Pegasus, les dessous de l'enquête : "Il a parfois fallu mettre nos téléphones dans le frigidaire"

Il y a un peu plus de deux ans éclatait le scandale Pegasus. Une enquête conduite par un consortium de journalistes levait le voile sur l’espionnage massif mené à l’aide de ce logiciel conçu par l’entreprise israélienne NSO Group, et commercialisé dès 2013 auprès d’une quarantaine d’Etats à travers le globe. Le grand public découvrait à cette occasion l’effrayante capacité de Pegasus à aspirer n’importe quelles données d’un téléphone, à en activer également le microphone et la caméra à distance, sans aucun effort. Au-delà de cette méthode d’intrusion ultra-sophistiquée, les centaines de journalistes, politiciens et militants des droits de l’homme infectés par ce mouchard tranchaient alors avec les personnes supposément visées par les clients de NSO, à savoir les criminels et les terroristes. En dépit de la vive émotion provoquée par l’identification de ce système de cybersurveillance, dans la droite lignée de celui mis au jour par le lanceur d’alerte Edward Snowden, la liste des victimes continue aujourd’hui de s’allonger.

Dans leur ouvrage Pegasus, démocraties sous surveillance, publié le 14 septembre, les journalistes d’investigation français Sandrine Rigaud et Laurent Richard, à l’origine de ces révélations sur Pegasus, reviennent sur leur fastidieux et risqué travail d’enquête. Ils explorent les ravages de l’outil sur les hommes et les femmes dont la vie et le travail ont été épluchés partout dans le monde. Et bien sûr, évoquent les zones d’ombre qui entourent encore ce logiciel si puissant. Entretien.

L’Express : L’histoire débute avec une liste de 50 000 numéros potentiellement infectés par Pegasus. Comment se déroule ensuite l’enquête ?

Sandrine Rigaud : On cherche prioritairement à déterminer quelles sont les cibles qui se cachent derrière ces numéros. Notre premier réflexe est de croiser cette liste à nos propres contacts téléphoniques. On y découvre, Laurent et moi, des premières victimes potentielles. Dans le cas de Laurent, il y a notamment la journaliste azerbaïdjanaise Khadija Ismayilova avec laquelle il a déjà travaillé. Elle est menacée par son gouvernement et elle a déjà passé plusieurs années en prison. On retrouve également des journalistes mexicains. Je constate grâce à mon répertoire la présence de Jorge Carrasco, à la tête de Proceso, un magazine d’investigation avec lequel on travaille au moment même où l’on met la main sur cette liste, dans le cadre du projet Forbidden Stories [NDLR : une plateforme fondée par Laurent Richard permettant à des journalistes menacés de mettre à l’abri leurs informations, et à d’autres de poursuivre leur travail en cas d’emprisonnement voire d’assassinat].

Ces premiers éléments nous font comprendre que le sujet est extrêmement préoccupant. Mais on ne peut pas uniquement avancer avec nos contacts téléphoniques ou avec ceux de nos collègues. L’ONG Amnesty International et son "Security Lab" (centre de cybersécurité), à l’origine de la liste, élaborent une procédure afin d’accélérer l’identification. Ils utilisent par exemple des applications comme Truecaller ou encore Callapp afin de remonter aux personnes derrière les numéros. On atteint rapidement 200 journalistes identifiés. Des militants des droits de l’homme, des avocats, des scientifiques, des hommes politiques, opposants ou non à des régimes, sont aussi détectés via leurs numéros. En France, des membres du gouvernement Edouard Philippe et le président de la République Emmanuel Macron font partie des victimes. On se doute donc déjà, à cet instant, que Pegasus ne cible pas seulement des criminels ou des terroristes comme l’affirmait jusqu’ici son concepteur, NSO Group. Mais ce n’était pas terminé. La deuxième étape, encore plus délicate, nécessitait d’apporter des preuves concrètes de l’infection sur les téléphones. Il fallait les analyser, sinon, on ne publiait pas.

