Maâti Monjib parle lentement, comme un homme qui se sait écouté.

C’est le jour de son 58e anniversaire lorsque nous parlons, mais il y a peu de fête dans sa voix. «La surveillance est infernale», me dit Monjib. «C'est vraiment difficile. Il contrôle tout ce que je fais dans ma vie.

Professeur d'histoire à l'Université Mohammed V de Rabat, au Maroc, Monjib se souvient très bien du jour de 2017 où sa vie a changé. Accusé de mise en danger de la sécurité de l'État par le gouvernement qu'il a férocement et publiquement critiqué, il était assis à l'extérieur d'une salle d'audience lorsque son iPhone s'est soudainement allumé avec une série de messages texte provenant de numéros qu'il ne reconnaissait pas. Ils contenaient des liens vers des nouvelles salaces, des pétitions et même des offres d'achat du Black Friday.

Un mois plus tard, un article l’accusant de trahison est paru sur un site d’information national populaire, étroitement lié aux dirigeants royaux du Maroc. Monjib était habitué aux attaques, mais il semblait maintenant que ses harceleurs savaient tout sur lui: un autre article contenait des informations sur un événement pro-démocratie auquel il devait assister mais dont il n'avait parlé à presque personne. Une histoire a même proclamé que le professeur «n'avait aucun secret pour nous».

Il avait été piraté. Les messages ont tous conduit à des sites Web qui, selon les chercheurs, ont été configurés comme des leurres pour infecter les appareils des visiteurs avec Pegasus, le logiciel espion le plus notoire au monde.

Pegasus est le produit à succès de NSO Group, une société de surveillance israélienne secrète d'un milliard de dollars. Il est vendu aux forces de l'ordre et aux agences de renseignement du monde entier, qui utilisent les outils de l'entreprise pour choisir une cible humaine, infecter le téléphone de la personne avec le logiciel espion, puis prendre le contrôle de l'appareil. Une fois que Pegasus est sur votre téléphone, ce n'est plus votre téléphone.

Monjib
L'universitaire marocain et militant de la liberté d'expression Maâti Monjib est surveillé par son gouvernement depuis des années. «La surveillance est infernale», dit-il.
GETTY

NSO vend Pegasus avec le même ton que les marchands d'armes utilisent pour vendre des armes conventionnelles, le positionnant comme une aide cruciale dans la chasse aux terroristes et aux criminels. À l'ère de la technologie omniprésente et d'un cryptage fort, ce «piratage légal» est devenu un outil puissant pour la sécurité publique lorsque les forces de l'ordre ont besoin d'accéder aux données. NSO insiste sur le fait que la grande majorité de ses clients sont des démocraties européennes, même si, comme elle ne publie pas de listes de clients et que les pays eux-mêmes restent silencieux, cela n’a jamais été vérifié.

Le cas de Monjib, cependant, fait partie d’une longue liste d’incidents dans lesquels Pegasus a été utilisé comme un outil d’oppression. Il a été lié à des cas tels que le meurtre du journaliste saoudien Jamal Khashoggi, le ciblage de scientifiques et de militants qui poussent à une réforme politique au Mexique et la surveillance par le gouvernement espagnol de politiciens séparatistes catalans. Le Mexique et l'Espagne ont nié avoir utilisé Pegasus pour espionner des opposants, mais les accusations selon lesquelles ils l'ont fait sont étayées par des preuves techniques substantielles.

L’argument de base de NSO est qu’il est le créateur d’une technologie que les gouvernements utilisent, mais que s’il n’attaque personne lui-même, il ne peut être tenu pour responsable.

