Pegasus : 50 000 « cibles potentielles » ? (1/2)

Le logiciel espion de la société israélienne NSO aurait visé 50 000 « cibles potentielles », dont un grand nombre de journalistes, défenseurs des droits humains, responsables et personnalités politiques. 98 % de ces 50 000 numéros n'ont cependant pas été identifiés. Tentative de décryptage.

Le scandale Pegasus est, paradoxalement, l'une des conséquences des révélations Snowden, relève l'Organized crime and corruption reporting project. L'OCCRP est l'un des 17 membres (dans 10 pays) du consortium Pegasus Project réunis par l'ONG Forbidden Stories pour analyser durant six mois les « cibles potentielles » des clients du logiciel espion, édité par le marchand d'armes de surveillance numérique israélien NSO Group.

En réponse aux révélations Snowden, le cryptographe Bruce Schneier avait ainsi appelé à « réparer » Internet : 

« Nous devons trouver comment réorganiser Internet pour empêcher ce type d'espionnage généralisé. Nous avons besoin de nouvelles techniques pour empêcher les intermédiaires de communication de divulguer des informations privées. Nous pouvons à nouveau rendre la surveillance coûteuse. »

Accusés (à tort) d'avoir prêté aide et assistance à la NSA en lui permettant d'aller piocher directement dans leurs serveurs, les GAFAM répliquèrent – de concert avec les défenseurs des libertés numériques – pour faire du chiffrement des communications la norme. Chacun à sa manière, plus ou moins complète.

Face au tout chiffrement, les méthodes évoluent

Mais alors que moins de 50 % du trafic web était chiffré en 2014, le taux dépasse désormais les 90 %. Les contenus interceptés à la volée (via la « collecte en vrac » effectuée au niveau des câbles sous-marins par les Five Eyes ou la France, par exemple) étant indéchiffrables, les services de police judiciaire ou de renseignement ne peuvent plus que demander aux opérateurs l'accès aux données de leurs utilisateurs (Google en répertoriait un peu plus de 25 000 au premier semestre 2013, contre un peu plus de 100 000 en 2019).

Sauf que les messageries sécurisées, de type Signal ou WhatsApp, se sont elles aussi généralisées, se substituant de plus en plus aux SMS et appels téléphoniques. Or, du fait du chiffrement de bout en bout, les messages sont chiffrés sur les terminaux, et les forces de l'ordre et services de renseignement ont de plus en plus de difficultés à pouvoir mettre sur écoute et surveiller leurs cibles.

Ce pourquoi explosent les recours aux logiciels qui, tels Pegasus ou Candiru, en installant un cheval de Troie dans les téléphones portables ciblés, permettent de prendre connaissance des messages avant qu'ils ne soient chiffrés, en offrant un accès indiscriminé aux carnets d'adresse, agendas, photos, vidéos, données de géolocalisation, historiques web, aux caméras et micros.

De tels logiciels existaient avant que Snowden ne sorte du bois. Mais la généralisation du chiffrement les a rendu d'autant plus attrayants. Or, il faut beaucoup d'argent pour identifier, acheter et exploiter les failles « 0 day » qui permettent de contourner les mesures de sécurité d'Android et iOS : d'abord en payant les salaires des chercheurs de faille et la R&D (« les trois quarts de ses plus de 700 salariés » dans le cas d'une entreprise telle que NSO, estime Le Monde), ensuite en achetant des failles auprès de brokers.

La menace des attaques « zéro clic »

Zerodium, acteur majeur du secteur, ne précise pas à quel prix il vend les « 0 day » auprès de ses clients, des agences gouvernementales (« principalement en Europe et en Amérique du nord »). Mais il explique être prêt à dépenser jusqu'à 2 millions de dollars pour celles permettant une infection « zéro clic » sur iOS, et 2,5 millions pour une telle faille Android.

Il y a quelques années, il fallait cliquer sur un lien envoyé par les clients de NSO ou visiter une page web infectée pour que le téléphone soit contaminé par Pegasus. Un autre vecteur consistait à compromettre l'opérateur téléphonique de la cible, ce qui peut s'avérer problématique dans les pays démocratiques, et quasi-impossible à effectuer pour celles sises à l'étranger.

Désormais, grâce à ces failles « zéro clic », le simple fait de recevoir un message suffit à activer la charge virale, et l'installation du logiciel espion, sur le terminal ciblé sans même que son utilisateur ait besoin de cliquer sur quelque lien ou pièce jointe que ce soit. De fait, explique Claudio Guarnieri du Security Lab d'Amnesty International, qui a développé une méthodologie pour analyser les appareils infectés, la majeure partie des contaminations qu'il a examinées depuis 2019 reposaient sur de tels exploits « zéro clic ». Et ce, même sur les derniers modèles d'iPhone ainsi que les dernières versions d'iOS.

« Une chose est de sensibiliser les gens quant au risque de cliquer sur des liens et d'ouvrir des messages suspects. Une autre est de leur dire que, fondamentalement, il n'y a rien que vous puissiez faire », déplore pour sa part John Scott-Railton, chercheur principal au Citizen Lab dont l'équipe traque et documente Pegasus depuis des années.

Attaque des smartphones : une affaire privée

Ivan Krstic, responsable de l'ingénierie et de l'architecture de sécurité d'Apple, explique à l'OCCRP que « les attaques sur iPhone, comme celle construite par NSO Group, sont ciblées, coûtent des millions à développer et ont souvent une durée de vie limitée parce que nous les découvrons et réparons le problème. Nous avons donc rendu économiquement prohibitif l'attaque à grande échelle des utilisateurs d'iPhone ».

Pour autant, NSO serait très lucratif. En 2016, le New York Times avait rapporté qu'un outil pour espionner 10 utilisateurs d'iPhone ou d'Android coûterait 650 000 dollars, en sus des frais d'installation de 500 000 dollars. Cent cibles supplémentaires étaient facturées 800 000 $, cinquante 500 000 $, vingt 250 000 $, dix 150 000 $. D'autres sources ont depuis évoqué plusieurs dizaines de millions de dollars pour la seule licence et jusqu'à 25 000 dollars par cible.

Or, ces technologies semblent avoir beaucoup évolué depuis, elles pourraient donc coûter encore plus cher et, note l'OCCRP, la société a déclaré un chiffre d'affaires de 243 millions de dollars en 2020. Il est bien moins coûteux et problématique pour les clients de NSO d'avoir recours à sa technologie que de la développer eux-mêmes.

On a ainsi vu une véritable explosion de l'externalisation, auprès d'acteurs privés, de ce type de technologies de surveillance et d'espionnage depuis le début des années 2000 d'une part, et depuis les révélations Snowden et l'explosion du trafic chiffré d'autre part.

« L'histoire de l'année »

« La sécurité de l'État est-elle assurée quand ses plus hauts dirigeants sont espionnés ? (...) Une affaire digne des plus grands films d'espionnage (...) C'est sans doute l'affaire de cyberespionnage la plus importante depuis l'affaire Snowden (...) Des mises sur écoute partout dans le monde, on parle de 50 000 numéros de téléphone »...

La revue de presse introduisant l'émission que France Culture a consacrée à l'affaire Pegasus donne une (toute) petite mesure de ce pourquoi les médias s'enflamment à ce sujet. Pour Edward Snowden, qui a beaucoup tweeté à son sujet, « cette fuite va être l'histoire de l'année ».

Depuis les premières révélations, le 18 juillet dernier, les articles s'enchaînent à un rythme tel qu'il est impossible de tous les lire, et encore moins de les vérifier. Et si l'on ne peut prédire jusqu'où cette affaire ira, nous pouvons néanmoins tenter de remettre ces révélations en contexte et interroger la méthodologie et les données.

Les ONG Forbidden Stories et Amnesty International – qui ont réuni un consortium de 80 journalistes de 17 rédactions émanant de 10 pays pour mener cette enquête – s'intéressaient depuis longtemps au logiciel espion Pegasus. Ce dernier, et ses clients potentiels ou avérés, ont beau critiquer l'expertise des deux ONG en la matière, force est de constater qu'elles ne sont pas parties en territoire inconnu, et savent a priori de quoi il en retourne. 

En juin 2018, un membre d'Amnesty International avait en effet reçu un message vérolé sur WhatsApp. L'ONG avait dans la foulée découvert un réseau de plus de 600 noms de domaines associés à Pegasus, corroborant l'expertise du Citizen Lab, un laboratoire canadien qui enquête sur les technologies de surveillance en général, et documente les attaques de NSO en particulier depuis 2016.

Lancé en 2019 à Berlin, le Security Lab d'Amnesty International, ou Amnesty Tech, qui a assuré l'expertise criminalistique de l'enquête coordonnée par Forbidden Stories, se présente de son côté comme « un collectif mondial d'avocats, de hackers, de chercheurs et de technologues » qui vise notamment à « perturber la surveillance (et) contrer la répression numérique ».

En mai 2019, il avait déjà soutenu une action en justice contre le ministère de la Défense israélien pour qu'il retire sa licence à NSO Group, dont les logiciels espion avaient été utilisés contre « au moins 24 » défenseurs des droits humains, journalistes et parlementaires au Mexique, en Arabie saoudite et aux Émirats arabes unis (y compris le dissident Jamal Khashoggi, dont le meurtre avait été relié par Citizen Lab à NSO – ce que le marchand d'armes nie).

Une demande rejetée en juillet 2020, le tribunal ayant jugé que l'on pouvait avoir « confiance dans le processus minutieux et sensible utilisé par le ministère de la Défense pour accorder de telles licences ».

L'ONG avait également documenté, en octobre de cette même année, comment Pegasus avait infecté les terminaux de deux éminents défenseurs des droits humains marocains, dont l'un avait été condamné à deux ans de prison pour avoir critiqué les violences policières dans la répression de manifestations.

En juillet 2020, les deux ONG avaient également révélé que le journaliste d'investigation marocain Omar Radi avait lui aussi été espionné par Pegasus pendant plus d'un an. Incarcéré dans la foulée et en détention provisoire depuis lors, Radi a été condamné le 19 juillet à 6 ans de prison dans une double affaire d’« espionnage » et de « viol » – qu'il nie – alors que NSO venait tout juste de commencer à faire la Une des médias internationaux.

En décembre 2020, Forbidden Stories et le Security Lab d'Amnesty International, révélaient que le rédacteur en chef d'un magazine mexicain avait aussi été visé par des clients de Pegasus alors qu'il travaillait sur les Panama Papers.

Début juillet 2021, l'ONG Forensic Architecture lançait une plateforme interactive en 3D, Digital Violence, conçue avec Amnesty International et le Citizen Lab, avec l'aide d'Edward Snowden (pour la voix off), Laura Poitras (pour les vidéos) et Brian Eno (pour la musique). Fruit de 15 mois d'enquêtes, elle vise à documenter les témoignages de dizaines de victimes du logiciel espion de NSO. 

De concert avec 145 autres ONG et 28 personnalités qualifiées, Amnesty vient en outre d'appeler à un moratoire de la vente, du transfert et de l'utilisation de ces technologies de surveillance.

Seuls 1 000 des 50 000 numéros (soit 2 %) ont été identifiés

Les 80 journalistes des 17 médias partenaires chargés par le consortium d'en identifier les titulaires n'ont pu identifier les propriétaires que d'un peu « plus de 1 000 » de ces 50 000 numéros. À peine 2 %.

Le Washington Post explique que les partenaires du projet Pegasus ont identifié les titulaires de ces numéros de téléphone en cherchant dans leurs propres annuaires téléphoniques, via des registres publics, en interrogeant des personnes ciblées ou leurs proches. Nos confrères disent ne pas avoir été en mesure de savoir exactement combien de numéros étaient encore actifs.

L'OCCRP indique que « dans bon nombre de ces cas, les numéros de téléphone identifiés correspondaient à des personnes présentant un intérêt pour les gouvernements, y compris à la fois des menaces légitimes à la sécurité comme des terroristes et des centaines de journalistes indépendants, de dissidents et de membres de l'opposition politique » :

« De plus, certains de ces chiffres sont apparus sur la liste pendant des périodes correspondant à des événements du monde réel - tels que des élections, des arrestations ou la divulgation d'informations privées compromettantes - d'une manière qui suggère une corrélation avec les données. »

L'analyse de ces 1 000 numéros permet au consortium de les relier à 11 pays « au moins », qui seraient des clients de NSO et utilisateurs de Pegasus : le Mexique, l'Azerbaïdjan, le Kazakhstan, la Hongrie, l'Inde, les Émirats Arabes Unis, l'Arabie Saoudite, Bahreïn, le Maroc, le Rwanda et le Togo. 15 000 de ces numéros auraient été reliés aux clients mexicains de NSO, suivis par ceux des Émirats arabes unis et du Maroc, avec 10 000 numéros chacun, dont 6 000 en Algérie et environ « un millier en France », précise Le Monde.

Les deux ONG ont cependant refusé de s'exprimer plus avant sur la provenance de la liste, ce qui peut se comprendre, en matière de protection des sources. Elles n'ont pas non plus expliqué pourquoi elles estiment qu'il s'agirait d'une liste de « cibles potentielles », ce qui, par contre, est plus problématique, ne serait-ce que parce que 98 % de ces 50 000 numéros n'ont été ni identifiés ni vérifiés.

188 journalistes, 85 défenseurs des droits humains, 14 chefs d'État

Sur les plus de 1 000 numéros identifiés, le consortium a découvert que « plusieurs centaines » appartiennent à des militants, diplomates, avocats, universitaires, ainsi qu'au moins 188 journalistes, 85 défenseurs des droits humains, 65 chefs d’entreprise et 14 chefs d'État. Plusieurs plaintes ont ainsi été déposées en France.

Outre l'un des numéros d'Emmanuel Macron, y figurent des numéros associés aux présidents du Pakistan et de l'Afrique du Sud, ainsi que trois Premiers ministres en exercice et sept anciens, dont Charles Michel, l’ancien Premier ministre belge et actuel président du Conseil européen.

La liste comprend également les numéros de Tedros Ghebreyesus, directeur général de l’OMS, ainsi que ceux de plus de 600 responsables gouvernementaux et personnalités politiques de 34 pays, mais aussi nombre de leurs proches, collaborateurs, époux, amis et même certains de leurs enfants et médecins (entre autres).

La carte de l'OCCRP des personnes espionnées, qui ne porte que sur « un petit échantillon » des données analysées mais vise à montrer les pays et professions ciblés, en répertorie 257 à ce jour (la liste, évolutive, pourrait continuer à s'allonger), dont 126 journalistes, 59 activistes, 33 personnalités politiques, 16 avocats, 13 universitaires et 12 amis.

Le roi du Maroc, son Premier ministre et « tout son entourage »

Plus étonnant : la cellule investigation de Radio France y a également trouvé « un grand nombre de membres de la famille royale », dont l'ex-épouse du roi Mohammed VI et l'un de ses cousins, qui figure en quatrième position dans l’ordre de ses successeurs.

Surnommé le « prince rouge » en raison de ses prises de position critiques contre la monarchie, « il séjourne la plupart du temps aux États-Unis, mais tout son entourage a été sélectionné comme cible de Pegasus ». La liste contient en effet les numéros de son épouse, de leurs deux filles, de son jeune frère, et même « le numéro de l’exploitant d’une ferme qui appartient au prince ».

« Mais ce qui surprend le plus, lorsqu’on examine de près cette liste, c’est que le souverain lui-même fait partie des numéros sélectionnés comme cibles potentielles de Pegasus », souligne Radio France, d'autant que « tout son entourage a subi le même sort », y compris son Premier ministre Saad Eddine el-Othmani :

« Ainsi, parmi les numéros sélectionnés comme cibles, on trouve aussi celui du chambellan du roi, Sidi Mohammed Alaoui, du chef de la gendarmerie royale du Maroc, le général Haramou, du secrétaire particulier du monarque, et de trois autres membres de la famille de ce dernier. »

La cinquantaine de proches du président mexicain, dont les numéros figurent sur la liste, est elle aussi étonnante, à mesure qu'on y trouve non seulement sa femme, ses enfants, ses assistants et son médecin, ainsi que trois de ses frères et deux anciens chauffeurs, et « même le manager » de son équipe de baseball amateur.

Un taux estimé de 85 % d'infections contre 0,074 % avéré

Ce qui pose la question de ce à quoi correspond ce que Forbidden Stories qualifie de « fuite massive de 50 000 numéros de téléphone sélectionnés comme cibles dans une cinquantaine de pays, depuis 2016 ».

The Wire précise de son côté que la liste mentionne également la date à laquelle les numéros auraient été rajoutés et que « la base de données s'étend de fin 2017 à mi-2019, ce qui correspond à peu près au moment où les données ont été divulguées ». Forbidden Stories explique que « le consortium de 17 médias internationaux a pu entrer en contact avec plusieurs cibles dont le numéro de téléphone apparaissait dans les données » : 

« L’analyse technique de ces téléphones – réalisée par le Security Lab d’Amnesty International et corroborée par le groupe de recherche canadien Citizen Lab – a pu confirmer une infection ou tentative d’infection avec le logiciel espion Pegasus dans 85 % des cas, soit 37 au total. Ce taux est remarquablement élevé étant donné que le logiciel espion, à la pointe de la technologie, est censé être indétectable sur les téléphones. »

Sur les 50 000 numéros de téléphone en question, seuls 67 smartphones ont été autopsiés par Amnesty Tech. 37 d'entre eux (dont 15 journalistes) auraient effectivement « montré des signes d'activité de Pegasus » (soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total) :

« 23 téléphones ont été infectés avec succès et 14 ont montré des signes de tentative de ciblage. Pour les 30 téléphones restants, les tests n'ont pas été concluants, dans plusieurs cas parce que les téléphones avaient été remplacés ».

Plusieurs des personnes potentiellement ciblées ont en effet changé ou abandonné leur téléphone, et ne pouvaient donc pas les faire autopsier. D'autres, à commencer par les responsables politiques encore en poste, ont refusé de les faire autopsier par l'ONG. Sur le millier de personnes susceptibles d'avoir été espionnées, 67 seulement ont accepté de confier leurs portables à Amnesty Tech.

Si, comme l’explique Amnesty, « des milliers de téléphones Android ont également été visés » par le logiciel espion, « contrairement aux iPhone, [Android] ne conserve pas les logs nécessaires pour détecter une infection par le logiciel Pegasus. » Cependant, trois des quinze modèles Android analysés ont montré des signes de ciblage, tels que des messages SMS liés à Pegasus.

Le nombre de numéros réellement attaqués est probablement plus important, au vu du nombre de « cibles potentielles » dont les téléphones n'ont pas pu être autopsiés, mais le ratio n'en est pas moins très éloigné de la liste des 50 000 « cibles potentielles », ainsi que des 1 000 téléphones dont les titulaires ont été dûment identifiés.

Contacté, Forbidden Stories n'a pas répondu à nos questions sur ce taux de (tentatives de) contamination de 85 %, alors qu'Amnesty Tech n'a documenté que 55 % de contaminations avérées des 67 téléphones autopsiés. 

Dans la seconde partie de cet article, nous reviendrons sur les doutes et questions soulevées par un certain nombre d'experts, tant des services de renseignement technique que des marchands d'armes de surveillance numérique, sur cette liste de 50 000 « cibles potentielles ».