C’est comme si on regardait constamment au-dessus de votre épaule, en bien pire

Un vrai casse-tête…

Sandrine Rigaud : Comment prendre contact avec des gens qui sont potentiellement sous surveillance ? On ne voulait surtout pas les mettre en danger. Beaucoup vivent alors dans des pays non démocratiques, ils risquent leur vie et leur liberté. On procède au cas par cas. Pour chaque personne, on réfléchit aux moyens adéquats. Dans certaines situations, très périlleuses, cela a parfois pris beaucoup de temps. Informer Khadija Ismayilova de la situation a demandé de longs mois, attendre qu’elle quitte l’Azerbaïdjan puis la retrouver en Turquie. Il faut aussi savoir que l’on ne mène pas seuls cette enquête. Quelque 80 journalistes du monde entier travaillent aussi sur la liste. Il a fallu être créatif, beaucoup se déplacer aussi, afin de collaborer efficacement. Le genre de rencontres où l’on demande aux participants de mettre les téléphones dans la chambre à côté, dans le frigidaire ou même dans le micro-ondes, quelque part où l’appareil ne pouvait pas enregistrer nos voix. Nous-mêmes, on se disait qu’on apparaîtrait tôt ou tard sur la liste des personnes ciblées. Un journaliste d’investigation est par nature extrêmement prudent. Mais là, il est certain que Pegasus nous a rendus un petit peu plus parano que d’habitude…

Laurent Richard : Il faut le comprendre : Pegasus est une arme militaire utilisée massivement contre des civils. Il s’agit du logiciel le plus sophistiqué jamais conçu en matière d’espionnage. Il est capable de passer à travers des applications chiffrées… C’est comme une personne qui regarde constamment au-dessus de votre épaule. Et c’est même bien pire. C’est ce que nous disait Khadija Ismayilova, qui nous a confié que Pegasus la touchait, elle, dans son intimité, mais aussi toutes les personnes qui lui font confiance, sa famille, ses amis. Le logiciel agit comme une sorte de contagion dont il est difficile de se relever. Car les régimes politiques veulent à tout prix mettre la main sur leurs sources, et par extension, savoir quels sont les possibles "traîtres" dans l’administration qui fournissent des documents confidentiels pour informer l’opinion publique, via un journaliste, par exemple. Ils veulent tuer les articles, les histoires.

Pourquoi Pegasus a pu rester aussi longtemps sous les radars ? De premiers rapports, dès 2016, révèlent son implantation dans des téléphones des civils à des fins d’espionnage. Or, le scandale n’éclate véritablement que cinq ans plus tard…

Laurent Richard : Le logiciel était connu dans les milieux cyber et du renseignement. Mais l’omerta a été rendue possible par la discrétion des clients : des dictatures comme des pays membres de l’Union européenne (UE). On sait que l’Allemagne utilise Pegasus ou l’a utilisé, tout comme le Luxembourg, l’Espagne, mais aussi la Hongrie, la Pologne, sans doute les Pays-Bas. Et ceux qui ne l’utilisaient pas n’étaient pas incités à le dénoncer, puisqu’ils pouvaient potentiellement obtenir de précieuses informations récupérées par leurs alliés via ce logiciel. L’ancien patron de NSO, Shalev Hulio, qui a démissionné depuis, affirmait que la plupart de son chiffre d’affaires venait de l’UE. La deuxième raison à ce silence réside dans les moyens financiers alloués à la surveillance de Pegasus, qui n’ont pas été à la hauteur de ceux investis par NSO pour son programme.