Certaines de ces preuves sont contenues dans un procès intenté en octobre dernier en Californie par WhatsApp et sa société mère, Facebook, alléguant que Pegasus a manipulé l'infrastructure de WhatsApp pour infecter plus de 1400 téléphones portables. Les enquêteurs de Facebook ont ​​trouvé plus de 100 défenseurs des droits humains, journalistes et personnalités publiques parmi les cibles, selon des documents judiciaires. Chaque appel intercepté, ils le découvrent, envoient un code malveillant via l’infrastructure de WhatsApp et amènent le téléphone du destinataire à télécharger des logiciels espions à partir de serveurs appartenant à NSO. Cela, selon WhatsApp, était une violation de la loi américaine.

NSO a longtemps fait face à de telles accusations dans le silence. Prétendant qu'une grande partie de ses activités est un secret d'État israélien, il a offert de précieux détails publics sur ses opérations, ses clients ou ses garanties.

Maintenant, cependant, l'entreprise suggère que les choses changent. En 2019, NSO, qui appartenait à une société de capital-investissement, a été revendue à ses fondateurs et à une autre société de capital-investissement, Novalpina, pour 1 milliard de dollars. Les nouveaux propriétaires ont opté pour une nouvelle stratégie: sortir de l'ombre. L'entreprise a embauché des cabinets de relations publiques d'élite, a élaboré de nouvelles politiques en matière de droits de l'homme et élaboré de nouveaux documents d'auto-gouvernance. Il a même commencé à montrer certains de ses autres produits, tels qu'un système de suivi covid-19 appelé Fleming et Eclipse, qui peut pirater des drones considérés comme une menace pour la sécurité.

Pendant plusieurs mois, j’ai parlé avec les dirigeants de l’ONS pour comprendre comment l’entreprise fonctionne et ce qu’elle dit faire pour prévenir les violations des droits de l’homme commises à l’aide de ses outils. J'ai parlé à ses détracteurs, qui y voient un danger pour les valeurs démocratiques; à ceux qui demandent plus de réglementation de l'activité de piratage; et aux régulateurs israéliens chargés de le gouverner aujourd'hui. Les dirigeants de la société ont parlé de l’avenir de NSO et de ses politiques et procédures de résolution des problèmes, et ils ont partagé des documents détaillant ses relations avec les agences auxquelles elle vend Pegasus et d’autres outils. Ce que j'ai trouvé, c'est un marchand d'armes prospère – au sein de l'entreprise, les employés reconnaissent que Pegasus est une véritable arme – aux prises avec de nouveaux niveaux de contrôle qui menacent les fondations de toute son industrie.

«Une tâche difficile»

Dès le premier jour où Shmuel Sunray a rejoint NSO en tant que conseiller juridique général, il a été confronté à un incident international après l'autre. Embauché quelques jours seulement après le dépôt de la plainte de WhatsApp, il a trouvé d'autres problèmes juridiques qui l'attendaient sur son bureau dès son arrivée. Ils étaient tous centrés sur la même accusation de base: les outils de piratage de NSO Group sont vendus à des régimes riches et répressifs, et peuvent être abusés par eux, avec peu ou pas de responsabilité.

Sunray avait une grande expérience du secret et de la controverse: son ancien poste était celui de vice-président d'un important fabricant d'armes. Au cours de plusieurs conversations, il a été amical en me disant que les propriétaires lui avaient demandé de changer la culture et les opérations de l’ONS, la rendant plus transparente et essayant d’empêcher les violations des droits de l’homme. Mais il était aussi manifestement frustré par le secret qui, selon lui, l'empêchait de répondre aux critiques.

«C'est une tâche difficile», m'a dit Sunray au téléphone depuis le siège de l'entreprise à Herzliya, au nord de Tel Aviv. «Nous comprenons la puissance de l'outil; nous comprenons l'impact d'une mauvaise utilisation de l'outil. Nous essayons de faire la bonne chose. Nous avons de réels défis à relever avec le gouvernement, les agences de renseignement, la confidentialité, les nécessités opérationnelles, les limites opérationnelles. Ce n’est pas un cas classique de violation des droits de l’homme par une entreprise, car nous n’exploitons pas les systèmes – nous ne sommes pas impliqués dans les opérations réelles des systèmes – mais nous comprenons qu’il existe un risque réel d’utilisation abusive de la part des clients. Nous essayons de trouver le bon équilibre. »

Cela sous-tend l’argument de base de NSO, qui est courant parmi les fabricants d’armes: la société est le créateur d’une technologie utilisée par les gouvernements, mais elle n’attaque personne elle-même, elle ne peut donc être tenue pour responsable.

