Condensé #15 - Semaine du 4 Août 2021

En long - CJUE - Youtube pas responsable de ses utilisateurs !


En une ligne dans le reste du monde.

Par Malik Aouadi.

cybersecurity.gif

Projet Pegasus, le monde entier sur écoute.

Pegasus et le groupe NSO

Pegasus est un logiciel espion créé par la start-up israélienne NSO, spécialisée dans les domaines de la cybersécurité et de la surveillance. Vendu à plusieurs dizaines de gouvernements dans le monde, ce logiciel a pour objectif officiel de lutter contre le terrorisme. En pratique, l’actualité laisse à penser que le programme est utilisé à des fins bien plus inquiétantes. 

C’est le groupe à but non lucratif Forbidden Stories en collaboration avec Amnesty International et plus de 16 médias (dont Le Monde et Le Soir) qui ont dévoilé l’ampleur de la menace posée par l’outil israélien. Sous leur collaboration, l’enquête a permis de démontrer que Pegasus avait été utilisé pour avoir accès à plus de 50 000 numéros de téléphone, répartis dans cinquante pays, ayant été désignés comme potentielles cibles. 

En 2019 déjà, WhatsApp avait découvert que le groupe NSO profitait d’une faille dans son application pour infecter des téléphones avec le logiciel Pegasus. L’entreprise américaine avait résorbé la faille, porté plainte et prévenu le millier de victimes qu’avait fait cette attaque.

Source: Yahoo 
Source: Yahoo

Comment ça marche?

Une fois sous l’emprise du logiciel, le téléphone de la victime est à la merci de l’assaillant: «Quand un iPhone est infecté, le pirate obtient tous les privilèges d’administrateur, il a donc accès à tout et peut faire ce qu’il veut du téléphone» alerte Claudio Guarnieri (Security Lab d’Amnesty International).

Photos, vidéos, géolocalisation, appareil photo, micro et même messages issus d’application au chiffrement crypté tels que WhatsApp sont alors accessibles. Il ne s’agit plus d’une «simple» mise sur écoute; le logiciel peut contrôler et avoir accès à l’intégralité du smartphone en temps réel.

Failles Zero Day et Zero Click

Les chercheurs derrière Pegasus s’efforcent de trouver des failles «Zero Day», à savoir des vulnérabilités au sein d’un système d’exploitation (Android, iOS par exemple) ou d’un logiciel (WhatsApp ou Twitter) inconnues des développeurs du logiciel ou du système d’exploitation en question. C’est d’autant plus alarmant que Pegasus peut s’immiscer dans un smartphone sans qu’aucune interaction avec l’utilisateur ne soit nécessaire. Nul besoin de partager un lien infecté à la cible et que ce dernier clique dessus pour que logiciel soit touché.

Qui sont les cibles?

L’enquête révèle comment certains gouvernements ou services secrets ont utilisé le logiciel Pegasus pour surveiller de nombreux profils d’individus, allant de simples journalistes, avocats, activistes à des opposants politiques. Bien loin donc de la ligne officielle du groupe NSO selon lesquels seules des entreprises criminelles ou terroristes seraient visées. Forcément, parmi les profils ayant été espionnés, certaines personnalités font plus parler que d’autres.

C’est notamment le cas en France, où le numéro de téléphone portable du chef de l’état Emmanuel Macron, d’Édouard Philippe et de quatorze autres ministres auraient été ciblés pour le compte du Maroc à travers l’utilisation de Pegasus. Dans un communiqué destiné au consortium de journalistes à l’origine de l’enquête, le groupe NSO affirme que le président français « n’a pas, et n’a jamais été, une cible ou n’a jamais été sélectionné comme une cible par des clients de NSO ».

Dans son démenti, la société israélienne manque toutefois de préciser quelle base lui permet d’affirmer cette prise de position, sachant qu’elle n’a « pas accès aux données de ses clients, qui doivent toutefois lui fournir ce type d’informations » en cas d’enquête. Quant au Maroc, l’état nie en bloc l’utilisation du logiciel Pegasus. Si certaines de ces révélations peuvent donner suite à quelques tensions géopolitiques, d’autres révèlent des destins plus tragiques.