Sandrine Rigaud : L’entreprise, fruit de l’excellence israélienne dans le domaine cyber, a en effet investi des millions d’euros dans la recherche pour trouver des vulnérabilités capables de pénétrer dans les téléphones. Elle a spécifiquement visé le marché du téléphone portable dès le début de la décennie précédente, et a été parmi les premières à mettre au point des attaques 0-clic extrêmement performantes. A la différence de ce qui se faisait ailleurs, il n’y avait cette fois pas la nécessité de cliquer sur un lien ou un message afin d’être infecté. Pegasus devenait ainsi invisible. Ses ingénieurs se sont même débrouillés pour que les traces laissées sur le téléphone par le logiciel se confondent à celles laissées par une utilisation normale du système d’exploitation de l’appareil. Il a fallu compter sur l’obsession de Claudio et Donncha, du Security Labs d’Amnesty, pour résoudre ce puzzle. C’est un vrai travail de fourmi qui, d’un seul coup, s’est accéléré quand on a eu accès à cette liste parce qu’ils ont ensuite pu analyser beaucoup de téléphones. Donc, ils trouvaient de plus en plus d’indices et ainsi de suite. L’enquête technique, sur Pegasus, a été très évolutive.

Laurent Richard : Ces deux trentenaires, des anciens hackers, ont fourni les preuves des infections, ce qui est le plus difficile à glaner dans ce type d’enquêtes sur des faits d’espionnage. Enfin, ils ont eu le courage de rendre public leurs méthodes, ce qui n’était pas facile, car ils abattaient leurs cartes face à NSO. Pour infiltrer un iPhone, Pegasus utilise une faille qu’Apple n’a pas identifiée dans son système de paiement ou son application de musique installée par défaut. Ils l’utilisent comme porte d’entrée pendant deux semaines, trois mois ou un an, le temps que la marque à la pomme s’en aperçoive. Ce travail a toutefois permis à des victimes de s’identifier et de savoir qu’elles ont été espionnées.

On ignore encore ce qu’a donné l’enquête technique du téléphone d’Emmanuel Macron. Il y a un refus de transparence là-dessus

Ces preuves ont notamment permis de relier Pegasus au journaliste saoudien Jamal Khashoggi, assassiné le 2 octobre 2018 au consulat d’Arabie saoudite à Istanbul. Ce cas occupe une bonne place dans votre livre.

Sandrine Rigaud : Ce cas est important parce qu’il met en avant le cynisme de l’entreprise NSO, qui a toujours revendiqué sa différence, sa transparence. Celle-ci avait même embauché des consultants spécialisés sur la question des droits de l’homme à l’image de l’ancien ambassadeur français aux Etats-Unis Gérard Araud. Son PDG niait d’ailleurs toute implication dans l’affaire Khashoggi. Cependant, sans avoir accès au téléphone de ce dernier, nous avons pu prouver que le logiciel avait bien été utilisé contre deux femmes proches du journaliste, dont l’une alors qu’elle se trouvait devant le consulat où il est mort. Il est donc probable que des informations récupérées via Pegasus ont été utilisées pour l’assassiner.

Que sait-on aujourd’hui de l’utilisation concrète de Pegasus par des Etats à des fins d’espionnage ?

Laurent Richard : Tout dépend de leurs besoins et de l’enveloppe pour acheter Pegasus. En raison de son développement coûteux, le logiciel est cher et son tarif évolue en fonction du nombre du nombre de cibles que vous êtes autorisés à traiter en simultané. Vous pouvez acheter des forfaits à 50 cibles ou un peu plus. Nous, de ce qu’on a pu comprendre, c’est que son usage est très opportun. Par exemple : entre 10 heures et 11 heures, un opérateur de renseignement va activer Pegasus sur l’appareil d’une personne parce que cette dernière a un rendez-vous avec un individu qu’il faut espionner. C’est ce qu’il s’est vraisemblablement passé, en février, dans le cas de la journaliste russe en exil Galina Timchenko, rédactrice en chef du média Meduza. Son téléphone a été infecté par Pegasus alors qu’elle se trouvait en déplacement à Berlin, à la rencontre d’une source. Access Now et le laboratoire de recherche canadien Citizen Lab l’ont dévoilé il y a seulement quelques jours. Parmi les principaux suspects se trouvent bien entendu la Russie, mais aussi, potentiellement, des pays de l’UE.

