Le fournisseur isralien de logiciels de surveillance NSO Group a dclar cette semaine devant les lgislateurs de l’Union europenne qu’au moins 50 clients utilisent son logiciel espion Pegasus sur le plan mondial. Chaim Gelfand, avocat gnral et responsable de la conformit chez NSO Group, a prcis aux lgislateurs que ces clients comprennent « plus de cinq tats membres de l’Union europenne ». L’entreprise a reconnu qu’elle a commis des erreurs par le pass et a soulign la ncessit d’une norme internationale pour rglementer l’utilisation des logiciels espions par les gouvernements.
NSO Group, une entreprise de cyberscurit implante Herzliya en Isral, dveloppe et distribue un logiciel espion appel Pegasus, qui est vendu des agences gouvernementales et policires. L’entreprise achterait des vulnrabilits de scurit dites « zero-day » auprs de pirates informatiques, et Pegasus est capable de monter des exploits « zero-click » – o aucune interaction de l’utilisateur n’est requise par la cible. Ces vulnrabilits sont appeles « zero-day », car elles sont en gnrale inconnues d’Apple et de Google qui fournissent respectivement iOS et Android, les deux systmes d’exploitation mobiles les plus utiliss au monde.
Dans la seconde moiti de l’anne dernire, NSO Group s’est retrouv ml un scandale de surveillance de masse sur le plan mondial. Des rapports ont rvl qu’ travers ses outils d’espionnage, l’entreprise isralienne a facilit la surveillance et la mise sur coute de dizaines de milliers de personnes travers le monde, dont des journalistes, diplomates, militants des droits de l’homme, ministres NSO Group a ni sans cesse ces allgations, mais l’UE a ouvert une enqute sur ces accusations et en novembre dernier, l’administration Biden a dclar qu’elle mettait NSO Group sur liste noire cause du logiciel espion Pegasus.
S’adressant la commission du Parlement europen charge d’examiner l’utilisation des logiciels espions au sein de l’Union europenne, le directeur juridique de NSO Group a dclar que l’entreprise avait « commis des erreurs », mais qu’elle avait galement renonc une grande partie de ses revenus en annulant des contrats depuis que l’utilisation abusive avait t rvle. Nous essayons de faire ce qui est juste, et c’est plus que les autres entreprises travaillant dans le secteur. Chaque client auquel nous vendons, nous faisons preuve de diligence raisonnable l’avance afin d’valuer l’tat de droit dans ce pays , a dclar Gelfand.
Mais travailler sur des informations disponibles publiquement ne sera jamais suffisant , a-t-il ajout. De manire gnrale, une cible slectionne par un client de NSO Group voit son tlphone ou autre appareil infect par un logiciel espion cach via l’exploitation d’une ou plusieurs failles de scurit. Une fois install, ce logiciel peut secrtement espionner les appels, les messages et les autres activits de cette personne. Le code est install, par exemple, en envoyant la victime un message pig qui, lorsqu’il est reu et trait automatiquement par son appareil, entrane le dploiement et l’excution silencieux du logiciel espion.
Ces outils sont concds sous licence uniquement aux organismes chargs de l’application de la loi et aux agences gouvernementales , a dclar Gelfand. Il a ajout qu’il y a trs peu de contrats et que ces derniers sont soigneusement tudis pour ne pas permettre qu’une utilisation lgitime. Il y a parfois des tiers commerciaux qui sont impliqus dans la transaction pour des raisons de scurit. Ces tierces parties commerciales sont trs souvent des intermdiaires entre l’OSN et le gouvernement sur le plan contractuel. Ils ne reoivent jamais l’utilisation du systme lui-mme, ils n’ont pas accs au systme , a-t-il poursuivi.
Selon Gelfand, au moins cinq pays de l’UE ont utilis le logiciel espion Pegasus de NSO Group, ajoutant qu’il reviendrait devant les eurodputs avec un « nombre plus concret ». Toutefois, il n’a pas mentionn spcifiquement tous les pays dont il s’agit. En outre, l’entreprise affirme qu’elle value les pays avant de leur vendre Pegasus, et affirme que ces valuations tiennent compte d’lments tels que le respect des droits de l’homme et de la libert d’expression, ainsi que la stabilit politique et la corruption perue. Selon Gelfand, si un pays obtient un score de 20 ou moins, NSO Group affirme qu’il ne lui vendra pas de logiciels espions.
Nous avons depuis relev la barre , a-t-il ajout. Interrog par les lgislateurs europens sur les notes obtenues par diffrents pays, Gelfand a rpondu que l’Arabie saoudite avait obtenu « environ 30 ». titre de comparaison : Gelfand a dclar que le score de la Belgique est d’environ 80, celui de l’Espagne de 75, et ceux de la Pologne et de la Hongrie de 65 ou 64. Si un client viole les termes de son accord avec NSO Group, le fournisseur affirme qu’il peut arrter distance le dploiement Pegasus du client. Je peux confirmer que lorsque nous dfinissons un client qui a viol les conditions d’utilisation, il est rsili , a dclar Gelfand.
Il a refus de dire si, par exemple, l’Arabie saoudite tait l’un de ces clients rsilis. Il a prcis que NSO Group a rsili « plus de huit » clients au cours des « dernires annes », et que certaines de ces agences malhonntes ont t rvles par des dnonciateurs et les Pegasus Papers. Nous avons mis fin des contrats avec des tats membres de l’UE , a dclar Gelfand. L’UE a lanc l’enqute aprs les rvlations selon lesquelles le logiciel espion est trs rpandu en Europe et a t utilis contre certains des dirigeants les plus en vue du bloc.
Cette liste comprend le Premier ministre espagnol Pedro Snchez, et des groupes politiques en Espagne, en Pologne et en Hongrie. Et alors que le « Projet Pegasus », la coalition internationale de journalistes qui a rvl les agissements des clients de NSO Group l’anne dernire, a rapport que plus de 50 000 numros de tlphone ont t cibls par les utilisateurs de Pegasus, Gelfand a dclar la commission qu’un nombre plus prcis « dans une anne donne est d’environ 12 000 13 000 cibles ». En Espagne, le scandale a conduit le gouvernement enquter sur la conduite de son agence de renseignement CNI.
L’audition a t le point culminant du travail effectu par les lgislateurs depuis le mois de mars pour examiner et limiter l’utilisation de ce logiciel espion intrusif. La sance a t tendue et a parfois menac de dboucher sur des hostilits ouvertes, Gelfand repoussant les questions qui lui taient poses. Pour faire face aux vives critiques, NSO Group a soulign qu’il souhaitait vivement la cration d’un organisme international de rglementation des logiciels espions. Quelque chose de semblable un accord de non-prolifration, o seuls les pays qui acceptent les rgles tablies pourront utiliser la technologie , a dclar Gelfand.
Il y a beaucoup faire, c’est pourquoi nous appelons une norme internationale , a-t-il ajout. Lors de la RSA Conference de ce mois-ci, Heather Mahalik, directrice principale de l’intelligence numrique au SANS Institute, a dsign Pegasus comme l’une des cybermenaces les plus dangereuses du moment. Cette attaque vole littralement dans les airs, atterrit sur votre appareil iOS ou Android. Vous ne cliquez pas dessus, et elle s’auto-installe immdiatement, et c’est l que mon travail devient trs difficile. Il s’autodtruit galement , a dclar Mahalik.
Interrog sur les rumeurs selon lesquelles l’entrepreneur amricain de la dfense L3Harris et la socit d’exploration de donnes Palantir ont tous deux exprim leur intrt pour le rachat de NSO, Gelfand a de nouveau refus de rpondre. La socit est toujours en ngociations diverses avec diffrentes entreprises dans le monde. En ce qui concerne les acquisitions : plus que cela, c’est quelque chose que je ne peux pas aborder en raison d’informations confidentielles , a-t-il dclar.
Sources : Commission d’enqute sur l’utilisation de Pegasus, Rapport du Conseil de l’Europe sur Pegasus (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des dclarations de Chaim Gelfand de NSO Group ?
Que pensez-vous de l’valuation faite par NSO Group sur ses clients potentiels ?
Selon vous, ces critres constituent-ils une analyse crdible pour autoriser l’utilisation d’une telle application ?
Voir aussi