Pourtant, selon Sunray, plusieurs couches de protection sont en place pour essayer de s'assurer que les mauvaises personnes n'y ont pas accès.

Faire une vente

Comme la plupart des autres pays, Israël a des contrôles à l'exportation qui exigent que les fabricants d'armes soient titulaires d'une licence et soumis à la surveillance du gouvernement. En outre, NSO fait sa propre diligence raisonnable, dit Sunray: son personnel examine un pays, examine son bilan en matière de droits humains et examine ses relations avec Israël. Ils évaluent les antécédents de l'agence spécifique en matière de corruption, de sécurité, de financement et d'abus, ainsi que de prendre en compte dans quelle mesure elle a besoin de l'outil.

Parfois, les négatifs sont mis en balance avec les positifs. Le Maroc, par exemple, a une détérioration du bilan des droits de l'homme, mais une longue histoire de coopération avec Israël et l'Occident en matière de sécurité, ainsi qu'un véritable problème de terrorisme, de sorte qu'une vente aurait été approuvée. En revanche, NSO a déclaré que la Chine, la Russie, l'Iran, Cuba, la Corée du Nord, le Qatar et la Turquie font partie des 21 pays qui ne seront jamais des clients.

Enfin, avant qu'une vente ne soit effectuée, le comité de gouvernance, des risques et de la conformité de l'ONS doit approuver. La société affirme que le comité, composé de dirigeants et d'actionnaires, peut refuser les ventes ou ajouter des conditions, telles que des restrictions technologiques, qui sont décidées au cas par cas.

Prévenir les abus

Une fois qu'une vente est conclue, dit l'entreprise, les garde-corps technologiques empêchent certains types d'abus. Par exemple, Pegasus ne permet pas aux numéros de téléphone américains d'être infectés, dit NSO, et les téléphones infectés ne peuvent même pas être physiquement localisés aux États-Unis: si l'on se trouve à l'intérieur des frontières américaines, le logiciel Pegasus est censé s'autodétruire.

NSO dit que les numéros de téléphone israéliens sont entre autres également protégés, mais qui d'autre obtient une protection et pourquoi reste incertain.

Lorsqu'un rapport d'abus arrive, une équipe ad hoc de 10 employés au maximum est constituée pour enquêter. Ils interrogent le client au sujet des allégations et demandent des journaux de données Pegasus. Ces journaux ne contiennent pas le contenu extrait par le logiciel espion, comme les chats ou les e-mails [NSO insiste sur le fait qu'il ne voit jamais de renseignements spécifiques], mais incluent des métadonnées telles qu'une liste de tous les téléphones que le logiciel espion a tenté d'infecter et leur emplacement à ce moment-là.

https://www.documentcloud.org/documents/20384745-signed-agreement.html

Selon un récent contrat que j'ai obtenu, les clients doivent «utiliser le système uniquement pour la détection, la prévention et les enquêtes sur les crimes et le terrorisme et s'assurer que le système ne sera pas utilisé pour des violations des droits de l'homme». Ils doivent informer l'entreprise de toute utilisation abusive potentielle. NSO dit avoir résilié trois contrats dans le passé pour des infractions, y compris l'abus de Pegasus, mais il refuse de dire quels pays ou agences étaient impliqués ou quelles étaient les victimes.

