Nicolas Arpagian, spécialiste en cybersécurité: Pegasus est une forme de « consumérisation de l’espionnage »
La surveillance d’opposants ou de dirigeants politiques étrangers pratiquée par onze Etats révèle l’accessibilité technique et financière des nouveaux outils du renseignement. Pour le spécialiste en cybersécurité Nicolas Arpagian, il est illusoire d’espérer pouvoir réguler la vente de ces logiciels.
Des chefs d’Etat, des opposants, des militants des droits de l’homme, des journalistes cibles de pratiques d’espionnage par onze Etats au moyen du logiciel espion Pegasus de la société israélienne NSO Group: telle est la substance des révélations du groupe de journalistes Forbidden Stories, en collaboration avec Amnesty International. Enseignant à l’Ecole de guerre économique (EGE) à Paris et auteur de La Cybersécurité (PUF, 2018), Nicolas Arpagian décrypte les particularités de cette méthode d’espionnage.
Quelle innovation le logiciel Pegasus apporte-t-il?
La capacité de s’insérer dans des téléphones portables est une technologie ancienne. Si vous passez quelques secondes sur votre moteur de recherche favori, vous trouverez des solutions qui vous permettront de récupérer en permanence la géolocalisation du téléphone, l’intégralité des mails, les mots de passe des applications, les métadonnées (c’est-à-dire qui a appelé qui, quand, pendant combien de temps). C’est en vente officielle à destination de deux publics: les parents pour leur permettre de suivre leurs jeunes enfants voire de surveiller leur vie numérique, et les enfants devenus adultes afin de retrouver un parent atteint d’une maladie dégénérative qui se serait perdu. Ces utilisations permettent de commercialiser cet outil. Sauf que le gros de la clientèle, ce ne sont ni les parents ni les enfants inquiets mais les conjoints jaloux et les employeurs suspicieux. Ils les utilisent à l’insu du propriétaire légitime du téléphone. Tout cela pour dire que la technologie existe depuis longtemps, qu’elle est accessible, et qu’il y a une demande pour ce type d’informations, a fortiori dans les cercles étatiques à des fins de renseignement. La société NSO a franchi une étape supplémentaire dans cette technologie en utilisant des « zero-day », les failles des systèmes opérationnels d’Apple, de Google ou d’autres, ce qui permet au logiciel Pegasus de s’immiscer dans l’équipement du téléphone sans l’avoir eu entre les mains et sans avoir adressé de message. Il atteint ainsi un niveau de technicité sans commune mesure.
Un logiciel espion n’est pas comme un missile que l’Agence internationale de l’énergie atomique peut inspecter à la faveur d’une visite dans un entrepôt.
Si Apple et Google résorbaient ces failles, le danger serait-il écarté?
En théorie, oui. Mais contrairement à l’aéronautique où l’on n’imaginerait pas le lancement d’un appareil sans que la performance de sécurité soit garantie à 99,9999%, l’industrie informatique s’est construite sur un autre modèle. Un logiciel est lancé, trouve son marché d’utilisateurs, s’améliore et se corrige au gré des mises à jour. Or, les nouvelles options ouvrent potentiellement une brèche dans la sécurité.
Pegasus contribue-t-il à une forme de « démocratisation » de l’espionnage?
La démocratisation est un acte valorisant. L’associer à l’espionnage est choquant. Je parlerais plutôt de consumérisation. Un logiciel de ce type devient un outil utilisable et accessible financièrement. Mais cette consumérisation n’est pas le fait de la société NSO. L’expérience a montré que la capacité des Etats à dépenser de l’argent pour obtenir ces moyens de surveillance était inversement proportionnelle à la pauvreté de leur territoire. Par contre, s’il y a une intensification de la technicité, c’est parce qu’il y a une demande. Le renseignement est une drogue dure. Quand vous avez pris l’habitude de connaître l’intégralité des conversations d’une personnalité qui vous intéresse ou vous préoccupe, vous y prenez goût.
Que vous inspirent les réactions aux révélations du Projet Pegasus?
Elles sont prévisibles. Les commanditaires présumés disent n’avoir jamais passé commande. Les prestataires clament que leur travail est de lutter contre les pédophiles et les trafiquants de drogue. Et les victimes sont dans le « no comment ». La France n’a pas rompu ses relations avec le Maroc. La question importante sera de voir quelle sera la réactivité des magistrats aux plaintes déposées par certaines victimes présumées de cet espionnage.
Quelle est la responsabilité du gouvernement israélien, lui qui doit valider la vente du logiciel Pegasus, dans cet espionnage?
Il est peu vraisemblable que la société NSO agisse en toute indépendance et qu’elle soit déconnectée de l’administration israélienne. Dans le domaine du cyberespace, les Etats s’appuient en partie sur des « mercenaires numériques » qui vont conduire des opérations pour leur compte. Le deal est en général le suivant: quand l’Etat a besoin de leurs services, ils sont priés de collaborer ; en contrepartie, le pouvoir se garde de leur chercher noise au quotidien, et s’il reçoit des demandes de coopération policière ou judiciaire internationales, il les traite avec la lenteur administrative qui convient.
Difficile de ne pas imaginer qu’Israël utilise ce logiciel espion pour ses propres intérêts…
Israël a-t-il accès à ce logiciel? Vraisemblablement, oui. A-t-il les moyens de l’utiliser et d’exploiter les renseignements qu’il fournirait? Evidemment, oui. Les conversations enregistrées en continu à propos de la vie de certaines personnalités intéressent-elles Israël? Oui.
Peut-on imaginer de réguler davantage la vente de ces logiciels espions?
C’est un serpent de mer. Ces logiciels relèvent de ce que l’on appelle des activités duales. Prenez les armes de guerre. Une classification existe. Sur cette base, une législation internationale fixe les règles qui régissent leur commerce, y compris, si besoin, l’interdiction de les vendre. Les logiciels informatiques ne peuvent pas être classés selon un modèle semblable. Un logiciel peut être démembré en lui ajoutant une ligne de code. Il peut se voir assigner de nouvelles fonctionnalités à l’occasion d’une mise à jour. Bref, ce n’est pas comme un missile que l’Agence internationale de l’énergie atomique peut inspecter à la faveur d’une visite dans un entrepôt. Pour un logiciel, le problème principal n’est pas d’édicter une législation, c’est de la faire appliquer.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici