Richard Silverstein2 septembre 2017

En permettant aux gouvernements de pirater les téléphones de leurs citoyens, une société israélienne de cybersécurité a sans doute rendu le monde plus dangereux pour les activistes des droits de l’homme qui luttent contre l’impunité des entreprises et des États

Alors que les smartphones ont proliféré au cours des dernières années et sont devenus des outils de communication indispensables pour nous tous, les start-ups spécialisées dans le piratage de ces téléphones au nom de gouvernements – notamment des services militaires, de renseignement et de police – se sont également multipliées.

Les clients de ces start-ups se servent des nouvelles technologies pour surveiller les criminels et les terroristes afin de détecter et de perturber leurs plans. C’est un usage légitime. Mais il y en a d’autres qui sont beaucoup plus lucratifs pour les entreprises – et beaucoup moins convenables pour des sociétés transparentes.

Prenons l’exemple de l’activiste des droits de l’homme émirati Ahmed Mansour. En août 2016, il a reçu un message de hameçonnage semblant provenir d’une source légitime. Il s’est toutefois montré méfiant et a immédiatement envoyé son téléphone au Citizen Lab de l’université de Toronto pour une analyse légale.

Il est ressorti de cette analyse que les autorités émiraties avaient acheté Pegasus, le plus puissant programme malveillant jamais créé et mis sur le marché, à la société israélienne NSO Group.

Si Mansour avait ouvert le lien, ce programme aurait pris le contrôle de son téléphone et donné à la police accès non seulement à tous les éléments de son téléphone (e-mails, contacts et SMS, par exemple), mais aussi à son appareil photo et à ses fonctionnalités vidéo et audio. La police aurait entendu et vu tous ses faits et gestes et aurait pu anticiper toutes ses actions.

L’offensive de Pegasus

Dans un cas connexe survenu en 2016, les autorités émiraties ont également utilisé Pegasus dans une tentative de hameçonnage visant le journaliste de Middle East Eye Rory Donaghy, qui a écrit des articles critiques sur les abus commis par le régime autocratique du pays. Au cours d’une enquête sur cette attaque, le Citizen Lab a découvert que 1 100 activistes et journalistes des Émirats arabes unis avaient été ciblés de manière similaire et que le gouvernement avait payé 600 000 dollars au groupe NSO pour effectuer ces tentatives.

Bien qu’il s’agisse d’un produit commercial, Pegasus – comme plusieurs autres logiciels espions similaires actuellement sur le marché – est aussi clairement un outil politique permettant aux régimes autocratiques d’espionner leurs propres citoyens.

En fait, j’irais même plus loin : Pegasus est souvent utilisé comme une cyberarme offensive par l’élite mondiale pour protéger ses intérêts et entraver la surveillance légitime effectuée par les ONG et les autres communautés militantes.

« Le gouvernement achète [la technologie] et peut l’utiliser comme il le souhaite », a déclaré au Huffington Post Bill Picard Marczak, chercheur au Citizen Lab, qui a analysé plusieurs campagnes de surveillance ayant d’après lui été menées à l’aide de Pegasus.

« Dans le fond, ce sont des marchands d’armes numériques. »

Ces dernières semaines, le groupe d’investissement privé qui détient NSO Group, actuellement évalué à 1 milliard de dollars, essaie de vendre l’entreprise, suscitant de vives questions chez les activistes des droits numériques quant à savoir si un nouvel investisseur restreindra l’utilisation présumée du logiciel espion de l’entreprise par les gouvernements contre les dissidents politiques et les activistes.

De l’armée à la technologie

S’il existe plusieurs entreprises qui fabriquent ce type de logiciels malveillants dans divers pays, certaines des plus florissantes se trouvent toutefois en Israël.

C’est principalement le résultat de l’unité 8200 (SIGINT), la plus grande unité de l’armée israélienne, qui surveille, intercepte et espionne les ennemis d’Israël au Moyen-Orient et à travers le monde.

