Recevez chaque jour toute l'actualité du numérique

x

La possible chute de NSO changera-t-elle réellement le paysage du cyberespionnage ?

NSO Group est dans la tourmente suite aux révélations sur l'utilisation faite de son logiciel par les États constituant ses clients. Après avoir été placée sur liste noire par Washington, elle est la cible d'une plainte déposée par Apple. Mais la chute de l'entreprise israélienne ne changera pas grand-chose au paysage du cyberespionnage.
Twitter Facebook Linkedin Flipboard Email
×

La possible chute de NSO changera-t-elle réellement le paysage du cyberespionnage ?
La possible chute de NSO changera-t-elle réellement le paysage du cyberespionnage ? © Alice Vitard

NSO Group est en mauvaise posture depuis l'affaire d'espionnage impliquant son outil Pegasus, révélée en juillet 2021 par un consortium de journalistes coordonné par Forbidden Stories et le Security Lab d'Amnesty International. L'entreprise israélienne, composée majoritairement d'anciens membres de l'Unité 8200 de l'armée israélienne, est malmenée par les révélations sur l'utilisation que font les États de son logiciel espion. A la surprise générale (non), ils s'en seraient notamment servis pour infiltrer les téléphones de personnalités publiques, militants et journalistes.

Apple dépose plainte 
Placée sur liste noire par Washington en novembre 2021, NSO Group est désormais dans le collimateur d'Apple qui vient d'annoncer avoir déposé une plainte aux Etats-Unis. Il l'accuse d'avoir "surveillé de manière abusive les utilisateurs d'Apple". Il demande également au juge "une injonction permanente pour interdire à NSO Group d'utiliser [ses] logiciels, services et appareils".

Pour rappel, une faille dans iMessage – colmatée depuis – a permis aux utilisateur du logiciel Pegasus de s'infiltrer dans les iPhones, iPads, Macs et Apple Watchs de ses victimes. Un véritable coup dur pour Apple qui place la sécurité et la confidentialité au cœur de son discours marketing. Or, cette découverte faite par le Citizen Lab, un laboratoire de recherche pluridisciplinaire de l'Université de Toronto au Canada, rappelle que ses produits sont loin d'être imperméables aux vulnérabilités informatiques, contrairement à ce qu'affirme régulièrement la firme de Cupertino.

En parallèle, Apple n'hésite pas à se présenter comme le chevalier blanc en annonçant une contribution de 10 millions de dollars ainsi que le versement des éventuels dommages et intérêts obtenus grâce à sa plainte à "des entités engagées dans la recherche et la défense en cybersurveillance". Une posture difficilement réconciliable avec le passif de l'entreprise américaine, qui s'est toujours montrée relativement hostile envers les chercheurs en cybersécurité indépendants. Elle limite notamment l'accès aux rouages de son système d'exploitation mobile, ce qui fait mécaniquement que moins de vulnérabilités sont découvertes par les chercheurs... mais ne signifie pas qu'elles n'existent pas pour autant.

La France joue la carte de l'apaisement
Contrairement aux Etats-Unis, la France – dont de nombreuses personnalités auraient été espionnées par Pegasus – a préféré jouer l'apaisement. En novembre 2021, en marge de la conférence sur le climat COP26 à Glasgow en Ecosse, le président de la République Emmanuel Macron a rencontré le Premier ministre israélienne Naftali Bennet. "M. Bennett a évoqué le dossier NSO lors de sa rencontre avec le président Macron. Les deux dirigeants se sont entendus sur le fait que cette question doit continuer d'être traitée de manière discrète et professionnelle, et dans un souci de transparence entre les parties", a déclaré une source diplomatique à Jérusalem, citée par Le Figaro.

L'Hexagone connaît bien NSO Group. L'entreprise a déjà approché "plusieurs services de police ou de renseignement" pour leur vendre ses outils par le passé, mais "aucun n'a acquis de licence pour le logiciel", d'après les informations du Monde. Cette décision aurait été prise "pour des raisons de souveraineté technologique comme de 'risque réputationnel'" car l'entreprise israélienne vend son logiciel à une multitude de régimes autoritaires, comme le Kazakhstan ou le Rwanda.

