Archive pour le Tag 'Pégasus'

Pegasus : Pour une régulation des logiciels espions

 

La commercialisation des logiciels espions doit être régulée, estiment, dans une tribune au « Monde », l’entrepreneur André Loesekrug-Pietri et le chercheur Charles Thibout.  (Le Monde, extraits)

 

Tribune.

 

Les révélations du consortium Forbidden Stories et d’Amnesty International sur les programmes d’espionnage menés à l’aide du logiciel Pegasus de la société NSO mettent en exergue le développement d’un marché de l’armement numérique visant des politiques, des journalistes, des opposants politiques et des défenseurs des droits humains, et non plus seulement des criminels ou des terroristes. Une pratique d’autant plus ennuyeuse qu’elle ne touche pas seulement les dictatures : NSO est israélienne ; Amesys, société commercialisant un outil de surveillance des communications Internet, cellulaires et satellitaires à la Libye, est française, tout comme la société fondée par ses anciens dirigeants, Nexa Technologies, soupçonnée de fournir des outils permettant le ciblage d’opposants en Egypte.

Le logiciel Pegasus repose sur l’exploitation de vulnérabilités dites « zero-day », c’est-à-dire des failles inconnues des éditeurs des logiciels infectés. D’après l’enquête, ce logiciel et l’infrastructure correspondante sont vendus à des Etats dans le but manifeste de dérober des données grâce à ces failles présentes sur iOS et Android qui sont soit découvertes par les équipes de NSO, soit acquises à prix d’or sur des places de marché spécifiques comme Zerodium.

 

Ce marché des armes numériques s’inscrit dans un contexte plus large de banalisation et de légalisation des actes de piratage par les Etats ou à leur service. La question est de savoir quelle est la légitimité de ce marché de l’armement numérique. En l’occurrence, avec NSO, il ne peut être que marginalement question de lutte contre la criminalité et le terrorisme : le crime organisé et les groupes terroristes ont massivement abandonné l’usage des smartphones, peu protégés face aux outils d’interception modernes dont disposent les Etats ; ils privilégient des technologies plus anciennes, des téléphones jetables qui ne comportent pas de telles failles.

De la sorte, la réponse politique pourrait être d’interdire la recherche (vénale) de failles zero-day et de pénaliser la vente et l’achat de telles vulnérabilités. Par ailleurs, les acteurs de ces transactions devraient faire l’objet de mesures de rétorsion diplomatiques – ce que les gouvernements n’ont pas pu ou voulu faire lors des précédents scandales.

La question est encore plus épineuse lorsque d’anciens hauts fonctionnaires sont concernés, comme tel ancien ambassadeur [il s’agit de Gérard Araudqui, ayant pris sa retraite en 2019, a travaillé pendant un temps [de septembre 2019 à septembre 2020] en tant que conseiller de NSO Group, une entreprise qui a manifestement produit des outils utilisés contre des journalistes français et des responsables publics – dont peut-être le président de la République. Des outils, donc, qui ont porté atteinte à la sécurité et aux droits nationaux. Faudrait-il contrôler plus étroitement la carrière des serviteurs de l’Etat, quitte à leur interdire de travailler pour une organisation agissant potentiellement contre l’intérêt national ? C’est ce que proposait en 2019 la sénatrice (Les Centristes) Catherine Morin-Desailly, pour limiter le débauchage de hauts fonctionnaires par les Gafam.

Affaire Pegasus: La preuve de la naïveté et de la faiblesse européenne

Affaire Pegasus: La preuve de la naïveté et de la faiblesse européenne 

L’Union européenne et la France doivent accepter la notion de rapport de force et oser des mesures de rétorsion, estiment Bernard Barbier, ancien directeur technique de la DGSE, Jean-Louis Gergorin, ancien chef du Centre d’analyse et de prévision du Quai d’Orsay et l’amiral Edouard Guillaud, ancien chef d’état-major des armées, dans une tribune au « Monde ».(extrait)

 

Tribune. 

 

Actuellement, la France et plus généralement l’Europe subissent des cyberagressions massives. D’une part, de type cyberespionnage, avec notamment le logiciel Pegasus, vendu par la société israélienne NSO et utilisé hors de son cadre légal, le cybervol de technologies, par exemple par la structure APT31 (Advanced Persistent Threat, entité permanente, souvent étatique, de hackeurs), en l’espèce, chinoise ; et, d’autre part, de cybercoercition, notamment des attaques de type rançongiciel [logiciel rançonneur, de l’anglais « ransomware »] provoquées par des cybercriminels jouissant d’une sorte d’impunité en Russie.

L’affaire Pegasus montre parfaitement les faiblesses de l’Europe. C’est une application sophistiquée qui permet une écoute « active » des téléphones portables grand public en injectant un logiciel malveillant utilisant une faille inconnue du système d’exploitation Apple (iOS) ou Google (Android). Les systèmes de type Pegasus « contournent » ainsi le chiffrement maintenant généralisé des messageries de smartphones telles WhatsApp ou Signal.

 

Dès les attentats de 2015, on a constaté l’utilisation par Daech de ce chiffrement, qui rend inopérants les systèmes d’écoute judiciaire « classiques ». D’où le développement, par des Etats, d’outils qui peuvent être indispensables dans la lutte contre le terrorisme, mais dont l’usage a été totalement dévoyé par certains pays afin de surveiller des opposants, des journalistes et des hommes politiques, français entre autres. C’est précisément un tel dévoiement qui s’est produit dans la commercialisation mondiale, par NSO, de Pegasus, outil développé initialement par Israël pour lutter contre le terrorisme.

Mais, face à cette menace, on constate que de nombreux Etats, notamment les Européens, n’ont pas développé ce type d’outils que de nouvelles vagues terroristes pourraient rendre indispensables. Dans ce contexte, il serait de l’intérêt national et européen que la France maîtrise ce type de technologies. D’abord pour pouvoir les détecter et les neutraliser, et, si une menace terroriste majeure le nécessitait, pour les utiliser à cette seule finalité, de façon très encadrée.

Il est également essentiel que l’Union européenne (UE) réagisse à un aspect révélateur du scandale Pegasus : le gouvernement israélien a officieusement communiqué sur le fait d’avoir obligé NSO à bloquer tout usage de son logiciel contre les téléphones à préfixe international en + 1 (Etats-Unis) ; il est même avancé, sur les forums spécialisés, que les préfixes en + 7 (Russie) et + 86 (Chine) bénéficieraient aussi de cette mansuétude, qui protège donc de toute intrusion les citoyens de la première puissance mondiale et probablement ceux de ses deux challengers autoritaires, dotés de puissantes capacités cyberoffensives.

Société-Espionnage et Pégasus: le risque de la dépendance technologique

Société-Espionnage et Pégasus: le risque de la dépendance  technologique

 

Pour Alain Bauer , criminologue,« Cette affaire indique un processus de rupture structurelle dans la maîtrise des technologies de l’interception et dans le contrôle des exportations de ces technologies » (extrait ,dans l’Opinion)

 

Les informations fournies par le journalisme de révélation concernant le logiciel Pegasus du Groupe NSO ont provoqué de nombreuses réactions indignées, souvent à juste titre, parfois relevant d’un registre que Pandore avait dû oublier dans un recoin de son bagage, l’hypocrisie.

Depuis l’ouverture des lettres à la vapeur par les ancêtres des renseignements généraux dans les wagons postaux des chemins de fer et l’utilisation des « écouteurs » installés près des demoiselles du téléphone, tout ce qui s’imprime se copie et tout ce qui se communique s’écoute. Etats d’abord, au nom de leur souveraineté nationale, gouvernements ensuite au nom de leur durabilité politique, très grandes entreprises enfin au nom de leurs enjeux économiques… Les opérations d’interception et de renseignement sont aussi vieilles que l’humanité.

Sous-traitance. Pour autant, l’affaire Pegasus indique un processus de rupture structurelle dans la maîtrise des technologies de l’interception et dans le contrôle des exportations de ces technologies. Depuis les révélations Snowden (lui-même consultant privé pour la NSA), on a pu constater l’importance de la sous-traitance des opérations de sécurité à des opérateurs plus ou moins privés. Il en est ainsi depuis toujours avec les armées privées, les mercenaires d’antan étant avantageusement remplacés par des forces supplétives comme Executive Outcome du temps de l’ancienne Afrique du Sud ou KMS pour le Royaume-Uni, plus récemment Blackwater (devenu Academi) pour les États-Unis, Wagner pour la Russie, HXZXA pour la Chine, Amarante pour la France.

Ce qui semble avoir bouleversé les anciens équilibres, c’est l’apparition d’opérateurs technologiques de pointe, souvent issus des services publics de renseignement, commercialisant des outils intrusifs à la hauteur des enjeux sécuritaires d’une époque marquée par le terrorisme et le retour des tensions internationales. Palantir en fut et en reste l’expression la plus visible, en termes d’exploitation et d’analyse du renseignement. Mais d’autres opérateurs se sont développés dans le secteur hautement intrusif de l’interception non judiciaire, bien mieux maîtrisée par les pouvoirs publics.

«  Les logiciels NSO, nés dans les boutiques de l’unité 8200 de l’armée israélienne, sont loin d’être les seuls disponibles sur les marches commerciaux  »

Les logiciels NSO, nés dans les boutiques de l’unité 8200 de l’armée israélienne, sont loin d’être les seuls disponibles sur les marches commerciaux : HackingTeam, GammaGroup, Ability, Verint, Intellexa et des dizaines d’autres sont positionnés sur ces marchés plus ou moins contrôlés par les Etats. Ils en profitent pour assurer une offre technologique mondiale qui sert aussi leurs intérêts souverains, de près comme de loin.

Il conviendrait donc désormais, outre le renforcement des outils de contrôle que sont la Commission nationale de contrôle des techniques de renseignement (CNCTR) ou la Délégation parlementaire au renseignement (DPR) pour les utilisations nationales, que toute exportation de logiciels de surveillance fasse l’objet d’une information préalable des outils réglementaires et parlementaires mis en place depuis la loi Renseignement imposée par le président Sarkozy sur une idée initialement développée par Michel Rocard.

De plus, afin d’éviter un affaiblissement de souveraineté et afin de ne pas se trouver en dépendance technologique, il conviendrait que l’Etat intervienne rapidement afin de ne pas laisser à des opérateurs étrangers le contrôle d’entreprises françaises affaiblies par des mesures judiciaires en cours visant des exportations de technologies pourtant autorisées vers des pays dont la conception des droits humains semble plus que discutable.

Les questions de renseignement méritent plus que des imprécations, des incantations et des lamentations. La justice doit faire son travail en établissant les responsabilités réelles des opérations menées. Le gouvernement doit faire le sien en sécurisant ses réseaux de communication (cryptage obligatoire, numéro virtuel…) et surtout en mettant à l’abri les développeurs nationaux qui seront les garants de la souveraineté numérique.

Alain Bauer est professeur de criminologie au Conservatoire National des Arts et Métiers, New York et Shanghai. Il publiera prochainement un  «  Dictionnaire des espionnes et des espions  » (Gründ).

Société- Pegasus : La dérive totalitaire (Le Monde)

Société- Pegasus  : La dérive totalitaire (Le Monde)

 

Les révélations publiées au long de cette semaine par « Le Monde » et seize rédactions associées au sein du « Projet Pegasus » prouvent, de manière incontestable, qu’en matière de cybersurveillance l’abus est la règle, et non l’exception ‘ (édito du monde).

 

Depuis des années, des réponses invariablement lénifiantes sont opposées aux nombreuses inquiétudes sur les dérives potentiellement liberticides rendues possibles par les outils créés par l’industrie de la surveillance numérique. Les entreprises de ce secteur, comme les Etats qui font appel à leurs services, assurent que les risques sont infimes, les usages encadrés, les engagements respectés. Depuis des années, les doutes sont balayés au nom de l’intérêt supérieur des sécurités nationales, et de la lutte contre le terrorisme ou le crime organisé.

Cette négation de l’évidence sera désormais beaucoup plus compliquée. Les révélations publiées au long de cette semaine par Le Monde et seize rédactions associées au sein du « Projet Pegasus », coordonnées par l’organisation Forbidden Stories, en partenariat avec Amnesty International, prouvent, de manière incontestable, qu’en matière de cybersurveillance l’abus est la règle, et non l’exception.


Cette démonstration provient de l’examen approfondi d’une liste de plus de 50 000 numéros de téléphone visés depuis 2016 – sans que tous aient été infectés – par les clients d’un puissant logiciel espion, baptisé « Pegasus », développé par l’entreprise israélienne NSO Group pour le compte d’une dizaine de gouvernements. Ce travail dévoile l’ampleur du dévoiement de cette arme informatique, si puissante qu’elle peut aspirer toutes les données d’un smartphone en toute discrétion, et ce, jusqu’à présent, en toute impunité. Car ce ne sont pas des groupes terroristes ou criminels qui apparaissent principalement dans cette liste, dûment authentifiée par des mois d’enquête. Dans les faits, Pegasus est couramment utilisé contre des journalistes, des avocats, des militants des droits de l’homme, des opposants politiques, des médecins, théoriquement protégés par la convention de Genève.


Comment aurait-il pu en être autrement ? Comment pouvait-on sérieusement faire mine de croire une entreprise qui vend son outil de surveillance numérique à des régimes autoritaires, tels que l’Azerbaïdjan, tout en affirmant, la main sur le cœur, qu’elle est très attentive au respect des droits de l’homme ? Le coût modique de Pegasus place cet outil à la portée de tous les Etats et permet à des pays comme le Maroc ou la Hongrie, dont les capacités « cyber » en propre sont faibles, d’avoir instantanément accès à de très puissantes capacités d’espionnage, et à toutes les tentations qu’elles permettent.

Selon NSO, une quarantaine de pays ont fait l’acquisition de ce système. Combien d’entre eux s’en servent pour contourner l’Etat de droit et se livrer à des surveillances contraires au droit international ? Les enquêtes du « Projet Pegasus » conduisent à répondre « tous ou presque », démocraties comprises. Le gouvernement israélien, qui valide chacune des ventes opérées par NSO, fait d’ailleurs l’aveu indirect de sa connaissance des abus permis par cet outil, puisqu’il bloque les tentatives de surveillance en Chine, aux Etats-Unis ou encore en Russie.

 

Car, contrairement à ce qu’affirment NSO comme ses clients, il n’existe quasiment aucune forme de contrôle sur l’utilisation qui est faite de Pegasus, une fois le dispositif déployé. Les opérateurs pris en flagrant délit voient, au pire, suspendre leur accès, quand leurs actions ont déclenché un scandale mondial, comme dans le dossier de l’assassinat du journaliste saoudien Jamal Khashoggi. La vente de ces armes numériques, pudiquement appelées « biens à double usage » dans le jargon technique, est régie par l’arrangement de Wassenaar, un accord très peu contraignant qui n’interdit rien et oblige simplement ses signataires – Israël n’en fait pas partie – à un peu de transparence.


Les logiciels espions sont pourtant bien plus intrusifs que les écoutes téléphoniques, strictement encadrées au moins dans nos démocraties. Et, à la différence de la plupart des autres armes, elles sont à 99 % utilisées contre des civils. Il est grand temps de prendre conscience de ce scandale, de constater les abus que nos révélations portent à la connaissance de tous, et de lancer le débat sur un contrôle réel et efficace de ces techniques.

La sécurité de nos concitoyens peut certes rendre nécessaires des opérations de surveillance drastiquement délimitées. Mais cet impératif ne saurait en rien justifier la violation massive et systématique du secret de nos vies et de nos échanges privés, comme de la confidentialité de nos opinions.

Espionnage- Pegasus: «L’Europe doit réagir »

Espionnage- Pegasus: «L’Europe doit réagir »

Spécialiste du cyber, l’ancien directeur technique de la DGSE livre à l’Opinion son analyse sur le logiciel espion israélien qui aurait été utilisé contre Emmanuel Macron ( L’Opinion, extrait)

Tribune

 

 

Emmanuel Macron a présidé jeudi matin un conseil de défense exceptionnel consacré à l’affaire Pegasus, un logiciel espion israélien qui aurait été utilisé par les services de renseignement marocains pour pirater ou tenter de pirater des téléphones de responsables politiques et journalistes français, a annoncé le porte-parole du gouvernement, Gabriel Attal. D’après une enquête menée par un consortium de médias, dont Le Monde et Radio France, un des numéros d’Emmanuel Macron figurait parmi les cibles potentielles du logiciel Pegasus.

« L’Europe doit réagir très fermement » à l’affaire d’espionnage Pegasus, affirme à l’Opinion Bernard Barbier, l’ancien Directeur technique de la DGSE (2006-2013). Spécialiste de cyberdéfense et du renseignement électronique, cet ingénieur, aujourd’hui à la retraite, a dirigé l’équivalent français de la NSA américaine. « C’est une question de souveraineté : l’Europe doit avoir les capacités techniques nécessaires pour se protéger » face à des intrusions dans les téléphones portables et les ordinateurs individuels.

Pegasus est un logiciel espion très performant, mis au point et commercialisé par la société israélienne NSOUn consortium international de journalistes, Forbidden Stories, vient de révéler que plusieurs gouvernements étrangers l’utilisaient largement, contre des opposants et des journalistes. Le Maroc est soupçonné de s’en être servi pour espionner Emmanuel Macron et d’autres ministres. Un conseil de défense consacré à cette question s’est tenu ce jeudi matin à l’Elysée.

Comme Bernard Barbier, les spécialistes ne sont pas surpris par l’existence de ce logiciel. Dès 2016, le magazine 01net racontait « comment fonctionne Pegasus, ce malware qui vole toutes les données de l’iPhone ». En revanche, « l’usage incontrôlé » qui en fait par des gouvernements pose de sérieuses questions, à la fois de sécurité nationale et de libertés publiques.

Un peu de technique d’abord. Du fait du cryptage des communications, les « écoutes téléphoniques » à l’ancienne sont désormais presque totalement inefficaces. « Il faut by-passer le chiffrement et pour cela entrer au cœur du système, jusque dans les couches très basses de l’operating system » des téléphones, explique Bernard Barbier.

La société israélienne NSO a mis au point des « techniques extrêmement performantes » en la matière, en s’appuyant sur sa proximité avec les anciens personnels de l’Unité 8-200 de l’armée, l’agence de renseignement électronique. Grâce au service militaire obligatoire et à l’emploi de réservistes, il existe en Israël un vrai écosystème militaro-industriel entre les unités opérationnelles, les centres de recherche et les entreprises technologiques. NSO en est un exemple abouti. Désormais possédée par des capitaux américains, elle pèserait 2 milliards de dollars. « Il s’agit d’un transfert vers le privé de compétences étatiques », indique Bernard Barbier.

Pour pénétrer dans un téléphone portable, le logiciel Pegasus utilise les failles, les erreurs qui existent dans tous les systèmes d’exploitation : « IOS, c’est quarante millions de lignes de codes », rappelle Bernard Barbier. Ils sont régulièrement modifiés et améliorés : ce sont les « mises à jour » de votre portable. A chaque fois, le logiciel Pegasus doit s’adapter pour trouver les nouvelles portes d’entrée. NSO et ses semblables cherchent les « Zero-Day », les failles de sécurité non encore découvertes. Il existe un marché du « Zero-Day » avec des sociétés spécialisées, comme Zerodium fondée par le Français Chaoukri Bekrar. « C’est une guerre permanente » entre le glaive et le bouclier, dit l’ancien directeur technique de la DGSE.

Les grands services de renseignement, dont la DGSE en France, possèdent leurs propres systèmes pour introduire des « malwares » dans les téléphones, même sans aucune action de la part de la cible, répondre à un message, par exemple. Mais de nombreux pays ne possèdent pas de telles capacités en propre. Ils doivent faire appel à des prestataires privés, qui leur fournissent non pas la compétence technologique, mais le service plus ou moins clés en main. C’est la niche de marché de NSO qui travaillerait pour une quarantaine de pays.

Cela se fait évidemment avec l’accord des autorités politiques de l’Etat d’Israël. Ainsi, NSO ne fournit pas de services permettant d’espionner les Etats-Unis, la Russie ou la Chine. Pour l’Europe, en revanche, c’est open bar. C’est également le cas de pays arabes comme le Maroc, les Emirats arabes unis, Bahreïn, l’Arabie saoudite qui ont des liens sécuritaires avec l’Etat juif. Ce n’est pas un hasard s’il s’agit des pays ayant récemment établi des liens diplomatiques (sauf pour les Saoudiens, du moins officiellement) avec Israël.

D’autres alliés de l’Etat juif en bénéficient, comme l’Azerbaïdjan, l’Inde, le Rwanda ou, seul pays européen concerné, la Hongrie. Les experts français s’accordent à penser que les services de renseignement israéliens bénéficient des informations ainsi recueillies, via la société NSO ou d’autres intervenants sur le même marché.

La France a été sur les rangs pour faire appel à la NSO, mais le projet n’a pas abouti, du fait de très fortes oppositions au sein de l’appareil d’Etat. Dans les années 2010, la DGSI (sécurité intérieure) s’intéressait à ce logiciel, parce qu’elle ne disposait pas des mêmes capacités techniques que la DGSE (sécurité extérieure). Même si elle a progressé, la « mutualisation » des moyens d’espionnage électronique au sein de la communauté du renseignement reste un sujet complexe. A la même époque, la DGSI a acquis le logiciel américain Palantir pour l’analyse des données. Dans les services français, beaucoup estiment ce logiciel trop perméable avec la NSA américaine.

Alors que les regards sont tournés vers Pegasus, Guillaume Poupard, le directeur de l’Agence nationale de sécurité des systèmes d’information vient de tirer une autre sonnette d’alarme sur Lindekin contre « une vaste campagne de compromission, toujours en cours et particulièrement virulente, touchant de nombreuses entités françaises. Elle est conduite par le mode opératoire APT31. » En clair : de l’espionnage d’entreprises stratégiques par les Chinois.

Espionnage-Pégasus: le risque de la dépendance technologique

Espionnage-Pégasus: le risque de la dépendance  technologique

 

Pour Alain Bauer , criminologue,« Cette affaire indique un processus de rupture structurelle dans la maîtrise des technologies de l’interception et dans le contrôle des exportations de ces technologies » (extrait ,dans l’Opinion)

 

Les informations fournies par le journalisme de révélation concernant le logiciel Pegasus du Groupe NSO ont provoqué de nombreuses réactions indignées, souvent à juste titre, parfois relevant d’un registre que Pandore avait dû oublier dans un recoin de son bagage, l’hypocrisie.

Depuis l’ouverture des lettres à la vapeur par les ancêtres des renseignements généraux dans les wagons postaux des chemins de fer et l’utilisation des « écouteurs » installés près des demoiselles du téléphone, tout ce qui s’imprime se copie et tout ce qui se communique s’écoute. Etats d’abord, au nom de leur souveraineté nationale, gouvernements ensuite au nom de leur durabilité politique, très grandes entreprises enfin au nom de leurs enjeux économiques… Les opérations d’interception et de renseignement sont aussi vieilles que l’humanité.

Sous-traitance. Pour autant, l’affaire Pegasus indique un processus de rupture structurelle dans la maîtrise des technologies de l’interception et dans le contrôle des exportations de ces technologies. Depuis les révélations Snowden (lui-même consultant privé pour la NSA), on a pu constater l’importance de la sous-traitance des opérations de sécurité à des opérateurs plus ou moins privés. Il en est ainsi depuis toujours avec les armées privées, les mercenaires d’antan étant avantageusement remplacés par des forces supplétives comme Executive Outcome du temps de l’ancienne Afrique du Sud ou KMS pour le Royaume-Uni, plus récemment Blackwater (devenu Academi) pour les États-Unis, Wagner pour la Russie, HXZXA pour la Chine, Amarante pour la France.

Ce qui semble avoir bouleversé les anciens équilibres, c’est l’apparition d’opérateurs technologiques de pointe, souvent issus des services publics de renseignement, commercialisant des outils intrusifs à la hauteur des enjeux sécuritaires d’une époque marquée par le terrorisme et le retour des tensions internationales. Palantir en fut et en reste l’expression la plus visible, en termes d’exploitation et d’analyse du renseignement. Mais d’autres opérateurs se sont développés dans le secteur hautement intrusif de l’interception non judiciaire, bien mieux maîtrisée par les pouvoirs publics.

«  Les logiciels NSO, nés dans les boutiques de l’unité 8200 de l’armée israélienne, sont loin d’être les seuls disponibles sur les marches commerciaux  »

Les logiciels NSO, nés dans les boutiques de l’unité 8200 de l’armée israélienne, sont loin d’être les seuls disponibles sur les marches commerciaux : HackingTeam, GammaGroup, Ability, Verint, Intellexa et des dizaines d’autres sont positionnés sur ces marchés plus ou moins contrôlés par les Etats. Ils en profitent pour assurer une offre technologique mondiale qui sert aussi leurs intérêts souverains, de près comme de loin.

Il conviendrait donc désormais, outre le renforcement des outils de contrôle que sont la Commission nationale de contrôle des techniques de renseignement (CNCTR) ou la Délégation parlementaire au renseignement (DPR) pour les utilisations nationales, que toute exportation de logiciels de surveillance fasse l’objet d’une information préalable des outils réglementaires et parlementaires mis en place depuis la loi Renseignement imposée par le président Sarkozy sur une idée initialement développée par Michel Rocard.

Lamentations. De plus, afin d’éviter un affaiblissement de souveraineté et afin de ne pas se trouver en dépendance technologique, il conviendrait que l’Etat intervienne rapidement afin de ne pas laisser à des opérateurs étrangers le contrôle d’entreprises françaises affaiblies par des mesures judiciaires en cours visant des exportations de technologies pourtant autorisées vers des pays dont la conception des droits humains semble plus que discutable.

Les questions de renseignement méritent plus que des imprécations, des incantations et des lamentations. La justice doit faire son travail en établissant les responsabilités réelles des opérations menées. Le gouvernement doit faire le sien en sécurisant ses réseaux de communication (cryptage obligatoire, numéro virtuel…) et surtout en mettant à l’abri les développeurs nationaux qui seront les garants de la souveraineté numérique.

Alain Bauer est professeur de criminologie au Conservatoire National des Arts et Métiers, New York et Shanghai. Il publiera prochainement un  «  Dictionnaire des espionnes et des espions  » (Gründ).

Pegasus : La dérive totalitaire

Pegasus  : La dérive totalitaire (Le Monde)

 

Les révélations publiées au long de cette semaine par « Le Monde » et seize rédactions associées au sein du « Projet Pegasus » prouvent, de manière incontestable, qu’en matière de cybersurveillance l’abus est la règle, et non l’exception ‘ (édito du monde).

 

Depuis des années, des réponses invariablement lénifiantes sont opposées aux nombreuses inquiétudes sur les dérives potentiellement liberticides rendues possibles par les outils créés par l’industrie de la surveillance numérique. Les entreprises de ce secteur, comme les Etats qui font appel à leurs services, assurent que les risques sont infimes, les usages encadrés, les engagements respectés. Depuis des années, les doutes sont balayés au nom de l’intérêt supérieur des sécurités nationales, et de la lutte contre le terrorisme ou le crime organisé.

Cette négation de l’évidence sera désormais beaucoup plus compliquée. Les révélations publiées au long de cette semaine par Le Monde et seize rédactions associées au sein du « Projet Pegasus », coordonnées par l’organisation Forbidden Stories, en partenariat avec Amnesty International, prouvent, de manière incontestable, qu’en matière de cybersurveillance l’abus est la règle, et non l’exception.


Cette démonstration provient de l’examen approfondi d’une liste de plus de 50 000 numéros de téléphone visés depuis 2016 – sans que tous aient été infectés – par les clients d’un puissant logiciel espion, baptisé « Pegasus », développé par l’entreprise israélienne NSO Group pour le compte d’une dizaine de gouvernements. Ce travail dévoile l’ampleur du dévoiement de cette arme informatique, si puissante qu’elle peut aspirer toutes les données d’un smartphone en toute discrétion, et ce, jusqu’à présent, en toute impunité. Car ce ne sont pas des groupes terroristes ou criminels qui apparaissent principalement dans cette liste, dûment authentifiée par des mois d’enquête. Dans les faits, Pegasus est couramment utilisé contre des journalistes, des avocats, des militants des droits de l’homme, des opposants politiques, des médecins, théoriquement protégés par la convention de Genève.


Comment aurait-il pu en être autrement ? Comment pouvait-on sérieusement faire mine de croire une entreprise qui vend son outil de surveillance numérique à des régimes autoritaires, tels que l’Azerbaïdjan, tout en affirmant, la main sur le cœur, qu’elle est très attentive au respect des droits de l’homme ? Le coût modique de Pegasus place cet outil à la portée de tous les Etats et permet à des pays comme le Maroc ou la Hongrie, dont les capacités « cyber » en propre sont faibles, d’avoir instantanément accès à de très puissantes capacités d’espionnage, et à toutes les tentations qu’elles permettent.

Selon NSO, une quarantaine de pays ont fait l’acquisition de ce système. Combien d’entre eux s’en servent pour contourner l’Etat de droit et se livrer à des surveillances contraires au droit international ? Les enquêtes du « Projet Pegasus » conduisent à répondre « tous ou presque », démocraties comprises. Le gouvernement israélien, qui valide chacune des ventes opérées par NSO, fait d’ailleurs l’aveu indirect de sa connaissance des abus permis par cet outil, puisqu’il bloque les tentatives de surveillance en Chine, aux Etats-Unis ou encore en Russie.

Article réservé à nos abonnés Lire aussi  « Projet Pegasus » : comment la société israélienne NSO Group a révolutionné l’espionnage

Car, contrairement à ce qu’affirment NSO comme ses clients, il n’existe quasiment aucune forme de contrôle sur l’utilisation qui est faite de Pegasus, une fois le dispositif déployé. Les opérateurs pris en flagrant délit voient, au pire, suspendre leur accès, quand leurs actions ont déclenché un scandale mondial, comme dans le dossier de l’assassinat du journaliste saoudien Jamal Khashoggi. La vente de ces armes numériques, pudiquement appelées « biens à double usage » dans le jargon technique, est régie par l’arrangement de Wassenaar, un accord très peu contraignant qui n’interdit rien et oblige simplement ses signataires – Israël n’en fait pas partie – à un peu de transparence.


Les logiciels espions sont pourtant bien plus intrusifs que les écoutes téléphoniques, strictement encadrées au moins dans nos démocraties. Et, à la différence de la plupart des autres armes, elles sont à 99 % utilisées contre des civils. Il est grand temps de prendre conscience de ce scandale, de constater les abus que nos révélations portent à la connaissance de tous, et de lancer le débat sur un contrôle réel et efficace de ces techniques.

La sécurité de nos concitoyens peut certes rendre nécessaires des opérations de surveillance drastiquement délimitées. Mais cet impératif ne saurait en rien justifier la violation massive et systématique du secret de nos vies et de nos échanges privés, comme de la confidentialité de nos opinions.

Pegasus: un outil d’espionnage global

Pegasus: un outil d’espionnage global

 

Ilan Scialom, spécialiste du Moyen-Orient et des questions cyber, explique les enjeux qu’impliquent cette affaire d’espionnage. (Le Figaro)

 

Qui est derrière NSO ( l’entreprise israélienne qui a créé le logiciel Pegasus ) ?

Ilan SCIALOM. - NSO n’est pas une entreprise nouvelle. Elle a été fondée en 2009 par trois Israéliens, Niv Carmi, Shalev Hulio et Omri Lavie. Contrairement à ce que l’on croit, ils ne viennent pas de l’Unité 8200 (spécialisée au sein de l’armée israélienne en cyberdéfense, NDLR). Ils se sont réunis pour développer un logiciel d’identification d’objets dans des images ou des vidéos qui renvoyait ensuite les utilisateurs vers un site de vente en ligne.

Puis ils ont mis au point un outil de service après-vente pour se connecter à distance au téléphone de leurs clients (dont certains sont des pays totalitaires).

Le logiciel Pegasus d’espionnage concerne les utilisateurs de smartphones ( Edward Snowden)

Le logiciel Pegasus d’espionnage concerne les utilisateurs de smartphones ( Edward Snowden)

À propos du logiciel d’espionnage Pegasus, le lanceur d’alerte Edward Snowden a confié ses craintes à David Pegg, journaliste au « Guardian ».( reprises par Franceinfo).

 

David Pegg : Comment avez-vous réagi en découvrant les informations révélées par le projet Pegasus ?

Edward Snowden : C’est choquant de voir leur ampleur, quelque chose comme 50 000 numéros de téléphone dans autant de pays, une dizaine je crois, dont certains qui sont particulièrement agressifs. Prenez un pays comme le Mexique : il espionne des journalistes, des membres du gouvernement, des figures de l’opposition, des militants des droits de l’homme… C’est terrible. Pour moi, cela pose question. Je suspecte depuis longtemps, bien sûr, qu’on abuse de ces capacités de surveillance. On l’a vu en 2013. Mais c’était uniquement du fait de gouvernements en interne, avec des pressions sur des entreprises commerciales. Ils avaient une forme de légitimité, de légalité, avec des procédures. Ce n’était pas suffisant, il y avait des défauts, mais il y avait quelque chose. Ce que le Projet Pegasus révèle, c’est que le groupe NSO représente un nouveau marché du malware, un business qui génère des profits.

« Ils se fichent de la loi, des règles. Ils le vendront à tout client fiable, tant qu’ils ont l’impression qu’ils s’en tireront, qu’on ne les identifiera pas. »

Ils disent : « On ne sait pas pourquoi ils l’utilisent, on n’est pas responsables, on le vend, on signe le contrat. S’ils ne suivent pas les règles du contrat, ce n’est pas notre problème. » Mais en même temps, ils se sont fait attraper et ont été impliqués dans d’autres scandales auparavant. Dans l’assassinat de Khashoggi, ils disent : « On n’a rien à voir avec ça. On a enquêté, et constaté que ce n’était pas nos produits qui étaient utilisés. »

Mais comment est-ce possible, s’ils ne savent pas qui leurs clients visent avec leur logiciel ?

Il n’y a que deux possibilités. Soit ils savent qui est visé par leur logiciel, et ils en sont responsables, parce qu’ils le voient arriver sans rien faire, mais qu’ils peuvent savoir si Khashoggi était ou non présent dans leur base de données. Soit ils ne savent pas qui est visé, ce qui veut dire que nier leur implication est un mensonge totalement cynique. Je pense que c’est ce qui se passe ici. Toute l’industrie des logiciels intrusifs est basée sur un mensonge. Ils disent qu’ils le font pour sauver des vies, pour prévenir des crimes, mais c’est utilisé chaque jour, dans de nombreux pays différents, pour espionner des gens qui n’ont rien de cibles légitimes. C’est une industrie qui ne devrait pas exister. On voit ce que fait le groupe NSO, qui est en quelque sorte la plus connue de ces sociétés. Mais il y en a d’autres. Et si une de ces compagnies est pourrie à ce point, qu’en est-il des autres ? Ce que le Projet Pegasus révèle, c’est que c’est un secteur où l’on produit uniquement des vecteurs d’infection. Ce ne sont pas des produits de sécurité. Ils ne fournissent aucune protection. Ce ne sont pas des vaccins : tout ce qu’ils vendent, c’est le virus. Et je crois que dire qu’ils ne le vendent qu’à des gouvernements, ça n’arrange pas vraiment les choses, surtout quand on voit qui sont leurs cibles.