Ses officiers reçoivent la formation la plus avancée en matière de renseignement d’origine électromagnétique et utilisent et créent les technologies les plus sophistiquées. Quand ils ne sont plus en service, le monde de la technologie leur est ouvert. Ils peuvent décrocher des emplois lucratifs auprès d’entreprises majeures ou exploiter l’expertise qu’ils ont acquise au sein de l’armée pour fonder leur propre start-up.

Certaines des plus florissantes sont Waze, Wix, Taboola, NICE Systems, Amdocs, Onavo (acquise par Facebook pour 150 millions de dollars), Checkpoint, Mirabilis et Verint.

Beaucoup de projets impliquent la cybersécurité, car c’est ce que l’unité 8200 est destinée à vaincre dans ses efforts d’interception des communications des forces ennemies d’Israël. Certaines entreprises se concentrent sur la protection de la cybersécurité. Ce sont les gentils, ou, dans la terminologie des hackers, les white hats.

Mais d’autres continuent dans la même direction que celle que les hackers de l’unité 8200 ont poursuivie pendant leur service : ils se destinent à vaincre les dispositifs de sécurité de différents systèmes.

La plus florissante de ces entreprises est peut-être NSO Group, basée à Herzliya, qui ambitionne dans sa devise de « rendre le monde plus sûr ». Mais la société a sans doute rendu le monde beaucoup plus dangereux pour un large éventail d’activistes des droits de l’homme et politiques qui luttent contre l’impunité des entreprises et des gouvernements.

Des vulnérabilités à plusieurs milliards de dollars

NSO a été fondée en 2010 par deux vétérans des Forces de défense d’Israël (FDI), Shalev Hulio et Omri Lavie, qui n’étaient pas eux-mêmes des vétérans de l’unité 8200 (bien que des informations laissent entendre le contraire). Selon la publication israélienne Globes, Lavie a servi dans le corps d’artillerie et Hulio dans le service de recherche et de sauvetage.

À l’école secondaire, ni Hulio, ni Lavie n’étaient des étudiants particulièrement brillants et, selon les informations publiées par Globes, ils passaient beaucoup de temps ensemble sur la plage. Après avoir quitté les FDI, ils ont décidé de devenir entrepreneurs dans le domaine d’Internet.

NSO est leur troisième entreprise et de loin la plus florissante. Sa genèse relève d’un simple concours de circonstances, selon ses fondateurs. De nombreux clients leur avaient demandé s’il existait un moyen de prendre le contrôle d’un téléphone portable sans avoir accès physiquement au combiné réel.

Même s’ils étaient certains que cela existait, ils n’ont trouvé aucun ingénieur technique ayant une idée de la manière de concrétiser cette idée. Jusqu’au jour où, assis dans un café, les deux hommes ont entendu par hasard des vétérans de l’unité 8200 discuter justement d’une telle possibilité. Ainsi, en 2010, à l’époque même où les smartphones vivaient une transformation, passant d’objets à usage unique à des appareils quotidiens, multi-usage et indispensables, ils ont fondé NSO.

Ils ont commencé à se faire une clientèle dans les rangs des forces de police de divers pays, offrant la possibilité d’espionner les suspects d’une manière à laquelle personne n’avait jamais pensé. Ils ont créé une filiale de vente aux États-Unis, WestBridge Technologies, afin d’améliorer la pénétration commerciale de leurs produits dans l’un de leurs plus grands marchés potentiels.

À travers Francisco Partners, la société de capital-risque qui a racheté NSO en 2015, cette dernière s’est retrouvée dans le giron d’une entreprise qui possédait un certain nombre d’autres sociétés de télécommunications offrant des informations d’initiés cruciales pour améliorer leurs capacités de piratage.