Pourtant, les journalistes du MIT Technology Review affirment dans un article publié le 23 novembre 2021 que "les autorités françaises étaient sur le point d'acheter" Pegasus. Ce sont les révélations du consortium de journalistes qui les auraient faits reculer. Contacté par Euractiv, l'Elysée a démenti cette accusation.

NSO Group face à des difficultés financières
Quoi qu'il en soit, NSO Group a dû revoir ses plans. Prévue initialement pour 2021, son introduction en bourse devrait désormais attendre 2023, d'après le Financial Times qui rapporte que les créanciers de l'entreprise s'inquiètent de plus en plus. En effet, elle a jusqu'en 2025 pour rembourser 350 millions de dollars de dettes à BlackRock, Ellington Management et Birch Grove notamment. Une opération particulièrement complexe depuis le placement sur liste noire par le département du commerce américain.

Les sanctions américaines ont également poussé Itzik Benbenisti a quitté le poste de directeur deux semaines seulement après l'avoir accepté. Pour justifier sa démission, il a également cité les difficultés économiques actuellement rencontrées par l'entreprise.

L'arbre qui cache la forêt
En réalité, l'affaire Pegasus n'est qu'une nouvelle illustration des accusations qui pèsent sur NSO Group depuis plusieurs années. En effet, l'entreprise a déjà été accusée d'utiliser les données téléphoniques de localisation de milliers de personnes pour son application de tracking du Covid-19. Baptisée "Fleming", elle permet de voir où se trouvait à tel instant un utilisateur, qui il a rencontré, à quel endroit et pendant combien de temps.

En parallèle, l'entreprise était visée par une plainte déposée par Meta (ex Facebook) via sa filiale WhatsApp devant un tribunal fédéral de Californie. Elle souhaitait que la justice interdise NSO Group d'accéder aux systèmes informatiques de la messagerie instantanée.

En mai 2019, Amnesty International a également porté plainte contre la société israélienne devant la cour de district de Tel Aviv pour obliger le ministère israélien de la Défense à révoquer la licence d'exportation accordée à l'entreprise. L'ONG affirmait que le logiciel Pegasus avait été utilisé par des gouvernements pour attaquer au moins 24 défenseurs des droits humains, journalistes et parlementaires au Mexique, un membre du personnel de l'ONG, les militants saoudiens Omar Abdulaziz, Yahya Assiri et Ghanem Al Masarir, le militant des droits humains Ahmed Mansoor (lauréat du prix Martin Ennals pour les défenseurs des droits humains) et, selon certaines informations, Jamal Khashoggi, un dissident saoudien qui a été assassiné.

Quelle régulation pour les outils de cyberespionnage ?
Mais évidemment, la chute de NSO Group ne signifie absolument pas la fin du cyberespionnage. En l'absence de réglementation, un véritable marché s'est constitué. On peut citer les entreprises comme Palantir ou encore Candiru, qui a également été placée sur liste noire par les Etats-Unis.

L'affaire Pegasus a d'ailleurs relancé le débat sur la régulation des logiciels espion, dont le statut juridique manque de clarté. Un groupe d'experts de l'Organisation des Nations unies (ONU) a appelé à un moratoire sur "la vente et le transfert de technologies de surveillance". Ils souhaitent que les Etats interdisent leur commercialisation tant qu'une réglementation "solide" garantissant que leur utilisation se fasse conformément aux normes internationales soit adoptée. En effet, ils se disent inquiets par le fait que "des outils intrusifs hautement sophistiqués soient utilisés pour surveiller, intimider et réduire au silence les défenseurs des droits humains, les journalistes et les opposants politiques".

Mais il semble relativement compliqué de trouver un terrain d'entente entre les 193 membres de l'ONU puisque les Etats se servent eux-mêmes de ces logiciels. A l'échelle européenne, alors que les décideurs sont plus restreints, le débat est loin d'être tranché et les choses avancent très lentement. En novembre 2020,  le Conseil et le Parlement européen ont réussi à s'accorder sur un texte qui restreint l'exportation des technologies de "cybersurveillance" à double usage civil et militaire vers des Etats non respectueux des droits fondamentaux. Le texte n'a toujours pas été approuvé définitivement. Des rumeurs affirmaient que le Conseil était bloqué par l'Allemagne, pays qui représente environ 50 à 60% des exportations de l'UE de biens dits à double usage.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.