«Nous ne sommes pas naïfs»

Le manque de transparence n'est pas le seul problème: les sauvegardes ont des limites. Alors que le gouvernement israélien peut révoquer la licence de NSO pour violations de la loi sur l'exportation, les régulateurs ne se chargent pas de rechercher les abus de la part de clients potentiels et ne sont pas impliqués dans les enquêtes sur les abus de l'entreprise.

De nombreuses autres procédures sont également simplement réactives. NSO n'a pas d'équipe permanente de lutte contre les abus internes, contrairement à presque toutes les autres entreprises technologiques d'un milliard de dollars, et la plupart de ses enquêtes ne sont interrompues que lorsqu'une source extérieure telle qu'Amnesty International ou Citizen Lab affirme qu'il y a eu des délits. Le personnel de l'ONS interroge les agences et les clients sous contrôle, mais ne parle pas aux victimes présumées.Bien que la société conteste souvent les rapports techniques présentés comme preuves, elle affirme également que le secret d'État et la confidentialité des affaires l'empêchent de partager davantage d'informations.

Les journaux Pegasus qui sont essentiels à toute enquête d'abus soulèvent également de nombreuses questions. Les clients de NSO Group sont des hackers qui travaillent pour des agences d'espionnage; à quel point serait-il difficile pour eux de falsifier les journaux? Dans un communiqué, l'entreprise a insisté sur le fait que ce n'était pas possible, mais a refusé de fournir des détails.

Si les journaux ne sont pas contestés, NSO et ses clients décideront ensemble si les cibles sont légitimes, si de véritables crimes ont été commis et si la surveillance a été effectuée dans le cadre d'une procédure régulière ou si les régimes autocratiques ont espionné des opposants.

Sunray, visiblement exaspéré, dit qu'il a l'impression que le secret l'oblige à opérer les mains liées derrière le dos.

«C'est frustrant», m'a-t-il dit. «Nous ne sommes pas naïfs. Il y a eu des abus. Il y aura des abus. Nous vendons à de nombreux gouvernements. Même le gouvernement américain – aucun gouvernement n'est parfait. Une mauvaise utilisation peut se produire et il faut y remédier. »

ARIEL DAVIS

Mais Sunray revient également sur la réponse standard de la société, l’argument qui sous-tend sa défense dans le procès WhatsApp: NSO est un fabricant, mais ce n’est pas l’opérateur du logiciel espion. nous construit mais ils a fait le piratage – et ce sont des nations souveraines.

Cela ne suffit pas pour de nombreux critiques. «Aucune entreprise qui pense pouvoir être le chien de garde indépendant de ses propres produits ne me convainc jamais», déclare Marietje Schaake, une politicienne néerlandaise et ancienne députée européenne. «L'idée qu'ils ont leurs propres mécanismes alors qu'ils n'ont aucun problème à vendre des logiciels espions commerciaux à quiconque veut les acheter, sachant qu'ils sont utilisés contre des défenseurs des droits humains et des journalistes – je pense que cela montre le manque de responsabilité de cette entreprise plus que tout."

Alors pourquoi la pression interne pour plus de transparence maintenant? Parce que le déluge de rapports techniques des groupes de défense des droits de l'homme, le procès WhatsApp et le contrôle gouvernemental croissant menacent le statu quo de NSO. Et s'il y a un nouveau débat sur la façon dont l'industrie est réglementée, il est avantageux d'avoir une voix puissante.

Contrôle croissant

Le piratage et le cyberespionnage licites se sont considérablement développés en tant qu'entreprise au cours de la dernière décennie, sans aucun signe de recul. Les anciens propriétaires de NSO Group ont acheté la société en 2014 pour 130 millions de dollars, soit moins d'un septième de la valorisation pour laquelle elle avait été vendue l'année dernière. Le reste de l'industrie est également en expansion, profitant de la diffusion des technologies de la communication et de l'aggravation de l'instabilité mondiale. «Il ne fait aucun doute que tout État a le droit d’acheter cette technologie pour lutter contre le crime et le terrorisme», déclare la directrice adjointe d’Amnesty International, Danna Ingleton. «Les États sont légitimement et légalement en mesure d'utiliser ces outils. Mais cela doit être davantage accompagné d'un système de réglementation qui empêche les abus et fournit un mécanisme de responsabilité en cas d'abus. » Faire la lumière sur l'industrie du piratage, soutient-elle, permettra une meilleure réglementation et une plus grande responsabilité.