Source: Washington Post 
Source: Washington Post

Selon Amnesty International, l’enquête aurait révélé de nombreux éléments prouvant que des proches du journaliste saoudien Jamal Khashoggi avaient été ciblés par le logiciel Pegasus avant et après son assassinat à Istanbul au sein de l’ambassade saoudienne. En 2018, le Citizen Lab de Toronto avait publié une note rapportant l’infection du téléphone portable d’Omar Abdulaziz, un dissident politique proche du journaliste saoudien. Quelques mois plus tard, c’est le téléphone portable de son épouse Hanan Elatr qui avait révélé avoir fait l’objet d’intrusion par le logiciel Pegasus. Jusqu'à présent, le Groupe NSO a nié fermement l'implication de son logiciel dans ce meurtre.

De l’autre côté du globe, malgré son implication dans l’arrestation de Joaquin Guzman, alias «El Chapo» en 2016, le logiciel reste de même impliqué dans d’autres affaires de surveillance de journalistes, activistes et opposants politiques. Dans le cadre de son enquête «Cartel Project», Forbidden Stories a révélé que plusieurs membres des autorités mexicaines avaient revendu Pegasus à des cartels de narcotrafiquants. En 2017, le journaliste Cecilio Pineda avait été froidement abattu, deux heures après avoir évoqué des liens entre le gouverneur de l’état de Guerrero et le cartel de drogue opérant dans la région.

Source: Mediapart. 
Source: Mediapart.

Un outil géopolitique?

Le gouvernement israélien affirme prendre les révélations autour du Projet Pegasus au sérieux. Toutefois, alors qu’une enquête aura lieu en France, Israël se contente d’une «vérification» en vue d’établir si le groupe NSO a agi en violation du permis d’exportation qui lui a été accordé par le ministère de la défense israélien. Cette mission sera menée par une équipe constituée pour l’occasion, composée de membres du ministère de la Défense, du Mossad, et du Conseil national de sécurité et devra notamment déterminer si les clients ayant acquis le logiciel Pegasus répondent effectivement aux critères dudit permis d’exportation. Selon certains détracteurs, Israël agirait ici comme partie et juge et se contenterait d’initier cette procédure afin d’apaiser l’agitation internationale.

Force est de constater que le groupe NSO peut se sentir rassuré d’avoir derrière lui un gouvernement qui semble avoir fait de ses talents en cybersécurité un véritable outil géopolitique. En effet, le logiciel Pegasus, dont l’exportation nécessite une licence gouvernementale, car considéré comme une véritable arme, est devenu un élément crucial du rayonnement diplomatique israélien.

«Depuis les années 1950, Israël utilise ses ventes d'armes pour des profits diplomatiques, la seule chose qui change est le nom des pays», a déclaré Eitay Mack, avocat israélien spécialisé dans les droits de l'homme qui tente depuis des années de faire annuler la licence d'exportation de NSO.

De plus, le soutien dont dispose le groupe NSO semble dépasser le cercle politique. Un juge israélien a imposé une obligation de silence à des militants des droits des Mexicains afin que leur action en justice contre la société puisse être entendue en secret. Dans une autre affaire initiée par un proche de Jamal Khashoggi, le juge s’occupant du dossier a refusé de se récuser malgré ses liens étroits avec les avocats de NSO.

Cependant, il reste difficile d’établir clairement le rôle joué par le gouvernement israélien dans cette affaire. Pour autant, est-ce un hasard si la majorité des pays clients de NSO ont amélioré leurs relations avec l’état d'Israel au cours de ces dernières années ? Comme le rappelle Mediapart, c’est le cas du Bahreïn, des Émirats arabes unis, de l’Inde, du Maroc, du Rwanda, du Togo ou de la Hongrie.

