Pegasus : le logiciel espion qui met des vies en péril

Dimanche, une bombe de la taille de Wikileaks a été mondialement révélée : celle de l’affaire Pegasus. Derrière ce nom emprunté à la mythologie grecque se cache un puissant logiciel d’espionnage qui, entre autres, cible les téléphones intelligents de nombreux journalistes et militants. Créé par l’entreprise israélienne NSO Group, les détails de son efficacité silencieuse donnent froid dans le dos.

Car une fois installé, il n’y a pas de limites aux données accessibles par Pegasus. Photos, vidéos, messages, liste de contacts ou de courses ; tout est susceptible d’être relevé. Et ça ne s’arrête pas là.

Pegasus peut également vous filmer, vous enregistrer, écouter vos appels, vous localiser, retracer vos itinéraires, identifier les personnes qui étaient avec vous, accéder à votre calendrier et lire votre historique Internet. C’est à ce jour l’un des outils d’espionnage les plus puissants — et donc prisés — qui puisse exister sur le marché.

Tout dispositif d’espionnage nécessite une porte d’entrée vers sa cible. Pour Pegasus, deux ont pu être identifiées.

La première est possible via messages dits de «phishing». Si vous recevez par exemple un faux courriel de PayPal vous menaçant d’une fermeture de compte à moins que vous ne cliquiez sur un lien spécifique, il est probable qu’un logiciel malveillant n’attende que cette action pour récolter l’intégralité de vos informations personnelles par la suite.

Un second mode d’infiltration est celui que l’on nomme «zéro clic» ou encore «vulnérabilité du jour 0». Tout comme ce dernier nom l’indique, il s’appuie sur les premiers défauts de fabrication présents dans les nouveaux modèles de cellulaires que le fabricant lui-même n’aurait pas encore remarqués. Et Apple n’est pas à l’abri, loin de là. Pegasus profite continuellement des failles de iMessage pour s’implanter dans les iPhones.

Dans tout cela, jamais l’utilisateur ne soupçonnera ses faits et gestes virtuels surveillés 24/7 — et sans doute est-ce la partie la plus effrayante.

Les soupçons ne datent pas d’hier. Les preuves, elles, oui.

En 2016, le militant émirati Ahmed Mansoor était parmi les premiers lanceurs d’alerte au sujet du véritable usage de Pegasus. En 2019, WhatsApp avait admis avoir subi une attaque sur pas moins de 1400 téléphones par le biais de la technique « zéro clic ». En 2020, une étude menée par le Laboratoire Citoyen de l’Université de Toronto avait révélé la présence de ce logiciel espion dans les téléphones d’une dizaine d’employés de la chaîne d’information Al-Jazeera.

Ces soupçons de plus en plus flagrants ont poussé la plateforme française Forbidden Stories à mettre en place un réseau de journalistes issus de dix-sept médias internationaux (dont Le Monde et le Washington Post) afin d’aller au fond des choses avec le «Projet Pegasus».

Aidés par l’ONG Amnistie internationale, ils ont eu accès à une étonnante liste de 50 000 numéros surveillés par le logiciel d’espionnage depuis 2016. Parmi ces numéros: 180 journalistes, 85 militants, 65 chefs d’entreprises et 600 personnalités politiques dont un chef d’État à l’identité gardée secrète.

Afin d’être certains de leur découverte, le groupe de journalistes a collaboré avec 67 personnes présentes sur la liste pour que leurs téléphones soient analysés dans les laboratoires d’Amnistie internationale. Les résultats ont révélé la présence de Pegasus dans 37 d’entre eux. S’agissant des 30 autres, il a été théorisé qu’un changement d’appareil a interrompu l’espionnage, Pegasus s’implantant sur le téléphone plutôt que dans la puce.

C’est donc ainsi que les résultats ainsi que l’enquête entière ont été publiés massivement par les dix-sept rédactions auxquelles appartenaient les journalistes du « Projet Pegasus ». L’information a ensuite pu être rapidement relayée dans le reste du monde.

Certaines révélations ne sont que trop troublantes pour ne pas faire de tragiques parallèles. Grâce à cette liste, par exemple, il est de notoriété publique que le journaliste mexicain Cecilio Pineda Birto était surveillé quelques semaines seulement avant d’être assassiné. De même pour le journaliste saoudien Jamal Kashoggi tué à Istanbul dont deux proches se trouvaient listés sur cet annuaire.

Si auparavant l’entreprise NSO se défendait des allégations en promouvant l’aide à la lutte antiterroriste prodiguée par le logiciel, toute possibilité de défense semble se rapprocher de zéro, à présent. La compagnie continue cependant de nier la nature malveillante de Pegasus, qualifiant les conclusions d’enquête de «fausses accusations […] qui n’ont pas de bases actuelles» dans un communiqué consultable sur son site.

Tout ceci nous laisse avec un sentiment d’insécurité et de frayeur. Beaucoup de questions se posent, autant du point de vue de la liberté d’expression que de celle de liberté de la presse, sans parler des enjeux de cybersécurité. Sommes-nous bien protégés en ce moment même? Avons-nous déjà été espionnés? Et que pouvons-nous faire pour échapper à ce type de surveillance? «C’est une question que l’on me pose à peu près tout le temps», relate Claudio Guarnieri, directeur du Laboratoire de Sécurité d’Amnistie internationale à Berlin, avant de terminer sur une note aussi pessimiste que réaliste : «La réponse honnête est : rien.»