Intelligence Online rapporte par exemple que Boaz Goldman est le président du conseil d’administration d’Inno Networks, qui installe des réseaux de communication mobile (3G et 4G). Il venait de rejoindre le conseil d’administration d’une holding basée au Luxembourg qui inclut NSO Group dans une relation financière compliquée. Cet accord commercial donne à l’entreprise de cyberarmes un accès direct aux mêmes réseaux (SS7 – système de signalisation n°7) utilisés pour transmettre les SMS, les e-mails, les appels téléphoniques, les données de géolocalisation et les clés de chiffrement.

NSO a également commencé à cultiver des sources qui lui ont donné accès à des prototypes de téléphones portables avant leur mise sur le marché, ce qui lui a permis de procéder à des analyses permettant à ses ingénieurs de rechercher des vulnérabilités zero-day susceptibles de leur accorder un accès complet aux téléphones que leurs clients cherchaient à cibler.

Une zone grise

Vous pourriez penser que les fabricants de téléphones portables surveillent leurs produits comme le camp militaire de Fort Knox et refusent de les livrer au regard envieux de hackers comme ceux de NSO. Mais l’entreprise opère dans une zone grise et parvient à obtenir ce dont elle a besoin de diverses sources tant à l’intérieur qu’à l’extérieur des entreprises manufacturières.

Avant les téléphones portables, les criminels communiquaient comme le faisaient les autres : par téléphone fixe, par courrier ou en personne. La technologie permettant d’intercepter ou de surveiller ces interactions était simple et primitive : pour les téléphones, il s’agissait d’une table d’écoute physique sur une ligne téléphonique.

La mise sur écoute devait vraisemblablement être approuvée par un juge puis appliquée avec l’aide de la société de téléphonie. Certaines mesures permettaient de surveiller le processus et celles-ci étaient généralement respectées, du moins dans les sociétés démocratiques.

La communication électronique a changé toutes les règles en ouvrant de nouveaux modes d’espionnage. Il est désormais possible d’intercepter de l’extérieur les signaux de communication entre des correspondants. NSO a profité de cela en développant un programme qui, une fois téléchargé, pouvait prendre le contrôle du téléphone portable de l’utilisateur.

Il n’était donc plus nécessaire d’intercepter les appels car le client de NSO se trouvait, dans les faits, à l’intérieur-même du téléphone. Les forces de police et les gouvernements pouvaient perturber les complots visant à commettre des crimes ou des attaques terroristes avant que ceux-ci ne se produisent et ainsi préserver l’ordre public.

Une faille très large

Mais cette technologie autrement bénéfique comportait une faille : NSO Group ne contrôlait que ceux qui achetaient la technologie, pas ses utilisateurs ultimes. Le client initial pouvait la proposer à des particuliers ou des agences gouvernementales, voire créer une identité commerciale fictive pour dissimuler son usage ultime de Pegasus.

NSO affirme suivre toutes les réglementations israéliennes régissant l’exportation de ses produits et ne vendre qu’à des alliés d’Israël et jamais à ses ennemis. L’entreprise prétend également qu’elle ne vend qu’aux gouvernements et jamais à des particuliers ou à des utilisateurs non autorisés. Selon ses affirmations, Pegasus est uniquement destiné à combattre les criminels et les terroristes et n’est jamais censé être utilisé à des fins politiques.

L’entreprise note néanmoins qu’une fois qu’elle vend le produit, elle n’a aucun contrôle (du moins, l’affirme-t-elle) sur l’identité des utilisateurs ou sur la manière dont la technologie est utilisée. Cette faille suffisamment large pour y faire passer un camion permet à NSO – et à plus d’une dizaine d’autres entreprises d’espionnage numérique qui proposent des programmes similaires – de se soustraire à leur responsabilité quant aux usages douteux de leur technologie.

