C’est sans doute l’affaire de cyber espionnage la plus importante depuis l’affaire Snowden. En 2013, le lanceur d'alerte Edward Snowden révélait que les Etats-Unis avaient mis en place un système de surveillance mondialisé de données. Mais les révélations que Forbidden Stories et ses partenaires, avec le concours technique du Security Lab d’Amnesty International, sont en mesure de faire aujourd’hui, semblent encore plus graves. Car elles montrent que cette surveillance n’est pas l’apanage d’un pays aux pratiques déviantes, aussi grand soit-il, mais qu’elle est généralisée, et concerne tous types de nations.

Une société privée vend un logiciel très intrusif à des Etats

"Ce que l’on voit avec le projet Pegasus est très différent et encore plus inquiétant que ce qu’on voyait dans l’affaire Snowden", estime Laurent Richard, le directeur de Forbidden Stories. "Ici, on a affaire à une société privée qui vend un logiciel extrêmement intrusif, à des États connus pour leur politique répressive en matière des droits de l’Homme et contre des journalistes. Et on voit clairement que ces États détournent cet outil pour l’utiliser contre ces populations-là".

Un logiciel de piratage des smartphones

Le logiciel espion porte le nom de Pegasus. Il n’est commercialisé qu’auprès d’États ou d’agences gouvernementales, avec l’aval du gouvernement israélien, par une société baptisée NSO. Officiellement, il a pour but d’aider les services de renseignement à lutter contre la criminalité. Pegasus pénètre dans les smartphones, qu’ils fonctionnement sous le système d'exploitation d'Apple, iOS (y compris dans sa dernière version) ou celui de Google, Android. Il a ensuite accès à tout : contacts, photos, mots de passe. Il peut lire les emails, suivre les conversations, même sur les messageries chiffrées, géolocaliser l’appareil, et activer micros et caméras pour transformer le smartphone en véritable mouchard.

Un consortium pour enquêter

Les journalistes de Forbidden Stories ont eu accès à une liste de plus de 50 000 numéros de téléphones entrés par 12 clients de NSO dans le système qui active Pegasus. Ils ont alors partagé cette liste, qui court sur plusieurs années après 2016, avec un consortium international qu’ils ont constitué avec 16 médias, parmi lesquels : le Washington Post aux Etats-Unis, le Guardian en Grande-Bretagne, le Süddeutsche Zeitung en Allemagne, la cellule investigation de Radio France, et le journal Le Monde en France. Pendant plusieurs mois, près de 80 journalistes ont analysé ces numéros de téléphone.

Cibles de Pegasus : les journalistes

Parmi les numéros sélectionnés comme cible : plus de 180 journalistes. Et si l’on devait établir un classement des pays les plus actifs avec Pegasus, le Mexique serait sans doute dans le peloton de tête. Là-bas, ce sont près de 15 000 numéros de téléphone qui ont été sélectionnés comme autant de cibles potentielles pour une attaque du logiciel espion. En Inde, ce sont 30 journalistes, dont cinq d’investigation, 10 chargés de l’information internationale, et huit spécialistes politiques, qui ont été sélectionnés parmi les cibles du logiciel espion.

Les investigations démontrent aussi qu’une partie de l’entourage et de la famille du journaliste saoudien Jamal Khashoggi, assassiné au consulat saoudien d’Istanbul le 2 octobre 2018, a été sélectionné sur la liste de ses cibles potentielles. En Hongrie, pays membre de l’Union européenne, même constat. Les numéros de 10 avocats ont été rentrés dans le système Pegasus et deux journalistes de Direkt36, un site d’investigation indépendant de Budapest.

Des Français ciblés par le Maroc

Plusieurs journalistes de l’hexagone figurent parmi les numéros sélectionnés. C’est le cas de deux journalistes de Mediapart, dont son fondateur, Edwy Plenel, mais aussi de Dominique Simonnot, l’actuelle contrôleuse générale des lieux de privations de liberté (CGLPL), qui jusqu’en 2020 était journaliste au Canard enchaîné, ou encore de Bruno Delport, le directeur de TSF Jazz, qui postula en 2019 à la présidence de Radio France. Figurent encore parmi les numéros sélectionnés, ceux de confrères du Monde, de France2, de France24, de RFI, Rosa Moussaoui de l'Humanité, un ancien responsable du bureau de l’AFP à Rabat, ainsi que le journaliste du Figaro Eric Zemmour.

Ces numéros de téléphone avaient été rentrés dans le système Pégasus par le Maroc, parfois compte tenu de leurs prises de positions considérées comme hostiles au régime ou de leur proximité avec des Marocains perçus comme des opposants, mais dans d’autres cas pour des raisons inconnues. Au total, au moins 35 numéros de journalistes ont été sélectionnés comme cibles par le Maroc. Et en deux ans, toutes professions confondues, ce sont plus de 10 000 numéros que l’utilisateur du logiciel de NSO dans ce pays a rentré dans le système, dont près de 1 000 correspondent à des citoyens Français.

NSO argue de sa bonne foi

En octobre 2019, NSO avait déjà été fragilisé pour avoir rendu possible le piratage de 1 400 téléphones, en exploitant une vulnérabilité de la messagerie chiffrée WhatsApp. En réponse aux questions que nous lui avons adressées, NSO réaffirme qu’il a pour mission de sauver des vies. "Nous assurons cette mission avec détermination, en dépit de tentatives répétées de nous discréditer sur la base de fausses informations", explique le groupe. Dans sa réponse, la société ajoute : "NSO Group continuera d’enquêter sur toute allégation de mauvais usage (de Pégasus), et nous prendrons des décisions en fonction des résultats de ces enquêtes. Cela peut aller jusqu’à fermer l’accès de notre système à nos clients … Ce que nous avons déjà fait par le passé de nombreuses fois, et que nous n’hésiterons pas à refaire si nécessaire".