Le prsident Joe Biden a sign lundi un dcret excutif interdisant de nombreuses utilisations par le gouvernement fdral de logiciels espions commerciaux, qui ont t de plus en plus utiliss par d’autres pays ces dernires annes pour surveiller les dissidents, les journalistes et les politiciens. La signature du dcret excutif est intervenue alors que des responsables de l’administration ont dclar aux journalistes qu’environ 50 membres du personnel du gouvernement amricain dans au moins 10 pays avaient t infects ou cibls par de tels logiciels espions, un nombre plus important qu’on ne le savait auparavant. Les responsables n’ont pas souhait apporter des prcisions.
L’administration Biden a annonc lundi un nouveau dcret qui interdirait largement aux agences fdrales amricaines d’utiliser des logiciels espions dvelopps commercialement qui menacent les droits de l’homme et la scurit nationale. La dcision d’interdire aux agences fdrales (y compris les forces de l’ordre, la dfense et le renseignement) d’utiliser des logiciels espions commerciaux intervient alors que les responsables ont confirm que des dizaines de membres du gouvernement amricain avaient leurs tlphones cibls.
Les dfenseurs des droits humains et les chercheurs en scurit mettent en garde depuis des annes contre les risques poss par les logiciels espions commerciaux, crs dans le secteur priv et vendus presque exclusivement aux gouvernements et aux tats-nations. Cette puissante technologie de surveillance exploite souvent des failles auparavant non divulgues trouves dans un logiciel iPhone ou Android pour voler les photos, les contacts, les journaux d’appels, les messages et les donnes de localisation en temps rel d’une personne. Mais alors que les gouvernements prtendent utiliser exclusivement la technologie pour enquter sur des crimes graves, les critiques affirment que le logiciel espion a t dploy contre des journalistes, des avocats et des dfenseurs des droits humains, souvent ceux qui critiquent ouvertement leurs gouvernements.
Les logiciels espions commerciaux sont vendus par une foule d’entreprises, la plus connue tant NSO Group d’Isral. La socit vend un outil de piratage connu sous le nom de Pegasus qui peut subrepticement compromettre les iPhone et les appareils Android en utilisant des exploits sans clic , ce qui signifie qu’ils ne ncessitent aucune interaction de l’utilisateur. En envoyant un SMS ou en faisant sonner l’appareil, Pegasus peut installer un logiciel d’espionnage qui vole des contacts, des messages, des emplacements gographiques, etc., mme lorsque le SMS n’est pas ouvert ou que l’appel n’est pas dcroch. Parmi les autres socits vendant des logiciels espions commerciaux figurent Cytrox, Candiru et Paragon.
Alors que NSO dcrit Pegasus comme un outil d’interception lgale qui n’est vendu qu’aux forces de l’ordre lgitimes pour enquter sur le crime et le terrorisme, le Mexique, l’Inde, l’Arabie saoudite, les mirats arabes unis, le Maroc et d’autres pays ont t surpris en train de le dployer contre des politiques dissidents, journalistes et autres citoyens qui ne sont accuss d’aucun crime. En novembre 2021, l’administration Biden a restreint l’exportation, la rexportation et le transfert dans le pays de produits de NSO et de trois autres socits en Isral, en Russie et Singapour.
Le dcret de lundi va plus loin en interdisant aux agences fdrales, y compris celles engages dans des activits d’application de la loi, de dfense ou de renseignement, d’utiliser de manire oprationnelle des logiciels espions commerciaux.
La prolifration des logiciels espions commerciaux pose des risques de contre-espionnage et de scurit distincts et croissants pour les tats-Unis, y compris pour la sret et la scurit du personnel du gouvernement amricain et de leurs familles , indique une fiche d’information publie par la Maison Blanche. Le personnel du gouvernement amricain l’tranger a t cibl par des logiciels espions commerciaux, et des fournisseurs et des outils commerciaux peu fiables peuvent prsenter des risques importants pour la scurit et l’intgrit des informations et des systmes d’information du gouvernement amricain .
