares ultra-discret qui se comportent comme Pegasus ?
Je part du principe que rien n’est impossible au chercheur, au hacker, qu’il soit chapeau blanc ou noir, ou quelque part entre les deux.
Si Pegasus a élaboré une méthode “stealth” basé sur des failles 0-Day, il m’apparait évident que d’autres aussi, ailleurs, ont eu des idées similaires… c’est ce qu’on appelle, je croa, la “sérendipité” ?
Donc je pense que s’équiper d’un outil capable de détecter Pegasus, peut permettre de lutter contre ses dérivés et ses (futurs ?) descendants.
Le 08/08/2021 à 17h03
C’est son boulot de savoir ou de se renseigner si il le fait mal ou veux pas le faire qu’il change de métier au lieu d’écrire n’importe quoi.
Sinon à ce tarif le médecin qui vous opère ne peut pas tous savoir donc s’il vous tue en faisant n’importe quoi c’est pas grave.
Le 09/08/2021 à 21h14
Comparaison n’est pas raison. Un chirurgien est un technicien qui maitrise une technique (ie: chirurgie du coeur) . Il peut donc être jugé sur la base de sa maitrise technique.
Le journaliste ne maitrise qu’une seule chose: la rédaction intelligible de son papier ( enfin normalement..).
Le technicien maitrise le fond et le journaliste la forme.
Encore une fois, postulez auprès des journalistes pour amener votre expertise technique sur le sujet.
Le 09/08/2021 à 07h19
L’angle des 2 articles est très surprenant, mais bon il semble fonctionner pour le lectorat.
C’est fascinant la différence de traitement d’un même sujet suivant le contexte: mise en perspective dans certains cas, affirmations dans d’autres.
Le 09/08/2021 à 10h18
2 applications permettraient de vérifier si un iPhone a été infecté : iVerify & iMazing; pour Android, la détection semble beaucoup plus compliquée à effectuer
Le 10/08/2021 à 23h12
NSO est bancal sur un truc entre autre.
“Pegasus compte 45 clients, avec environ 100 cibles par client et par an. “
Ok donc ils arrivent à faire vivre une société de 700 chercheurs (sans compter le reste), qui ne doivent pas se contenter d’un smic et une infrastructure informatique de pointe, avec aussi peu de clients/cibles par clients ? Pour moi y a foutage de gueule sur ce point là. D’autant plus qu’il ne s’agit d’un système d’écoute dédié que à des portables.
Quand aux clients qui payent des sommes pharamineuses (eut égard aux chiffres donnés) pour un taux d’échec aussi grand c’est du mécénat à ce niveau là.
L’autre foutage de gueule c’est le nombre extrêmement réduit de vrais terroristes recherchés qui doivent avoir un portable sur eux. Ils savent tous que c’est comme avoir une cible dans le dos au sens littéral du terme (les russes ont tué un chef tchétchène à cause de son téléphone satellitaire, avec plusieurs scenarii pour tenter d’expliquer comment ils ont réussi).
Bref on ne saura jamais, surtout quand on demande à Squarcini son avis. Ce type c’est le J. Edgar Houver français et Sarko lui a donné son FBI dont il rêvait tant.
Le 11/08/2021 à 16h10
Absolument pas une api ne permet pas de “poussé” du code.
Si l’application en face n’accepte pas d’exécuté le code envoyé par l’api donc stop de dire des ânerie merci.