Dans le cas d’Ahmed Mansour, le piratage était dirigé contre un citoyen considéré par l’État comme un criminelMais il n’est d’aucune manière un criminel au sens où le reconnaîtrait une société démocratique. Il n’a pas été accusé d’avoir commis un crime, d’avoir volé quelqu’un ou posé une bombe. En 2011, il a été condamné à trois ans de prison pour insulte à l’État (il a ensuite été gracié et libéré), ce qui était apparemment suffisant dans un régime autocratique comme celui des Émirats arabes unis pour nourrir des suspicions à son encontre.

La technologie de NSO est également tombée entre de mauvaises mains au Mexique. Comme l’a rapporté le New York Times, les téléphones de militants politiques et d’activistes des droits de l’homme et anti-corruption mexicains qui enquêtaient sur des crimes potentiellement commis par le gouvernement et ses agents ont été infectés par Pegasus. D’après le Times, les victimes ont remarqué pour la première fois les intrusions à l’été 2016.

L’un d’eux était un avocat qui représentait les parents de 43 étudiants universitaires assassinés par la police mexicaine dans une affaire qui n’a jamais fait l’objet de poursuites. D’autres enquêtaient sur une affaire de corruption concernant des dirigeants d’entreprises de haut niveau en collusion avec des élus.

Selon des e-mails internes de NSO datés de 2013 consultés par le New York Times, le gouvernement mexicain a versé à NSO plus de 15 millions de dollars pour trois projets. Les responsables mexicains ont nié toute implication dans des activités d’espionnage et ouvert une enquête.

Ces usages constituent des violations de la licence d’exportation israélienne en vertu de laquelle NSO a vendu son produit. Il est toutefois peu probable que les responsables israéliens interviennent dans ce cas. Leur intérêt est de promouvoir les exportations israéliennes, pas de les étouffer. Ils ne se voient pas non plus comme les détenteurs d’un rôle de contrôleurs éthiques face au comportement des entreprises israéliennes.

Middle East Eye a contacté l’Agence de contrôle des exportations du ministère israélien de la Défense afin de recueillir des commentaires sur sa relation avec NSO. Aucune réponse n’a été reçue au moment de la publication de cet article. Nous avons également posé des questions au bureau de presse du ministère de la Défense, également restées sans réponse au moment de la publication.

À titre d’exemple, de nombreux exportateurs d’armes israéliens sont soupçonnés de participer à des actes de corruption et à d’autres pratiques frauduleuses dans le but de remporter des contrats d’armement auprès d’armées étrangères. Peu de ces entreprises ont fait l’objet d’enquêtes de la part des autorités israéliennes, bien que plusieurs aient été interdites de faire affaire dans de nombreux pays.

Le Citizen Lab a indiqué à Forbes que NSO avait enregistré des noms de domaine en Israël, au Kenya, au Mozambique, au Yémen, au Qatar, en Turquie, en Arabie saoudite, en Ouzbékistan, en Thaïlande, au Maroc, en Hongrie, au Nigéria et à Bahreïn, ce qui laisse entendre que Pegasus a pu être utilisé dans ces pays, malgré l’absence de preuves claires.

Selon des e-mails, des contrats et des propositions internes à NSO consultés par le New York Times, NSO a facturé 650 000 dollars à des clients pour espionner dix propriétaires d’iPhone, en plus d’un tarif d’installation de 500 000 dollars.

On comprend clairement à quel point ce marché pourrait représenter une mine d’or – mais aussi pourquoi NSO pourrait être tenté de délaisser les considérations éthiques pour maximiser son potentiel de rentabilité. Middle East Eye a contacté un des cofondateurs de NSO et le publiciste de l’entreprise pour recueillir des commentaires. Aucun des deux n’a souhaité répondre.

En entrepreneurs intelligents, Lavie et Hulio ont décidé qu’ils devaient jouer des deux côtés. C’est ainsi qu’en 2013, ils ont lancé Kaymera, une autre start-up technologique basée à Herzilya qui est, cette fois, destinée à protéger les clients contre les cyberintrusions indésirables.