Plus tôt cette année, Amnesty International était devant un tribunal en Israël, affirmant que le ministère de la Défense devrait révoquer la licence de NSO en raison des abus de Pegasus. Mais au moment où l’affaire commençait, les responsables d’Amnesty et 29 autres pétitionnaires ont été invités à quitter la salle d’audience: un bâillon était en cours de procédure à la demande du ministère. Puis, en juillet, un juge a rejeté carrément l'affaire.

«Je ne crois pas par principe et en droit que l'OSN puisse revendiquer une totale absence de responsabilité quant à la manière dont ses outils sont utilisés», déclare Agnès Callamard, rapporteure spéciale des Nations Unies. «Ce n’est pas ainsi que cela fonctionne en vertu du droit international.»

Callamard conseille l'ONU sur les exécutions extrajudiciaires et parle du NSO Group et de l'industrie des logiciels espions depuis qu'il est apparu que Pegasus était utilisé pour espionner des amis et des associés de Khashoggi peu de temps avant son assassinat. Pour elle, le problème a des conséquences sur la vie ou la mort.

Si NSO perd l'affaire WhatsApp, dit un avocat, cela remet en question toutes ces entreprises qui gagnent leur vie en trouvant des failles dans les logiciels et en les exploitant.

«Nous n’appelons pas pour quelque chose de radicalement nouveau», déclare Callamard. «Nous disons que ce qui est en place pour le moment s'avère insuffisant et que les gouvernements ou les agences de régulation doivent donc passer rapidement à une autre vitesse. L'industrie est en expansion et devrait se développer sur la base d'un cadre approprié pour réglementer les abus. C’est important pour la paix mondiale. »

Il y a eu des appels à un moratoire temporaire sur les ventes jusqu'à ce qu'une réglementation plus stricte soit adoptée, mais on ne sait pas à quoi ressemblerait ce cadre juridique. Contrairement aux armes classiques, qui sont soumises à diverses lois internationales, les cyberarmes ne sont actuellement réglementées par aucun accord mondial de maîtrise des armements. Et bien que des traités de non-prolifération aient été suggérés, il y a peu de clarté sur la façon dont ils mesureraient les capacités existantes, comment la surveillance ou l'application fonctionneraient, ou comment les règles suivraient l'évolution rapide des technologies. Au lieu de cela, la plupart des contrôles ont lieu aujourd'hui au niveau juridique national.

Aux États-Unis, le FBI et le Congrès étudient d'éventuels piratages de cibles américaines, tandis qu'une enquête menée par le bureau du sénateur Ron Wyden veut savoir si des Américains sont impliqués dans l'exportation de technologies de surveillance vers des gouvernements autoritaires. Un récent projet de loi sur le renseignement américain exigerait un rapport du gouvernement sur les logiciels espions commerciaux et la technologie de surveillance.

Le procès WhatsApp, quant à lui, a visé au cœur des activités de NSO. Le géant de la Silicon Valley fait valoir qu'en ciblant les résidents de Californie – c'est-à-dire WhatsApp et Facebook – NSO a donné au tribunal de San Francisco la compétence, et que le juge dans l'affaire peut interdire à la société israélienne de futures tentatives d'abuser des réseaux de WhatsApp et Facebook. Cela ouvre la porte à un grand nombre de possibilités: Apple, dont l'iPhone a été une cible primordiale de l'OSN, pourrait vraisemblablement organiser une attaque juridique similaire. Google a également repéré NSO ciblant les appareils Android.

Et les dommages financiers ne sont pas la seule épée suspendue au-dessus de la tête de NSO. Ces poursuites entraînent également la menace d’une découverte dans la salle d’audience, ce qui a le potentiel de faire connaître au public les détails des accords commerciaux et des clients de NSO.

«Tout dépend de la manière exacte dont le tribunal statue et de la manière dont il caractérise la violation que NSO est censée avoir commise ici», déclare Alan Rozenshtein, ancien avocat du ministère de la Justice maintenant à la faculté de droit de l'Université du Minnesota. «Au minimum, si NSO perd cette affaire, cela remet en question toutes les entreprises qui fabriquent leurs produits ou gagnent leur vie en trouvant des failles dans les logiciels de messagerie et en fournissant des services exploitant ces failles. Cela créera suffisamment d'incertitude juridique pour que j'imagine que ces clients potentiels réfléchiraient à deux fois avant de passer un contrat avec eux. Vous ne savez pas si l'entreprise continuera à fonctionner, si elle sera traînée en justice, si vos secrets seront révélés. " NSO a refusé de commenter le prétendu piratage de WhatsApp, car il s'agit toujours d'un cas actif.

«Nous sommes toujours espionnés»

Au Maroc, Maâti Monjib a fait l'objet d'au moins quatre autres attaques de piratage tout au long de 2019, chacune plus avancée que la précédente. À un moment donné, le navigateur de son téléphone a été redirigé de manière invisible vers un domaine suspect que les chercheurs soupçonnent d'avoir été utilisé pour installer silencieusement des logiciels malveillants. Au lieu de quelque chose comme un message texte qui peut déclencher l'alarme et laisser une trace visible, celui-ci était une attaque d'injection réseau beaucoup plus silencieuse, une tactique appréciée car elle est presque imperceptible, sauf pour les enquêteurs experts.

Le 13 septembre 2019, Monjib a déjeuné chez lui avec son ami Omar Radi, un journaliste marocain qui est l’un des plus féroces critiques du régime. Le jour même, une enquête a révélé plus tard que Radi a été frappé par le même type d'attaques par injection de réseau qui avait piégé Monjib. La campagne de piratage contre Radi a duré au moins jusqu'en janvier 2020, ont déclaré des chercheurs d'Amnesty International. Depuis, il est régulièrement victime de harcèlement policier.

Au moins sept autres Marocains ont reçu des avertissements de WhatsApp concernant l'utilisation de Pegasus pour espionner leurs téléphones, y compris des militants des droits humains, des journalistes et des politiciens. Ces types de cibles d'espionnage légitimes – les terroristes et les criminels – sont-ils définis dans le contrat que le Maroc et tous les clients de l'ONS signent?

En décembre, Monjib et les autres victimes ont envoyé une lettre à l’autorité marocaine de protection des données demandant une enquête et une action. Rien n’en est sorti officiellement, mais l’un des hommes, l’économiste pro-démocratie Fouad Abdelmoumni, a déclaré que ses amis de haut niveau à l’agence lui avaient dit que la lettre était désespérée et l’a exhorté à abandonner l’affaire. Le gouvernement marocain, quant à lui, a réagi en menaçant d'expulser Amnesty International du pays.

Ce qui se passe au Maroc est emblématique de ce qui se passe dans le monde. S'il est clair que les démocraties sont les principaux bénéficiaires du piratage légal, une liste longue et croissante d'enquêtes crédibles, détaillées, techniques et publiques montre que Pegasus est utilisé à mauvais escient par des régimes autoritaires ayant de longs antécédents de violations des droits de l'homme.

«Le Maroc est un pays sous un régime autoritaire qui croit que des gens comme Monjib et moi-même doivent être détruits», dit Abdelmoumni. «Pour nous détruire, avoir accès à toutes les informations est essentiel. Nous considérons toujours que nous sommes espionnés. Toutes nos informations sont entre les mains du palais.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici