Pegasus, c’est un scandale de cybersurveillance qui marquera à jamais l’histoire. Deux ans après les premières révélations, les enquêtes peinent à avancer. Plongée au cœur d’un système mondial de surveillance.
18 juillet 2021, 17h59. Dans une minute, dix-sept médias vont révéler le plus gros scandale d’espionnage depuis l’affaire Snowden. Nom de code "Pegasus", le logiciel espion de l’entreprise israélienne NSO group.
18h : la bombe est lancée. Certains États sont des espions. Ils utilisent Pegasus comme une arme contre des militants, des journalistes. Les téléphones de chefs d’États, dont Emmanuel Macron, sont également sur la liste des cibles potentielles. En moins de 24 heures, l’enquête des 80 journalistes du consortium d’investigation réunis autour de Forbidden stories et du Security Lab d’Amnesty International fait la une de la presse internationale et irrigue les réseaux sociaux, les ondes et les écrans du monde entier.
Il y aura un avant et un après Pegasus. Et pour cause… L’affaire Pegasus c’est une fuite de 50 000 numéros de téléphone sélectionnés pour être potentiellement surveillés par des États. Les journalistes ont eu accès à cette liste et divulgué les noms des victimes et des personnes ciblées.
Stop à la surveillance numérique ciblée
LES VISAGES DES VICTIMES
Derrière ces attaques numériques, il y a des vies humaines. Le travail conjoint des journalistes et des experts du Security Lab d'Amnesty International a révélé leurs noms. Cecilio Pineda Brito, un journaliste mexicain, enquêtait sur le narcotrafic dans la région de Tierra Caliente. Le 2 mars 2017, alors qu'il est couché dans un hamac près d'une laverie, dans sa ville de l’État du Chiapas, il est criblé de balles par un commando de deux hommes en moto. Le lien avec Pegasus ? Depuis plusieurs semaines, Cecilio figurait sur la liste des numéros potentiellement ciblés par le logiciel. Le Mexique est soupçonné d’être le premier client du logiciel israélien.
Au fil des investigations, un autre nom apparait : Jamal Khashoggi, l’un des rares journalistes à avoir osé critiquer la monarchie saoudienne. En 2018, il est sauvagement assassiné à l'intérieur du consulat d'Arabie saoudite à Istanbul. Une opération commando orchestrée par les autorités saoudiennes. Pegasus semble avoir joué un rôle déterminant. Le Security Lab d'Amnesty International a pu analyser le téléphone de sa compagne, Hatice Cengize. Résultat : quatre jours après la mort de Jamal Khashoggi, Pegasus était installé sur son téléphone. Les auteurs de l’attaque pouvaient donc suivre, en direct, chacun de ses échanges et le moindre de ses déplacements.
Les révélations se poursuivent : les victimes sont aussi des journalistes français comme Edwy Plenel, directeur de Mediapart, ou Lenaïg Bredoux, une des journalistes du site d’investigation. C’est un choc. Leurs appareils ont été expertisés par le Security Lab d'Amnesty International. Il ne fait aucun doute : leurs téléphones ont bien été infectés par Pegasus.
À ces noms célèbres s’ajoutent ceux, moins connus, d’activistes, de militants, de journalistes, de diplomates, etc.
PEGASUS, UN ESPION DANS VOTRE POCHE
Pour vendre son redoutable logiciel espion à un État, l’entreprise israélienne NSO doit obtenir l’aval des autorités israéliennes. Un scénario de film d'espionnage ? Nous y sommes presque, sauf que la réalité a pris le pas sur la fiction.
Pégase, le cheval ailé d'Hercule, est une créature fantastique de la mythologie grecque. Et voilà que débarque Pegasus, l'arme d'États, créature numérique mais bien réelle du XXIe siècle. Facile à installer, impossible à détecter, Pegasus s’infiltre dans les téléphones portables. Pas besoin de cliquer sur un lien piégé, le logiciel espion peut s'introduire "ni vu, ni connu" dans votre téléphone. Pegasus peut alors récupérer toutes les données : messages, emails, appels, photos, vidéos, contacts, localisation, historique de navigation, codes bancaires, etc. Pegasus accède à tout. Pire encore, il peut prendre le contrôle, en temps réel, de la caméra et du micro de l'appareil.
NSO NIE EN BLOC
Comment un logiciel, qui représente une menace directe et réelle pour des milliers de personnes, a-t-il pu être conçu et si largement distribué ? Pour « Lutte contre le terrorisme », se défend NSO Group. Un journaliste comme Edwy Plenel serait donc un terroriste ? C’est là où est le danger : Pegasus est une arme numérique qui, sous couvert de lutte contre le terrorisme, est utilisée illégalement contre des membres de la société civile. Parce que leurs activités professionnelles dérangent. Parce que leurs opinions politiques bousculent. Parce que leurs combats pour la défense des droits humains embarrassent.
Avec Pegasus, des moyens d’espionnages sophistiqués, autrefois réservés à quelques États, se démocratisent pour le pire…
LA CONTRE-ATTAQUE
Le scandale appelle une réponse judiciaire dans différents pays. À ce jour, cinq enquêtes ont été enregistrées dans le monde. À l’origine des poursuites : des citoyens, des journalistes mais des entreprises aussi, comme Apple qui dépose plainte en novembre 2021 contre NSO Group. En France, le parquet de Paris ouvre une enquête en juillet 2021. La contre-attaque est politique, aussi. Le Parlement européen ne compte pas en rester là et lance en mars 2022 une commission d’enquête.
Après le travail d’analyse du Security Lab d’Amnesty International, notre ONG se met en ordre de bataille. Pegasus n’est que la partie émergée de l’iceberg. Face à des technologies de cybersurveillance toujours plus discrètes et invasives, que faire ? Amnesty International appelle à un moratoire mondial sur les transferts et l’utilisation des technologies de cybersurveillance, en attendant l’adoption d’un cadre réglementaire respectueux des droits humains. Les enjeux sont clairs : la protection de la vie privée, de l’intimité mais aussi et in fine des libertés d'expression, de réunion, d'association et d’information. Chez Amnesty France, c'est Katia Roux qui est experte sur ces questions. Au quotidien, elle défend nos droits. Comment ? En faisant du plaidoyer auprès des décideurs, c'est à dire en influant sur les lois qui sont votées pour qu'elles protègent nos droits essentiels.
La France a un vrai rôle à jouer pour que les pratiques de surveillance numérique changent et soient conformes aux exigences du droit international. Notre rôle, c’est de la pousser à agir et à prendre ses responsabilités
Katia Roux, chargée de plaidoyer Libertés à Amnesty International France
Lire aussi : L'action d'Amnesty International aux Nations-Unies sur la cybersurveillance
TOUS SURVEILLÉS, TOUS CONCERNÉS
La surveillance numérique nous concerne toutes et tous, parce que nous pouvons toutes et tous êtres ciblés.
La surveillance numérique ciblée est l’affaire de tous parce qu’elle vise celles et ceux qui défendent nos droits, qui nous informent, qui nous alertent. Personne ne souhaite que ses données personnelles, intimes, ne tombent entre de mauvaises mains.
Katia Roux
La vie numérique aujourd'hui, c'est aussi la vie réelle. Nos smartphones sont progressivement devenus nos assistants personnels à qui nous confions souvent nos secrets. « Je n'ai rien à cacher », direz-vous. Peut-être, mais vous avez une intimité à préserver. Avec des logiciels espions tels que Pegasus, votre intimité ne vous appartient plus. Quid des militants, des journalistes, qui de fait, ont des choses à cacher ou plutôt des informations à protéger ? Ce sont eux que les États clients de Pegasus cherchent à tout prix à surveiller. Espionner des journalistes, c’est vouloir les intimider, c’est vouloir leur faire peur, c’est vouloir les dissuader de publier certaines informations.
Il est clair qu’un changement urgent et radical doit s’opérer dans le secteur de la surveillance numérique ciblée, secteur dangereux et opaque.
Sans réglementation, c’est une société de surveillance généralisée qui peut se mettre en place, sur laquelle nous n’aurons plus aucun contrôle. Parce que ces technologies sont devenues de véritables armes numériques contre nos libertés individuelles, il est urgent d’agir. Tant qu’il est encore temps.
Visuel - conception graphique © Élise Desmars-Castillo
RÉVÉLATIONS PEGASUS - FAITS MARQUANTS PAR PAYS
Emmanuel Macron, Édouard Philippe et quatorze ministres en exercice en 2019 cibles potentielles de Pegasus.
Des journalistes (Edwy Plenel, Rosa Moussaoui, Lénaïg Bredoux) et des avocats ciblés par Pegasus.
Plaintes déposées contre X ou NSO Group par Mediapart, L’Humanité, RSF, Le Canard enchainé, le Syndicat national des journalistes, Gulf Center for Human Rights.
Les autorités françaises confirment l’espionnage de plusieurs journalistes français, demandent à Israël d’enquêter sur le sujet et d’exclure les numéros français des cibles potentielles de Pegasus (sources : médias).
Le parquet de Paris ouvre une enquête en juillet 2021 sur la surveillance des journalistes. Elle est confiée à un juge d’instruction en juillet 2022.
Des membres de la famille du journaliste saoudien Jamal Khashoggi pris pour cibles par Pegasus avant et après son assassinat à Istanbul en 2018 par des agents saoudiens. NSO Group l’a nié à maintes reprises.
Le président libanais Michel Aoun, l’ex-premier ministre Saad Hariri et des cadres du Hezbollah potentiellement ciblés par Pegasus en 2018 et 2019 (sources : médias).
Le président du groupe d’experts des Nations unies sur la guerre au Yémen, Kamel Jendoubi, espionné via Pegasus en 2019 (sources : médias).
Les autorités saoudiennes démentent les accusations d’espionnage.
Des dizaines de politiciens et de journalistes catalans, ainsi que leurs proches, pris pour cibles par Pegasus entre 2015 et 2020 (source : Citizen Lab).
Le chef du gouvernement espagnol, Pedro Sanchez et sa ministre de la Défense Margarita Robles espionnés par Pegasus.
Les services de renseignements espagnols reconnaissent avoir espionnés des indépendantistes catalans (source : médias).
Pedro Sanchez annonce une réforme de la loi sur le fonctionnement des services de renseignements.
Le ministère américain du Commerce place NSO Group sur sa liste des entités aux cyberactivités malveillantes.
Apple et WhatsApp ont tous deux intenté des poursuites contre NSO devant les tribunaux américains pour avoir ciblé leurs utilisateurs.
Plus de 300 citoyens hongrois identifiés comme cibles potentielles de Pegasus, parmi lesquels des journalistes.
Plusieurs cas confirmés d’installation effective du logiciel espion.
L’enquête ouverte a rapidement conclu que l’utilisation de Pegasus par la Hongrie n’était pas illégale (sources : médias).
Plus de 1 000 numéros indiens de journalistes, activistes, membres de l’opposition choisis comme cibles potentielles par Pegasus (sources : médias).
Au moins 40 journalistes de presque tous les grands médias du pays ont été désignés comme cibles entre 2017 et 2021.
Les téléphones de Siddharth Varadarajan et de M. K. Venu, cofondateurs du média en ligne indépendant The Wire, infectés par Pegasus en juin 2021.
La Cour suprême indienne ouvre une enquête sur l’utilisation présumée de Pegasus par le gouvernement en octobre 2021.
Les téléphones de Salah Hamouri et d’autres défenseurs des droits humains palestiniens ont été piratés par Pegasus (source : Frontline defenders).
Le Mexique est soupçonné d’être le premier client de NSO (15 000 personnes désignées comme cibles potentielles de Pegasus entre 2014 et 2017 (sources : médias).
Le Projet Pegasus a identifié au moins 25 journalistes mexicains ayant été désignés comme cibles en l’espace de deux ans.
Le téléphone du journaliste Cecilio Pineda choisi comme cible potentielle quelques semaines seulement avant qu’il ne soit tué en 2017.
Utilisation de Pegasus pour pirater le sénateur polonais Krzysztof Brejza, alors qu’il dirigeait la campagne de l’opposition pour l’élection parlementaire de 2019.
Plus de 3 500 militants, journalistes et personnalités politiques choisis comme cibles potentielles de Pegasus.
Les téléphones de la fille de Paul Rusesabagina, Carine Kanimba, qui vit en Belgique, et de plusieurs personnes de l’entourage de cet homme ont été visés par le logiciel espion Pegasus.