Dans la plupart des autres entreprises commerciales, un tel franchissement de frontière déclencherait les voyants rouges. Le partage de connaissances pouvait comporter des avantages : dès qu’un ingénieur de NSO apprenait la vulnérabilité d’une entreprise, il pouvait partager cette information avec Kaymera pour la réparer.

Mais l’inverse pouvait se produire tout aussi facilement : Kaymera pouvait notifier NSO au sujet d’une vulnérabilité découverte dans les systèmes de communication ou informatiques d’un client. Ces connaissances pouvaient dans les faits être monétisées au nom des deux sociétés. Middle East Eye a contacté Kaymera pour recueillir des commentaires, mais n’a pas obtenu de réponse de l’entreprise.

Le problème est que, dans un État axé sur la sécurité nationale comme l’est Israël, les considérations éthiques comme celles-ci sont rangées derrière la sécurité mais aussi derrière les gains financiers.

Licorne et poule aux œufs d’or

La clientèle croissante de NSO et les revenus que l’entreprise a générés ont attiré l’attention de sociétés de capital-risque à la recherche d’opportunités d’investissement lucratives. L’une d’entre elles était le groupe d’investissement privé américain Francisco Partners.

En 2014, l’entreprise a acheté une participation majoritaire dans NSO pour un montant de 120 millions de dollars. Les meilleures sociétés de capital-risque investissent à long terme dans une offre d’entreprise ; il n’est pas seulement question d’investissements en capital, mais aussi de conseils stratégiques et de gouvernance. Néanmoins, d’autres investissent à court terme. Ce fut le cas de Francisco.

Fait intéressant, Francisco Partners et une ramification de NSO ont collaboré par le passé avec l’ancien conseiller à la sécurité nationale de l’administration Trump, Michael Flynn, qui a démissionné en février suite à des spéculations portant sur ses liens avec la Russie.

Selon certaines déclarations de situation financière, une ramification de NSO basée au Luxembourg, OSY Group, a versé à Flynn 40 280 dollars pour son rôle de membre du conseil consultatif de mai 2016 au mois de janvier dernier. Flynn, qui aurait travaillé pour plusieurs entreprises de cybersécurité, a également été consultant pour le propriétaire de NSO, Francisco Partners, mais n’a jamais révélé le montant que la société lui a versé.

Un mois avant que Flynn n’ait rejoint le conseil consultatif d’OSY, NSO Group a ouvert dans la région de Washington D.C. une nouvelle branche appelée WestBridge Technologies qui, selon le Huffington Post, « concourt pour remporter des contrats auprès du gouvernement fédéral afin de commercialiser des produits de NSO Group. L’embauche de Flynn allait apporter à NSO Group une figure bien connectée à Washington et l’aider ainsi à mettre un pied dans le monde notoirement insulaire de la budgétisation des renseignements secrets. »

Francisco Partners a détenu NSO pendant seulement un an avant de commencer à chercher à la vendre sur la base d’une estimation à un milliard de dollars. Au cours des dernières semaines, Blackstone Group, l’une des plus grandes sociétés d’investissement de Wall Street, aurait accepté d’acquérir une participation de 40 % dans NSO.

L’investissement de 400 millions de dollars de Blackstone aurait fait de NSO une « licorne » (une start-up évaluée à un milliard de dollars ou plus) et offert à ses fondateurs – et à Francisco Partners – une rémunération énorme.

Compte tenu de la pénétration accrue du marché mondial que l’investissement de Blackstone aurait apporté à NSO, ces informations ont alarmé les activistes de la liberté sur Internet.

Access Now, une ONG américaine qui défend un Internet libre et ouvert, a créé une pétition et une campagne en ligne pour informer le public sur le modèle commercial de NSO. Le Citizen Lab a rejoint le projet en écrivant une lettre ouverte au conseil d’administration de Blackstone, l’exhortant à « examiner attentivement les conséquences en matière de droits de l’homme et d’éthique » de leur investissement potentiel.

