The Intercept relève que sont visés par la plainte le groupe NSO « et les membres de son conseil d'administration », la société mère de l'entreprise (Q Cyber Technologies, basée au Luxembourg), et la société de capital-investissement Novalpina, basée à Londres, qui avait racheté NSO en 2019.

Global Legal Action Network (GLAN), l'ONG britannique qui a préparé la plainte pénale, déposée auprès de la Metropolitan Police au nom des victimes, précise que « d'autres personnes responsables des ventes de Pegasus » sont aussi visées. Les plaignants auraient été espionnés, entre 2018 et 2021, par le Royaume d'Arabie saoudite, les Émirats arabes unis et le Royaume de Bahreïn.

Y figurent notamment Azzam Tamimi, un journaliste et universitaire britannique d'origine palestinienne, fondateur de la chaîne de télévision Al-Hiwar (dialogue, en arabe) et critique du régime saoudien, et Mohammed Kozbar, un citoyen britannique d'origine libanaise, dirigeant de la mosquée de Finsbury Park, qui s'était publiquement opposé aux actions du gouvernement des Émirats arabes unis.

Les violations de vie privée et le piratage des banques

The Intercept ne s'étend pas sur leurs cas, mais précise que le troisième plaignant, Yusuf Al Jamri, un militant bahreïni des droits humains, avait obtenu l'asile au Royaume-Uni en 2017 après avoir été harcelé, arrêté, incarcéré puis torturé pour avoir dénoncé sur les réseaux sociaux les exactions et la répression dans son pays.

« La dévastation que j'ai ressentie après avoir découvert que les agents de sécurité qui m'avaient torturé à Bahreïn avaient réussi à pirater mon téléphone et à violer ma vie privée sur le sol britannique a été écrasante », explique Yusuf Al Jamri à GLAN :

« J'ai passé d'innombrables nuits blanches à craindre les dommages potentiels causés à ceux qui m'avaient confié leurs informations sensibles. Les cyberattaques contre la vie privée doivent être traitées avec le même sérieux que le piratage d'une banque – les criminels doivent être tenus pour responsables. Personne ne devrait être au-dessus de la loi. Il est du devoir de la police de nous protéger contre de telles violations et de demander des comptes aux responsables. »

Le quatrième plaignant, Anas Altikri, un citoyen britannique né en Irak, critique virulent des Émirats arabes unis (où il vivait auparavant), travaillait de son côté, à l'époque, comme négociateur sur plusieurs opérations de libération d'otages, principalement au Moyen-Orient.

The Intercept ne le précise pas, mais Anas Altikri est aussi le fils de l'ancien dirigeant du Parti islamique irakien, représentant les Frères musulmans en Irak. La Fondation Cordoba, qu'il dirige et qui œuvre à la promotion du dialogue et du rapprochement entre l'islam et l'Occident a, elle aussi, été critiquée pour ses liens avec les Frères musulmans et le Hamas.

En 2014, les Émirats arabes unis avaient dès lors désigné sa fondation comme un « groupe terroriste ». En réponse, l'ONG avait publié une déclaration qualifiant le pays de « régime despotique cherchant à réduire au silence toute forme de dissidence ».

Pegasus a aussi ciblé Downing Street

En 2021, un groupe de 10 parlementaires britanniques avaient déjà écrit au premier ministre, déplorant que le gouvernement de Boris Johnson semblait donner la priorité aux accords commerciaux plutôt qu'à la sécurité nationale, relevait The Guardian. Ils avaient appelé à mettre fin à ses programmes de cybersécurité avec les pays connus pour utiliser de tels logiciels espion, ainsi qu'avec ceux ayant utilisé Pegasus pour espionner des dissidents au Royaume-Uni.

Pour autant, « la société de cyberespionnage n'a jamais été sanctionnée au Royaume-Uni », s'étonne The Intercept. Une inaction « d'autant plus choquante que le gouvernement lui-même a été la cible du logiciel ».

En 2022, des chercheurs en cybersécurité du Citizen Lab avaient en effet révélé que le bureau du premier ministre britannique et le ministère des Affaires étrangères avaient « probablement été victimes de plusieurs attaques Pegasus, les Émirats arabes unis étant le principal suspect », relève The Intercept.

« On pourrait penser que le gouvernement britannique, après avoir vu un certain nombre de ses propres citoyens et de ceux qui se trouvent sur ses terres être attaqués de la manière dont nous en avons la preuve aujourd'hui, ferait quelque chose », explique M. Altrikiti. « Mais jusqu'à présent, nous avons assisté à une absence totale de réaction ».

NSO a relocalisé cinq de ses filiales au Royaume-Uni

En 2022, Altikriti et Kozbar, l'un des autres défenseurs des droits humains à l'origine de la plainte déposée auprès de la police, avaient envoyé à NSO, aux Émirats arabes unis et à l'Arabie saoudite une notification préalable de leur intention d'intenter une action civile.

Dans une réponse officielle obtenue par The Intercept, NSO leur avait rétorqué que les plaintes n'étaient pas fondées et que, si les attaques présumées avaient eu lieu, elles avaient été menées au nom de gouvernements étrangers, et qu'ils s'estimaient à l'abri de toute poursuite.

Elle soulignait également que, Q Cyber Technologies Ltd et NSO Group Technologies Ltd étant des sociétés israéliennes, non présentes en Angleterre et au Pays de Galles, les tribunaux anglais n'avaient pas compétence sur elles.

Or, The Guardian avait appris en 2023 que suite à son rachat par Novalpina, basée à Londres, la gestion de cinq entreprises luxembourgeoises liées à NSO avait été transférée à « deux responsables récemment nommés au Royaume-Uni ».

Trois autres plaintes encore instruites aux États-Unis

En octobre 2019, WhatsApp avait elle aussi intenté une action en justice contre l'entreprise israélienne pour avoir utilisé sa plateforme afin de pirater les téléphones de 1 400 utilisateurs de sa messagerie, rappelle The Intercept.

NSO a depuis tenté à plusieurs reprises de faire annuler l'affaire, « notamment en invoquant l'immunité souveraine (à savoir qu'elle agissait en tant qu'agent de gouvernements étrangers) », un argument rejeté en janvier dernier.

En 2022, l'Institut Knight avait de son côté intenté une action en justice au nom d'anciens et d'actuels journalistes d'El Faro, l'un des principaux organes de presse indépendants d'Amérique centrale, basé au Salvador. Il s'agissait de la première plainte déposée par des journalistes contre le NSO devant un tribunal américain. Un juge a rejeté l'affaire en mars, mais elle est actuellement en appel.

La semaine passée, Apple a demandé à la justice états-unienne d'abandonner les poursuites qu'elle avait intentées en 2021. Des fonctionnaires israéliens ont en effet saisi des documents au siège de NSO pour empêcher qu'ils ne puissent leur être transmis.

A contrario, le maintien de la plainte vaudrait à Apple de devoir rendre publics un certain nombre de documents internes révélant comment elle lutte depuis lors contre les logiciels espion en général, et Pegasus en particulier.

• Apple demande à la Justice l’abandon des poursuites contre l’éditeur de logiciel espion NSO