La commercialisation des logiciels espions doit être régulée, estiment, dans une tribune au « Monde », l’entrepreneur André Loesekrug-Pietri et le chercheur Charles Thibout. (Le Monde, extraits)
Tribune.
Les révélations du consortium Forbidden Stories et d’Amnesty International sur les programmes d’espionnage menés à l’aide du logiciel Pegasus de la société NSO mettent en exergue le développement d’un marché de l’armement numérique visant des politiques, des journalistes, des opposants politiques et des défenseurs des droits humains, et non plus seulement des criminels ou des terroristes. Une pratique d’autant plus ennuyeuse qu’elle ne touche pas seulement les dictatures : NSO est israélienne ; Amesys, société commercialisant un outil de surveillance des communications Internet, cellulaires et satellitaires à la Libye, est française, tout comme la société fondée par ses anciens dirigeants, Nexa Technologies, soupçonnée de fournir des outils permettant le ciblage d’opposants en Egypte.
Le logiciel Pegasus repose sur l’exploitation de vulnérabilités dites « zero-day », c’est-à-dire des failles inconnues des éditeurs des logiciels infectés. D’après l’enquête, ce logiciel et l’infrastructure correspondante sont vendus à des Etats dans le but manifeste de dérober des données grâce à ces failles présentes sur iOS et Android qui sont soit découvertes par les équipes de NSO, soit acquises à prix d’or sur des places de marché spécifiques comme Zerodium.
Ce marché des armes numériques s’inscrit dans un contexte plus large de banalisation et de légalisation des actes de piratage par les Etats ou à leur service. La question est de savoir quelle est la légitimité de ce marché de l’armement numérique. En l’occurrence, avec NSO, il ne peut être que marginalement question de lutte contre la criminalité et le terrorisme : le crime organisé et les groupes terroristes ont massivement abandonné l’usage des smartphones, peu protégés face aux outils d’interception modernes dont disposent les Etats ; ils privilégient des technologies plus anciennes, des téléphones jetables qui ne comportent pas de telles failles.
De la sorte, la réponse politique pourrait être d’interdire la recherche (vénale) de failles zero-day et de pénaliser la vente et l’achat de telles vulnérabilités. Par ailleurs, les acteurs de ces transactions devraient faire l’objet de mesures de rétorsion diplomatiques – ce que les gouvernements n’ont pas pu ou voulu faire lors des précédents scandales.
La question est encore plus épineuse lorsque d’anciens hauts fonctionnaires sont concernés, comme tel ancien ambassadeur [il s’agit de Gérard Araud] qui, ayant pris sa retraite en 2019, a travaillé pendant un temps [de septembre 2019 à septembre 2020] en tant que conseiller de NSO Group, une entreprise qui a manifestement produit des outils utilisés contre des journalistes français et des responsables publics – dont peut-être le président de la République. Des outils, donc, qui ont porté atteinte à la sécurité et aux droits nationaux. Faudrait-il contrôler plus étroitement la carrière des serviteurs de l’Etat, quitte à leur interdire de travailler pour une organisation agissant potentiellement contre l’intérêt national ? C’est ce que proposait en 2019 la sénatrice (Les Centristes) Catherine Morin-Desailly, pour limiter le débauchage de hauts fonctionnaires par les Gafam.
0 Réponses à “Pegasus : Pour une régulation des logiciels espions”