Les logiciels espions pour états, la zone grise du marché de la cybersécurité
Sur le papier, les acteurs de la cybersécurité produisent des logiciels qui protègent les individus et les entreprises. Dans cette logique, certains outils sont développés spécifiquement pour surveiller des organisations terroristes et leurs leaders. Mais vendus à des des régimes autoritaires, ces mêmes outils sont aussi utilisés pour traquer des opposants au régime.
Pegasus : le monstre de NSO
Vous êtes un journaliste critique envers votre pays : l'Arabie Saoudite. Vous êtes en opposition totale avec le nouveau prince héritier, Mohammed Ben Salmane alias MBS, homme fort du régime qui héritera du trône à la mort de son père. Vous vivez entre l'Amérique du Nord et la Turquie et êtes régulièrement en contact avec des exilés saoudiens via des services de messagerie comme WhatsApp ou Messenger.
Un jour vous recevez un lien à propos d'une commande en ligne, vous cliquez, on vous informe qu'il s'agit d'une erreur puis vous refermez la page web. Comme vous devez vous marier, vous vous rendez au consulat saoudien d'Istanbul pour y récupérer des documents nécessaires à la procédure. Vous rentrez dans le consulat, on vous fait attendre dans une pièce, puis un groupe d'hommes vous tombe dessus, vous arrête, vous torture puis vous exécute et font disparaitre votre corps.
Nous sommes le 2 octobre 2018, vous êtes Jamal Khashoggi et le logiciel Pegasus vient de provoquer votre mort. Ce logiciel développé par la société israélienne NSO est redoutable, il s'infiltre dans le téléphone de la victime via un simple lien qui peut être transmis par un sms. Une fois dans le système, Pegasus va transmettre l'intégralité du contenu de votre smartphone à ses commanditaires, et dans le cas de Jamal Khashoggi, aux services secrets saoudiens. En effet, Pegasus a été déployé contre l'ensemble de l'opposition saoudienne en exil et a permis de créer la suite d'évènements qui a causé la mort de Khashoggi, le pouvoir saoudien ayant eu vent de ses projets de médias.
Une autre victime de Pegasus : Jeff Bezos
Une licence d'utilisation du logiciel Pegasus sur une cible coûte 25 000 dollars américains, et toute vente de ce logiciel à un pays doit recevoir l'autorisation du gouvernement israélien. Mais Pegasus n'a pas été utilisé que contre les exilés saoudiens, Jeff Bezos le patron d'Amazon a lui aussi été victime de ce logiciel. Lors de négociations avec MBS sur une possible installation d'Amazon dans le royaume wahhabite, son téléphone a été infecté par Pegasus car MBS voulait pouvoir anticiper ses prochaines décisions.
Puis MBS a utilisé ce judas virtuel pour savoir si Jeff Bezos allait réagir à la mort violente de l'un de ses salariés : Jamal Khashoggi était en effet employé au Washington Post, propriété du milliardaire américain. Enfin, lorsque celui-ci décida de rompre tout lien avec MBS, des photos compromettantes furent fournies à la presse à scandale grâce à Pegasus. Ces photos provoquèrent le divorce de Jeff Bezos, qui fit scanner sont smartphone et découvrit que son "ami" MBS lui avait lui-même envoyé le lien infecté par Pegasus. Les victimes de Pegasus se comptent en dizaines de milliers car le gouvernement saoudien n'a pas été le seul acheteur : il y eut entre autre le Maroc, l'Azerbaïdjan, Bahreïn, l'Inde, le Mexique et le Kazakhstan. Les Etats-Unis ont aussi acheté Pegasus, ils l'ont même amélioré, et cette version nommée Phantom est utilisée dans la traque de terroristes.
Da Vinci : l'outil d'Hacking Team
Jeune étudiant italien de Cambridge, vous décidez de faire votre thèse sur les syndicats ouvriers indépendants du Caire. Une fois arrivé sur place, vous commencez à vous créer un petit réseau, rencontrez un grand nombre de personnalités du monde syndical de gauche. Le 25 janvier 2016, vous prenez le métro pour rejoindre un de vos amis au marché de Bab al-Louk. Mais vous n'y arriverez jamais. On retrouvera votre corps sur le bas-côté d'une route reliant la Caire à Alexandrie, vous êtes Giulio Regeni. A la suite de ce meurtre, la tension diplomatique monte brutalement entre l'Italie et l'Egypte. Le gouvernement italien soupçonne que les responsables de l'enlèvement et de la mort de Regeni sont des membres de la Keta El Amn El Watani, ou Homeland Security. Cette agence de renseignement est chargée du contre-espionnage ainsi que du contre-terrorisme.