Le retrait de Blackstone

La semaine dernière, on a rapporté que Blackstone s’était retiré des discussions avec NSO sans finaliser d’accord. Répondant à une demande de commentaires formulée par Middle East Eye le jour de l’annonce de la fin des discussions, un représentant de Blackstone a refusé de commenter la transaction. Une autre société de capital-risque, ClearSky Technologies, aurait accepté d’acheter une participation de 10 % dans NSO. Mais cette société a confirmé à Middle East Eye qu’elle n’investirait pas non plus dans l’entreprise.

Un porte-parole de NSO s’exprimant pour Reuters a refusé de discuter des pourparlers ou de la raison de leur échec.

« Cette transaction avortée devrait montrer aux autres groupes d’investissement privé, y compris au propriétaire actuel de NSO, Francisco Partners, qu’il n’y a rien à gagner – et beaucoup à perdre – en investissant dans des violations des droits de l’homme »

– Peter Micek, avocat général d’Access Now

Il semble toutefois probable que la controverse générée par Access Now et les questions soulevées par les journalistes aient poussé la société à prendre garde à la responsabilité qu’elle allait devoir assumer.

« Tant que Blackstone ne s’exprime pas, nous ne saurons pas s’ils ont entendu la voix des défenseurs des droits de l’homme, des journalistes et des victimes de crimes dont la vie a été bouleversée par les outils de NSO Group », a déclaré Peter Micek, avocat général d’Access Now.

« Mais cette transaction avortée devrait montrer aux autres groupes d’investissement privé, y compris au propriétaire actuel de NSO, Francisco Partners, qu’il n’y a rien à gagner – et beaucoup à perdre – en investissant dans des violations des droits de l’homme. »

Tout cela soulève une nouvelle fois des questions sur la façon dont NSO fait affaire et sur les faiblesses de son modèle éthique. Par exemple, pourquoi Pegasus échappe-t-il à la vue et au contrôle de NSO une fois qu’il en accorde la licence à un client ? Pourquoi l’entreprise ne peut-elle pas introduire des dispositions explicites stipulant qui peut l’utiliser et comment ?

De nouvelles conditions d’utilisation

Il semble ridicule qu’une entreprise dont les technologies sont conçues pour infiltrer et surveiller les activités d’individus ciblés ne soit pas en mesure de surveiller les usages auxquels ses produits sont soumis.

Bien sûr, si NSO pouvait surveiller la façon dont les clients utilisent ses produits, l’entreprise pourrait être tenue responsable si ces derniers enfreignaient les conditions d’utilisation. Les activistes des droits de l’homme ciblés ou emprisonnés à cause de Pegasus pourraient éventuellement poursuivre NSO dans certaines juridictions pour les souffrances qu’ils ont subies. Ce serait là encore une autre raison pour NSO de préférer ignorer ce qui se passe une fois que le logiciel malveillant quitte ses serveurs.

Il est impératif que les potentiels futurs acheteurs soient conscients de ces inquiétudes et y répondent de manière constructive. De même, les États qui sont déjà clients de NSO doivent faire beaucoup mieux pour surveiller la façon dont la technologie de surveillance est utilisée dans leur juridiction.

Les pays qui envisagent de devenir clients de NSO doivent également créer des garanties pour faire en sorte que Pegasus ne soit utilisé que contre les vrais méchants et non contre les civils, les défenseurs de la santé publique, les avocats, les journalistes ou les activistes politiques.

Richard Silverstein 2 septembre 2017

Richard Silverstein est l’auteur du blog « Tikum Olam » qui révèle les excès de la politique de sécurité nationale israélienne. Son travail a été publié dans Haaretz, le Forward, le Seattle Times et le Los Angeles Times. Il a contribué au recueil d’essais dédié à la guerre du Liban de 2006, A Time to speak out (Verso) et est l’auteur d’un autre essai dans une collection à venir, Israel and Palestine: Alternative Perspectives on Statehood (Rowman & Littlefield).

Source: Middleeasteye.net