Lors d’un appel avec des journalistes avant la signature du dcret, les responsables de l’administration Biden ont dclar que les tats-Unis essayaient de devancer le problme et d’tablir des normes pour les autres gouvernements et leurs allis, qui achtent et dploient des logiciels espions commerciaux. Le dcret est la dernire mesure prise par le gouvernement ces dernires annes, il interdit notamment certains fabricants de logiciels espions de faire des affaires aux tats-Unis et adopte des lois visant limiter l’utilisation et l’achat de logiciels espions par les agences fdrales.
Les responsables de la Maison Blanche ne nomment pas le logiciel espion spcifique qui est interdit, mais l’utilisation du terme logiciel espion commercial implique fortement qu’il inclut des outils vendus par NSO, Cytrox, Candiru et d’autres. Les critres pour les outils relevant du dcret incluent si :
- ils sont abuss par un gouvernement tranger dans le but d’accder l’appareil d’un citoyen amricain
- un acteur tranger les dploie contre des militants ou des dissidents dans le but d’intimider ou de freiner la dissidence ou l’opposition ou de rprimer les expressions de la libert d’expression
- ils sont fournis aux gouvernements pour lesquels il existe des rapports crdibles selon lesquels ils se livrent des actes systmatiques de rpression politique
Des cibles de haut niveau
La semaine dernire, il a t confirm que l’ancien responsable de la confiance et de la scurit de Meta, Artemis Seaford, qui dtient la fois des passeports amricain et grec, a t pirat par le logiciel espion Predator, probablement la demande du gouvernement grec, qui nie avoir utilis le logiciel espion dvelopp par la socit nord-macdonienne Cytrox. Seaford, qui a dclar ne pas savoir pourquoi elle avait t cible, est la dernire victime amricaine connue de logiciels espions commerciaux cibls, y compris des enfants de journalistes cibls vivant aux tats-Unis et des employs du gouvernement amricain travaillant l’tranger.
En 2021, les iPhone de plusieurs employs de l’ambassade des tats-Unis en Ouganda ont t pirats par Pegasus, un logiciel espion dvelopp par la socit isralienne NSO Group. Les responsables de Biden ont confirm lundi qu’au moins 50 employs fdraux amricains dans 10 pays sur plusieurs continents sont suspects ou confirms comme tant des victimes de logiciels espions.
Les tats-Unis n’ont pas non plus chapp aux questions sur leur propre utilisation et dploiement prsums de logiciels espions commerciaux. Le FBI aurait achet une licence pour Pegasus du groupe NSO en 2020 et 2021, mais a dclar que la licence tait uniquement destine la recherche et au dveloppement. La Drug Enforcement Administration utilise galement Graphite, un logiciel espion dvelopp par la socit isralienne Paragon. La DEA prtend n’utiliser l’outil qu’en dehors des tats-Unis, mais ne dit pas si les Amricains sont cibls.
Les responsables de l’administration Biden ont refus de dire aux journalistes lundi si d’autres agences fdrales amricaines utilisaient de manire oprationnelle des logiciels espions commerciaux.
Le dcret est la dernire d’une srie de rponses de la part de l’excutif ces dernires semaines aprs des annes d’inaction du Congrs, y compris la violence arme et l’accs au vote. Comme le dcret excutif a t introduit comme loi par l’administration Biden, il peut tre rvoqu tout moment, y compris par toute administration ultrieure.
L’Europe n’est pas en reste : plus de cinq tats de l’Union europenne utilisent le logiciel espion Pegasus de NSO Group
Dans la seconde moiti de 2021, NSO Group s’est retrouv ml un scandale de surveillance de masse sur le plan mondial. Des rapports ont rvl qu’ travers ses outils d’espionnage, l’entreprise isralienne a facilit la surveillance et la mise sur coute de dizaines de milliers de personnes travers le monde, dont des journalistes, diplomates, militants des droits de l’homme, ministres NSO Group a ni sans cesse ces allgations, mais l’UE a ouvert une enqute sur ces accusations et en novembre 2021, l’administration Biden a dclar qu’elle mettait NSO Group sur liste noire cause du logiciel espion Pegasus.
S’adressant la commission du Parlement europen charge d’examiner l’utilisation des logiciels espions au sein de l’Union europenne, le directeur juridique de NSO Group a dclar en juin de l’anne dernire que l’entreprise avait commis des erreurs , mais qu’elle avait galement renonc une grande partie de ses revenus en annulant des contrats depuis que l’utilisation abusive avait t rvle. Nous essayons de faire ce qui est juste, et c’est plus que les autres entreprises travaillant dans le secteur. Chaque client auquel nous vendons, nous faisons preuve de diligence raisonnable l’avance afin d’valuer l’tat de droit dans ce pays , a dclar Gelfand.
Mais travailler sur des informations disponibles publiquement ne sera jamais suffisant , a-t-il ajout. De manire gnrale, une cible slectionne par un client de NSO Group voit son tlphone ou autre appareil infect par un logiciel espion cach via l’exploitation d’une ou plusieurs failles de scurit. Une fois install, ce logiciel peut secrtement espionner les appels, les messages et les autres activits de cette personne. Le code est install, par exemple, en envoyant la victime un message pig qui, lorsqu’il est reu et trait automatiquement par son appareil, entrane le dploiement et l’excution silencieux du logiciel espion.
Ces outils sont concds sous licence uniquement aux organismes chargs de l’application de la loi et aux agences gouvernementales , a dclar Gelfand. Il a ajout qu’il y a trs peu de contrats et que ces derniers sont soigneusement tudis pour ne pas permettre qu’une utilisation lgitime. Il y a parfois des tiers commerciaux qui sont impliqus dans la transaction pour des raisons de scurit. Ces tierces parties commerciales sont trs souvent des intermdiaires entre l’OSN et le gouvernement sur le plan contractuel. Ils ne reoivent jamais l’utilisation du systme lui-mme, ils n’ont pas accs au systme , a-t-il poursuivi.
Selon Gelfand, au moins cinq pays de l’UE ont utilis le logiciel espion Pegasus de NSO Group, ajoutant qu’il reviendrait devant les eurodputs avec un nombre plus concret . Toutefois, il n’a pas mentionn spcifiquement tous les pays dont il s’agit. En outre, l’entreprise affirme qu’elle value les pays avant de leur vendre Pegasus, et affirme que ces valuations tiennent compte d’lments tels que le respect des droits de l’homme et de la libert d’expression, ainsi que la stabilit politique et la corruption perue. Selon Gelfand, si un pays obtient un score de 20 ou moins, NSO Group affirme qu’il ne lui vendra pas de logiciels espions.
Nous avons depuis relev la barre , a-t-il ajout. Interrog par les lgislateurs europens sur les notes obtenues par diffrents pays, Gelfand a rpondu que l’Arabie saoudite avait obtenu environ 30 . titre de comparaison : Gelfand a dclar que le score de la Belgique est d’environ 80, celui de l’Espagne de 75, et ceux de la Pologne et de la Hongrie de 65 ou 64. Si un client viole les termes de son accord avec NSO Group, le fournisseur affirme qu’il peut arrter distance le dploiement Pegasus du client. Je peux confirmer que lorsque nous dfinissons un client qui a viol les conditions d’utilisation, il est rsili , a dclar Gelfand.
Il a refus de dire si, par exemple, l’Arabie saoudite tait l’un de ces clients rsilis. Il a prcis que NSO Group a rsili plus de huit clients au cours des dernires annes , et que certaines de ces agences malhonntes ont t rvles par des dnonciateurs et les Pegasus Papers. Nous avons mis fin des contrats avec des tats membres de l’UE , a dclar Gelfand. L’UE a lanc l’enqute aprs les rvlations selon lesquelles le logiciel espion est trs rpandu en Europe et a t utilis contre certains des dirigeants les plus en vue du bloc.
Cette liste comprend le Premier ministre espagnol Pedro Snchez, et des groupes politiques en Espagne, en Pologne et en Hongrie. Et alors que le Projet Pegasus , la coalition internationale de journalistes qui a rvl les agissements des clients de NSO Group en 2021, a rapport que plus de 50 000 numros de tlphone ont t cibls par les utilisateurs de Pegasus, Gelfand a dclar la commission qu’un nombre plus prcis dans une anne donne est d’environ 12 000 13 000 cibles . En Espagne, le scandale a conduit le gouvernement enquter sur la conduite de son agence de renseignement CNI.
Source : dcret Prsidentiel
Et vous ?
Pour ou contre les activits de logiciels espions commerciaux ? Dans quelle mesure ?
Que pensez-vous de la dcision de Joe Biden ?
Voir aussi :