Le secret des communications est un droit ancien qui est aujourd’hui dans des pays comme la Belgique ou la Suisse, inscrit dans la constitution. C’est également un droit qui est violé depuis sa création, par les rois, gouvernants, despotes ou démocrates. Un nom est devenu symbole de tous les maux : Pegasus, le logiciel d’espionnage des téléphones mobiles du luxembourgeois NSO Group.
Par Cadfael
Les communications des autres
Au sein de l’Union européenne, le secret de la correspondance est garanti par la directive européenne 97/66 du 15 décembre 1997 qui fait obligation aux États membres d’interdire « moyen(s) d’interception ou de surveillance, sauf lorsque ces activités sont légalement autorisées ». Cela s’applique aux courriers postaux et aux correspondances électroniques.
Intercepter pour le compte des gouvernants les courriers, les ouvrir, les décrypter discrètement, a une longue tradition, au motif officiel de protéger un pays contre des menaces externes, mais également de manière moins avouable, de connaître les desseins des opposants. Les écoutes téléphoniques font aujourd’hui largement partie de ces pratiques. Aujourd’hui, ce sont des sociétés d’informatique qui vendent leurs logiciels aux pays et aux sociétés qui leur donnent des « garanties » de non-abus. Pegasus, le logiciel du groupe israélien NSO, avec siège à Luxembourg, est celui qui a ces dernières années le plus fait couler d’encre. « C’est un sale logiciel », commente un ancien informaticien d’une agence de renseignement américaine. « Il s’introduit dans la plupart des messageries comme Gmail, Facebook, WhatsApp, FaceTime, Viber, WeChat, Telegram, celle d’Apple mails et autres. » Le fin du fin, il localise, traque, ni vu ni connu, sur ordre.
Pegasus, un prix non négligeable
L’achat et l’installation de ce système sont une opération complexe et coûteuse. Il faut avant tout une autorisation du ministère israélien de la Défense. Ensuite vient toute une infrastructure sophistiquée qui peut nécessiter une quinzaine de semaines de mise en place avec formation du personnel. Les coûts sont lourds : des documents de justice américains montrent que le groupe a vendu une installation au Ghana pour 8 millions de dollars, capable d’espionner juste 25 mobiles. A cela, on rajoute des frais de licence de 22% par an, ce qui fait 175.000 dollars par an. Ce qui est en ligne avec les chiffres cités par le New York Times : la société offre un centre de support 24/24, 7 jours sur 7. A ces frais se rajoutent des mises à jour et autres options habituelles en informatique. 2018 aurait été la meilleure année de NSO group.
Les propriétaires changent, les méthodes, non
En 2014, le NSO Group a été acheté par « Francisco Partners », société de participations américaine. En 2017, la même société prend une participation significative chez « Sandvine Inc. », qui est dans le même business que NSO group, avec une réputation tout aussi détestable : ventes a des régimes autoritaires, écoute d’opposants et participation à de basses œuvres de police, viol des règles de droit. Selon un communiqué, « Francisco Partners » aurait changé l’entièreté du management de « Sandvine » afin de corriger les dérives de la société. NSO Group, qui fait parler de lui pour les mêmes raisons, semble plus difficile à maîtriser. Toujours est-il que lors d’une nouvelle tempête médiatique en 2019, Pégase est revendu aux anciens fondateurs ainsi qu’à Novalpina, société de participation anglaise avec des filiales à Luxembourg. Selon Haaretz, un quotidien israélien NSO group a un endettement de plus de 500 millions qui tombent à échéance prochainement. De plus, l’administration Biden vient de blacklister NSO Group, ce qui bloque pratiquement toute possibilité de se refinancer. Selon Haaretz, ils seraient en pourparlers pour un rachat par « Integrity Partners », société proche du département américain de la défense. La proximité avec celui-ci devrait ramener à terme une normalité. Une arme redoutable à la technologie offensive passera ainsi sous giron des agences de sécurité américaines dans un contexte de guerre imminente.
Et ce n’est de loin pas terminé
Reuters informait, le 28 janvier dernier, que des diplomates finlandais avaient subi une attaque de type Pegasus sur leurs téléphones. Le hacking aurait eu une signature russe. La nébuleuse militaro-politique russe posséderait-elle Pegasus ? Non selon NSO, selon d’autres, cela aurait pu se faire via un pays tiers. La Finlande, avec une frontière commune avec la Russie, est dans le collimateur de Moscou.
Selon « newprivatemakets.com » du 5 août dernier Novalpina, propriétaire de NSO Group, gère également « Olympic Entertainment » groupe de casinos de jeux, qui avec 3000 employés est implanté dans les pays baltes, en Pologne, Slovaquie, Belarus, l’Italie et Malte.
Et au Luxembourg, après des sauts dignes de la procession dansante d’Echternach, et en réponse à une question parlementaire, le Premier ministre répondait, le 28 octobre dernier, par un communiqué laconique disant que « le SRE s’est doté d’un tel moyen ».
Le bien et le mal, des frères jumeaux ?
Le logiciel de NSO Group, probablement le meilleur connu en matière d’interception, n’est pas le problème en soi, mais c’est l’usage qui en est fait. Son utilisation aura permis d’arrêter le narco-trafiquant El Chapo en 2016 et bien d’autres criminels. Mais il a également été vendu à la Turquie, à la Hongrie et d’autres où il servirait à la chasse aux opposants selon le Citizen Lab de l’université de Toronto. Il semble difficile de garantir que le système ne se retrouve pas entre les mains de régimes comme ceux de l’Iran ou de la Corée du Nord. En 2018, un employé de NSO group aurait tenté de vendre pour 50 millions une version volée du logiciel. Il a été pris. Les Chinois ont leurs logiciels, très performants. Aux dires des spécialistes, ils seraient développés, pour certains, par de grandes sociétés de téléphone mobile. Nos démocraties sont fragiles. Le respect de l’état de droit mérite les meilleurs des gardiens dans un monde ou des opérations d’influence et de contrôle vont croissant. Qui contrôle les gardiens ?