Les Etats restent majoritairement silencieux, victimes comme auteurs présumés de l’espionnage, malgré les scandales. Pourquoi ?

Laurent Richard : Oui, par exemple en France, on ignore encore ce qu’a donné l’enquête technique du téléphone d’Emmanuel Macron. Il y a un refus de transparence là-dessus. On a senti un certain amateurisme ainsi qu’un grand embarras de l’exécutif d’apprendre par voie de presse leur espionnage. Ils ont dû s’appuyer sur les mêmes protocoles que nous pour tester leurs téléphones, et ils nous ont même réclamé la liste des numéros, que l’on a refusé de divulguer au nom du secret des sources. La France a été très timide par rapport à ceux qui sont suspectés d’avoir agi. Pour le cas des officiels français, le Maroc est fortement suspecté. Tout ceci, à mon sens, révèle la plus grande victime de Pegasus : la démocratie. Que peut-on faire contre ce logiciel ? Quelles lois nous en protègent ? Aucun Etat n’est prêt à assumer en être victime ou l’utiliser, au nom de la sécurité nationale. Et il y a peu de chance qu’un tribunal israélien ne condamne un jour NSO. A ce jour, la Silicon Valley et Apple sont les seuls à vraiment se démener, en opérant des campagnes de notification des victimes, en renforçant la sécurité de leurs appareils [NDLR : chez Apple, une nouvelle mise à jour d’iOS pour contrer une éventuelle infection de Pegasus a été dévoilée la semaine dernière]. Tout cela n’est que le début d’une prise de conscience.

Pegasus a aujourd’hui des petits. D’autres entreprises, RCS Labs ou L3Harris Technologies, ainsi que des programmes tels que Predator ou Hermit semblent prendre le relais, alors que NSO est dans le viseur des Etats-Unis…

Laurent Richard : Oui, absolument. Pegasus a déjà plein de petits et ils vont très bien. Ils sont sevrés et grandissent. Ils profitent des nouveaux clients perdus de NSO. Les Saoudiens, notamment, se sont détournés de NSO vers d’autres entreprises. C’est une industrie qui grandit à l’abri des regards, à l’abri du régulateur, à l’abri des taxes.

Qui contrôle ceux qui contrôlent cette arme ?

Quelles zones d’ombre persistent dans cette affaire ?

Laurent Richard : La principale, c’est qui l’utilise, et comment. Les démocraties devraient être les premières à en informer leurs citoyens. Non pas, forcément, pour interdire complètement Pegasus, car il y a de vrais terroristes et des criminels qui doivent être surveillés et leurs actions empêchées. Mais la question du contre-pouvoir se pose : qui contrôle ceux qui contrôlent cette arme ? Il y a également des pistes à creuser sur le marché des logiciels espions et sur ces vulnérabilités vendues à prix d’or par des hackers à des intermédiaires, qui alimentent ensuite des firmes comme NSO Group. Enfin, il y a tout un débat sur la connaissance de NSO des agissements de ses propres clients. La question leur a déjà été soumise : "Comment faites-vous pour vous assurer qu’il n’y a pas de violation des droits de l’homme avec votre logiciel et que des journalistes ne se retrouvent pas espionnés ?" L’entreprise a admis qu’il existait des "logs", ces bases de données répertoriant les moments d’utilisation de Pegasus. La preuve existe donc bien quelque part.

Une dernière part de mystère réside dans le rapport réel entre les services secrets israéliens et NSO. Quel est le niveau de porosité ? Il s’agit quand même d’une société qui a besoin du ministère de la Défense pour exporter ses licences de logiciel. D’une boîte qui fait travailler des anciens de l’unité d’élite 8200, du renseignement. Cette proximité interpelle. Quand on achète Pegasus à NSO, finalement, est-ce que l’on ne se retrouve pas d’une certaine façon aux côtés du Mossad ?