Et maintenant?

Que faire de Pegasus? Pour se défendre, NSO persiste et insiste sur le fait qu’il ne vend son logiciel qu’à des agences gouvernementales dans le but de lutter contre la criminalité et le terrorisme.

Suite aux accusations, la Commission européenne a déclaré avoir ouvert une enquête sur la surveillance des journalistes de l’Union européenne:

«Nous commençons à recueillir des informations pour voir quelles sont les utilisations possibles d'un tel type d'application dans l'un de ces États membres. Nous avons vu les observations faites dans la presse à ce sujet», a déclaré le commissaire à la justice Didier Reynders, faisant sans aucun doute référence à la Hongrie, seul pays européen client des services de Pegasus.

Bien que la sécurité nationale reste une compétence strictement nationale, les États membres de l'UE sont tenus de respecter les normes en matière de droits de l'homme et les règles relatives à la vie privée. Malgré cela, la Hongrie possède l'un des cadres législatifs les plus souples d'Europe en matière d'autorisation de surveillance. Il n'y a pas de contrôle judiciaire si la demande est faite pour des raisons de sécurité nationale ; seule la signature du ministre de la justice est requise. En 2016, la Cour européenne des droits de l’hommes’était déjà prononcée à l’encontre de la législation hongroise et avait souligné son manque de garanties suffisantes contre les abus et atteintes à la vie privée. Rien que l’année dernière, la ministre de la Justice a délivré plus de 1285 autorisations de la sorte.

Mais alors, quels sont les enseignements à tirer de cette affaire?

Il est évident que l’espionnage entre États n’a pas attendu l’arrivée de Pegasus pour être pratiqué. Toutefois, pour de nombreux spécialistes, ces révélations mettent à jour la plus grosse affaire d’espionnage depuis Snowden. Le projet Pegasus a d’insidieux cette prétendue lutte contre le crime qui n’a souvent d’autres effets que de conforter les gouvernements autoritaires dans leurs répressions. La portée de cette technologie au sein de nos sociétés entières – du proche d’un dissident politique aux journalistes d’opposition en passant par les personnages les plus influents de nos gouvernements – favorise inéluctablement les abus systémiques.

Les entreprises qui développent et distribuent des technologies de surveillance ont la responsabilité d'éviter les violations des droits de l'homme par l’utilisation de leurs produits. Les États ont également le devoir de protéger les individus contre les violations des droits à la vie privée par ces entreprises.

Il devient urgent de prendre des mesures concrètes concernant la vente et l’utilisation de telles technologies de surveillance. En tirant profit des organisations supranationales qui nous entourent et de leurs outils réglementaires, il est nécessaire de réguler afin que les utilisations qui en soient faites se retrouvent conformes aux droits de l’homme. Tout comme le Traité sur la non-prolifération des armes nucléaires s’est vu ratifier dans un climat tendu de guerre froide, il ne fait aucun doute que l’instauration d’un traité sur l’utilisation de logiciels de surveillance tels que Pegasus serait salué comme une avancée majeure.

Dans le reste du monde:

  • L’influenceuse Nabilla paie 20 000 euros d’amende pour « pratiques commerciales trompeuses » sur Snapchat.

  • Une femme chinoise ayant trouvé sa vidéo sur Pornhub crée une application pour aider d'autres victimes.

  • New York va imposer un passeport vaccinal pour aller au restaurant, dans les salles de spectacle et de sport.

  • Netflix va ajouter des jeux mobiles à son offre.

  • Duolingo vise une entrée en bourse à plus de 4 milliards de dollars.

  • L'Autorité de régulation néerlandaise inflige une amende de 725 000 euros à TikTok pour violation de la transparence.

  • Pfizer, Mercedes, Apple… de nombreuses entreprises victimes d’un ransomware.

  • Epic Games dépose une nouvelle plainte dans son procès antitrust contre Google.

  • Crise des opioïdes : un « deal » à 26 milliards de dollars aux Etats-Unis.