Mais on la soupçonne aussi de surveiller les opposants politiques du Président Al-Sissi. Homeland Security est dotée d'un puissant réseau d'informateurs mais surtout elle a su rentrer dans le XXIème siècle en développant des équipes agissant dans le cyberespace. Ses outils cyber se basent grandement sur de la technologie occidentale dont le Da Vinci de la compagnie italienne Hacking Team. Ce logiciel coute 55 000 dollars à l'achat, il permet de pénétrer dans les ordinateurs et les smartphones d'une cible, d'en soutirer toutes les données et de l'espionner.
Hacking Team a vendu cette technologie à un grand nombre de gouvernements et a aidé plusieurs services de renseignement à développer des outils de surveillance cyber. Cette entreprise vendait sa solution sans en référer au gouvernement italien car ce dernier lui avait donné carte blanche. Résultat, elle a collaboré avec des pays connus pour bafouer les droits de l'Homme, comme le Soudan et le Venezuela. Les outils d'Hacking Team ont été très utiles aux polices secrètes de ces deux pays pour réprimer leurs oppositions.
La société a aussi aidé les renseignements russes à développer leurs outils de cybersécurité, outils qu'ils utilisent actuellement contre l'Ukraine et les membres de l'OTAN, dont l'Italie fait partie. Pour finir Hacking Team ne se soucie pas ce qui est fait de ses logiciels : à quoi servent-ils ? Le client les revend-t-il à une autre entité, etc ? Conséquence, des officiels mexicains clients d'Hacking Team ont revendu les logiciels aux cartels de la drogue mexicains. Les cartels utilisèrent ces outils pour surveiller les médias mexicains ce qui aboutit à la mort de journalistes d'investigation. L'affaire Giulio fut celle de trop pour le gouvernement italien, il décida de sanctionner lourdement Hacking Team. Par décret, il interdit à la compagnie de cybersécurité de signer des contrats hors-Europe.
Amesys, les oreilles de Kadhafi
28 août 2011, Tripoli est libérée par les forces rebelles, les unités loyales au colonel Kadhafi sont soit détruites soit en déroute. Dans leur fuite, elles n'ont pas pu détruire leurs archives et leurs équipements. Un groupe de rebelles accompagné par des membres du Wall Street Journal pénètrent dans le QG de la Mukhabarat el-Jamahiriya, les services secrets du régime. Ils vont y découvrir les installations d'écoute du régime et faire une trouvaille pour le moins dérangeante pour l'entreprise française Amesys.
Le régime de Kadhafi avait mis sur écoute tous les échanges téléphoniques ainsi que les échanges internet de sa population grâce au logiciel Eagle, propriété de la société française Amesys. L'état libyen avait utilisé ce système d'écoute pour éliminer la plupart de ses opposants. Amesys n'avait cependant rien fait d'illégal, l'export de ce logiciel ayant été fait avec l'accord du gouvernement Sarkozy qui tentait au début de son mandat un rapprochement avec Tripoli. Face au tollé soulevé par cette nouvelle, la société mère d'Amesys, Bull, décide de se séparer d'elle. Finalement, une partie de l'équipe dirigeante d'Amesys quittera l'entreprise et fondera deux nouvelles sociétés de vente de logiciels de surveillance.
Mais l'affaire Amesys ne s'arrêtera pas là. En juin 2021, l'ancienne équipe dirigeante d'Amesys est mise en examen à Paris pour "complicité d'acte de torture". Cette affaire pourrait donc créer un précédent et dans le futur, les entreprises qui vendent des logiciels de surveillance pourraient être jugées responsables si ces logiciels entrainent la mort d'innocents.
Les logiciels ne sont pas le problème
Ces logiciels sont-ils pour autant à bannir ?En effet, combien d'attentats ont pu être évités grâce à Phantom, la version de Pegasus utilisée par la CIA ? Idem pour Da Vinci. Le problème vient surtout du fait que ces logiciels peuvent être utilisés à mauvais escient. Et vu leur niveau de dangerosité, leur vente doit être plus strictement encadrée pour qu'ils ne puissent pas se retourner contre des innocents.