Comment compareriez-vous ces révélations avec celles que vous avez faites vous-même au fil des années ?

Elles sont sans doute parmi les plus importantes. C’est le genre d’infos qu’on n’a jamais, et quand on y a accès, tout le monde a peur : « C’est trop sérieux, il ne faut pas en parler, vous allez mettre des enquêtes en péril… » Mais la manière dont le consortium travaille ensemble, en prenant les numéros et en déterminant à qui ils appartiennent, pour confirmer les identités de certains individus sans nécessairement les contacter… On y trouve des ministres, des journalistes, dans des journaux et des institutions majeurs, sur lesquels on compte.

« On soulève un coin du rideau à un niveau jamais atteint. »

 

Vous avez déjà qualifié les smartphones « d’espions dans notre poche ». Cette affaire confirme-t-elle cela ?

C’est pire, en fait. Quand je parle « d’espions dans nos poches », c’est le potentiel, la possibilité, le fait que ces choses communiquent à travers le réseau mobile, et connaissent votre localisation. C’est Facebook qui vous espionne, par exemple. Mais c’est pour des programmes commerciaux, pour des objectifs commerciaux. Ce qu’on découvre là, ce sont des gens qui ont créé une industrie dédiée au piratage de ces téléphones, qui vont au-delà de l’espionnage dont on connaissait l’existence, et qui prennent le contrôle de ces téléphones, pleinement, pour les retourner contre les gens qui les ont achetés, qui ne les possèdent plus vraiment. Le truc, c’est que tous ces téléphones sont des clones. Si vous prenez l’iPhone, ils tournent tous sous le même logiciel partout dans le monde. Donc s’ils trouvent un moyen de pirater un iPhone, ils trouvent le moyen de les pirater tous. Et non seulement ils le font, mais ils vendent cette compétence ! C’est une attaque réfléchie, intentionnelle sur des infrastructures dont nous dépendons tous. Peu importe sous quel drapeau on vit, peu importe la langue qu’on parle, on est tous visés dans cette histoire.

Un ancien rapporteur de l’ONU sur les droits de l’homme, David Kaye, dit que l’industrie de la surveillance globale est hors de contrôle. Vous pensez qu’il a raison ?

C’est une évidence. Cette idée de la surveillance pour le profit, c’est quelque chose qui a déjà existé. Des entreprises ont réussi à créer des bugs, des micros cachés, et à les vendre. Le gouvernement s’en sert, la police locale s’en sert, et s’ils doivent ensuite procéder à une fouille d’une maison, d’une voiture, d’un bureau, on se dit qu’ils auront besoin d’un mandat. Ce sont des opérations coûteuses et difficiles, donc ils ne le font que si c’est vraiment nécessaire, de manière largement proportionnée par rapport à la menace présentée par la personne sur qui ils enquêtent. Mais s’ils peuvent faire la même chose à distance, pour pas grand-chose et sans risque, ils commencent à le faire tout le temps, contre toute personne vaguement intéressante. C’est ce que montre cette liste de 50 000 personnes ciblées : on ne met pas sur écoute 50 000 maisons, il n’y a pas assez de spécialistes dans le domaine pour pouvoir le faire. Mais s’il y a juste besoin de tendre le bras vers quelque chose dans votre poche, ils peuvent le faire et ils le feront.

Pensez-vous que les gouvernements auraient la même capacité à espionner sans l’industrie de la surveillance privée ?

Tout dépend du pays concerné. Dans un pays sophistiqué, avec un marché technologique développé, bien sûr. Mais dans la plupart des pays autoritaires, comme le Kazakhstan, l’Ouzbékistan, Bahreïn, avec une société très fermée, vous ne favorisez pas ce développement technique, difficile à assurer. Mais s’il suffit de payer quelqu’un pour fournir tout ça en tant que service, là, ils peuvent faire tout ce qu’ils veulent. Ça ne coûte plus grand-chose de maintenir son pouvoir en place. Si de telles compagnies n’existaient pas, quelle serait l’alternative ? Est-ce que les gouvernements abandonneraient toute idée d’espionner, d’enquêter, de rechercher les criminels et les terroristes ? Évidemment, non. Ils embaucheraient leurs propres développeurs, ils travailleraient en interne, ils développeraient leurs propres outils. Ce serait difficile, coûteux et inefficace, mais ce serait la bonne chose à faire. Mais ce que ces gens créent, ce ne sont pas des ingénieurs, ils ne fabriquent rien d’utile.

« Ce sont des « infectionneurs ». Ils créent des manières de provoquer une maladie dans nos appareils. Ils trouvent des faiblesses, des points d’entrée. »

Edward Snowden

C’est comme si une industrie créait ses propres variants du coronavirus, pour contourner les vaccins. Et c’est ce qu’ils vendent, contre votre téléphone ou votre ordinateur. On ne peut pas empêcher des gouvernements de le faire, comme dans le domaine de la recherche sur les armes biologiques. Mais Dieu merci, il est interdit d’en faire commerce, et le premier venu ne peut pas acheter la meilleure version du Covid sur le marché et en faire ce qu’il veut. Or quand on évoque les appareils numériques, on ne voit pas que le risque pour la santé publique est le même. Ce que NSO a créé, ce sont des clusters dans des communautés, avec un patient zéro contaminé qui se met à infecter ses amis, ses collègues, tous les gens qu’il rencontre. Et ça ne serait jamais arrivé dans autant d’endroits, aussi facilement, au même coût, sans ses compagnies qu’on autorise à faire cela pour en tirer profit. La seule raison pour laquelle NSO fait ça, ce n’est pas pour sauver le monde. C’est pour faire de l’argent.

À quel point Pegasus est-il sophistiqué ?

Quand on regarde ce qu’il peut faire, les piratages qu’il permet… Le principal objectif de la boîte à outils de Pegasus, et c’est pareil pour tous les fournisseurs de malwares, même les non-commerciaux utilisés par des hackers pour installer des rançongiciels sur des PC autour du monde et voler leurs utilisateurs, c’est ce qu’on appelle « l’exécution du code à distance ». C’est une manière de toucher un appareil sans aucune action de son utilisateur : on trouve un défaut dans le logiciel qui tourne sur ces appareils, et sans même que l’utilisateur ne fasse d’erreur ou de mauvaise manipulation, ils peuvent lancer leur propre code, leurs propres programmes, leurs propres commandes sur l’appareil visé. C’est ce que fait Pegasus. Ils ont donc rempli leur mission. La question, c’est : à quel prix pour la société ?

Qui faut-il craindre le plus : la NSA ou NSO ?

Cela renvoie à une vieille question de l’époque où j’ai fait mes révélations, en 2013. Les gens disaient : pourquoi vous préoccuper de ce que fait le gouvernement, quand des entreprises commerciales espionnent les gens de la même façon ? Ils pensaient à Facebook, Google, Amazon… Et ma réponse, c’était que, quel que soit le niveau de surveillance exercé par ces entreprises, elles ne peuvent pas vous mettre en prison. Elles ne peuvent pas tirer un missile sur votre voiture. Elles ne peuvent pas lancer une attaque de drone. Donc concentrons-nous d’abord sur le gouvernement, et ensuite on ira s’occuper des entreprises une fois le gouvernement réformé. Sauf que les gouvernements ont abandonné tout projet de se réformer, et il n’y a pas eu aucune réforme sur les pratiques de surveillance commerciale.

Et le problème, c’est qu’en presque dix ans, on a vu naître des entreprises comme le groupe NSO, dont l’activité est de faire des choses que les entreprises ne faisaient pas avant. Elles ne font pas que vendre des choses. Elles envoient des gens en prison, elles les font tuer. Elles ne le font peut-être pas directement, mais ils fournissent les outils aux gouvernements qui les utilisent dans ce but, et elles le savent. L’implication du groupe NSO dans l’assassinat de Khashoggi est indéniable, même s’ils le nient. Ils disent qu’ils n’ont pas directement visé Khashoggi, mais si vous visez la personne la plus proche de lui, vous obtenez les mêmes conversations, les mêmes informations sur ses intentions. C’est une compagnie privée qui pirate de la même manière que la NSA le ferait. Et ça devrait nous effrayer plus que tout, parce que ce n’est pas qu’une seule de ces entreprises : c’est le cas pour toutes.

À qui faut-il demander des comptes ? À l’entreprise ou aux gouvernements qui utilisent son logiciel ?

À tous. Mais il n’y a pas que la question de la responsabilité, par exemple, d’Israël ou de cette entreprise en particulier. Il devrait y avoir, selon moi, une responsabilité pénale pour toute implication dans ce marché. Il faut un moratoire global sur l’utilisation commerciale de ces outils. Il faut interdire ce commerce, supprimer la motivation du profit pour les gens qui participent à ça. Parce que le groupe NSO fermerait ses portes dès demain si ça ne leur rapportait plus rien, comme les autres compagnies de ce domaine. Mais il faut aussi se poser une question en Europe et aux États-Unis : comment se fait-il que ces entreprises rencontrent un tel succès ? Comment ont-elles pu autant s’étendre, si ce n’est parce que nos règles ont échoué ? Ces dix dernières années, l’Europe s’est dit qu’on pouvait contrôler ces choses, avec des méthodes datant de la Guerre froide, avec un contrôle des exportations. Mais ce qu’on voit, c’est un échec total à éviter l’impact public de cette industrie du malware commercial. Et si ces règles n’ont pas marché, il faut qu’on réfléchisse à des règles plus sévères.

« Le seul moyen, selon moi, de régler tout ça, c’est un moratoire global sur l’exploitation commerciale de toute technologie de ce genre. »

 

Qu’est-ce qui doit se passer maintenant ?

Il faut qu’on arrête tout ça. L’inaction n’est plus une option. Si on ne fait rien pour arrêter le commerce de ces technologies, on ne sera plus à 50 000 mais à 50 millions de cibles, et ça va arriver bien plus vite qu’on ne l’imagine. Il faut donc arrêter ce commerce, sans pour autant abandonner la recherche, qui peut être utilisée pour rendre nos appareils plus sûrs. Mais quand ces technologies sont vendues dans un but offensif, ou même simplement vendues, c’est là qu’on fait rentrer le loup dans la bergerie.

Que peuvent faire les gens pour se protéger ?

Que peuvent faire les gens pour se protéger des armes nucléaires ? Des armes chimiques ou biologiques ? Il y a des industries, des secteurs, pour lesquels il n’y a pas de protection, et c’est pour ça qu’on essaye de limiter leur prolifération. On n’autorise pas la vente dans le commerce d’armes nucléaires, d’armes chimiques ou biologiques. Mais dans le cas de ces armes numériques, on ne fait rien ! Il faut arrêter toute vente de ces technologies intrusives. C’est la seule manière de nous protéger.

 

 

Espionnage mondial dénoncé avec le logiciel israélien Pégasus

Espionnage mondial dénoncé avec le logiciel israélien Pégasus

 

Dix-sept médias internationaux, dont font partie Le Monde, The Guardian, et The Washington Post accusent une société israélienne  de servir l’espionnage mondial de reporters et dissidents ; Par l’intermédiaire  du  logiciel espion Pegasus qui, s’il est introduit dans un smartphone, permet d’en récupérer les messages, les photos, les contacts, et même d’écouter les appels de son propriétaire.




L'actu écologique |
bessay |
Mr. Sandro's Blog |
Unblog.fr | Annuaire | Signaler un abus | astucesquotidiennes
| MIEUX-ETRE
| louis crusol