Le fournisseur israélien de logiciels de surveillance NSO Group a déclaré cette semaine devant les législateurs de l'Union européenne qu'au moins 50 clients utilisent son logiciel espion Pegasus sur le plan mondial. Chaim Gelfand, avocat général et responsable de la conformité chez NSO Group, a précisé aux législateurs que ces clients comprennent "plus de cinq États membres de l'Union européenne". L'entreprise a reconnu qu'elle a commis des erreurs par le passé et a souligné la nécessité d'une norme internationale pour réglementer l'utilisation des logiciels espions par les gouvernements.NSO Group, une entreprise de cybersécurité implantée à Herzliya en Israël, développe et distribue un logiciel espion appelé Pegasus, qui est vendu à des agences gouvernementales et policières. L'entreprise achèterait des vulnérabilités de sécurité dites "zero-day" auprès de pirates informatiques, et Pegasus est capable de monter des exploits "zero-click" - où aucune interaction de l'utilisateur n'est requise par la cible. Ces vulnérabilités sont appelées "zero-day", car elles sont en générale inconnues d'Apple et de Google qui fournissent respectivement iOS et Android, les deux systèmes d'exploitation mobiles les plus utilisés au monde.
Dans la seconde moitié de l'année dernière, NSO Group s'est retrouvé mêlé à un scandale de surveillance de masse sur le plan mondial. Des rapports ont révélé qu'à travers ses outils d'espionnage, l'entreprise israélienne a facilité la surveillance et la mise sur écoute de dizaines de milliers de personnes à travers le monde, dont des journalistes, diplomates, militants des droits de l'homme, ministres… NSO Group a nié sans cesse ces allégations, mais l'UE a ouvert une enquête sur ces accusations et en novembre dernier, l'administration Biden a déclaré qu'elle mettait NSO Group sur liste noire à cause du logiciel espion Pegasus.
S'adressant à la commission du Parlement européen chargée d'examiner l'utilisation des logiciels espions au sein de l'Union européenne, le directeur juridique de NSO Group a déclaré que l'entreprise avait "commis des erreurs", mais qu'elle avait également renoncé à une grande partie de ses revenus en annulant des contrats depuis que l'utilisation abusive avait été révélée. « Nous essayons de faire ce qui est juste, et c'est plus que les autres entreprises travaillant dans le secteur. Chaque client auquel nous vendons, nous faisons preuve de diligence raisonnable à l'avance afin d'évaluer l'état de droit dans ce pays », a déclaré Gelfand.
« Mais travailler sur des informations disponibles publiquement ne sera jamais suffisant », a-t-il ajouté. De manière générale, une cible sélectionnée par un client de NSO Group voit son téléphone ou autre appareil infecté par un logiciel espion caché via l'exploitation d'une ou plusieurs failles de sécurité. Une fois installé, ce logiciel peut secrètement espionner les appels, les messages et les autres activités de cette personne. Le code est installé, par exemple, en envoyant à la victime un message piégé qui, lorsqu'il est reçu et traité automatiquement par son appareil, entraîne le déploiement et l'exécution silencieux du logiciel espion.
« Ces outils sont concédés sous licence uniquement aux organismes chargés de l'application de la loi et aux agences gouvernementales », a déclaré Gelfand. Il a ajouté qu'il y a très peu de contrats et que ces derniers sont soigneusement étudiés pour ne pas permettre qu'une utilisation légitime. « Il y a parfois des tiers commerciaux qui sont impliqués dans la transaction pour des raisons de sécurité. Ces tierces parties commerciales sont très souvent des intermédiaires entre l'OSN et le gouvernement sur le plan contractuel. Ils ne reçoivent jamais l'utilisation du système lui-même, ils n'ont pas accès au système », a-t-il poursuivi.
Selon Gelfand, au moins cinq pays de l'UE ont utilisé le logiciel espion Pegasus de NSO Group, ajoutant qu'il reviendrait devant les eurodéputés avec un "nombre plus concret". Toutefois, il n'a pas mentionné spécifiquement tous les pays dont il s'agit. En outre, l'entreprise affirme qu'elle évalue les pays avant de leur vendre Pegasus, et affirme que ces évaluations tiennent compte d'éléments tels que le respect des droits de l'homme et de la liberté d'expression, ainsi que la stabilité politique et la corruption perçue. Selon Gelfand, si un pays obtient un score de 20 ou moins, NSO Group affirme qu'il ne lui vendra pas de logiciels espions.
« Nous avons depuis relevé la barre », a-t-il ajouté. Interrogé par les législateurs européens sur les notes obtenues par différents pays, Gelfand a répondu que l'Arabie saoudite avait obtenu "environ 30". À titre de comparaison : Gelfand a déclaré que le score de la Belgique est d'environ 80, celui de l'Espagne de 75, et ceux de la Pologne et de la Hongrie de 65 ou 64. Si un client viole les termes de son accord avec NSO Group, le fournisseur affirme qu'il peut arrêter à distance le déploiement Pegasus du client. « Je peux confirmer que lorsque nous définissons un client qui a violé les conditions d'utilisation, il est résilié », a déclaré Gelfand.
Il a refusé de dire si, par exemple, l'Arabie saoudite était l'un de ces clients résiliés. Il a précisé que NSO Group a résilié "plus de huit" clients au cours des "dernières années", et que certaines de ces agences malhonnêtes ont été révélées par des dénonciateurs et les Pegasus Papers. « Nous avons mis fin à des contrats avec des États membres de l'UE », a déclaré Gelfand. L'UE a lancé l'enquête après les révélations selon lesquelles le logiciel espion est très répandu en Europe et a été utilisé contre certains des dirigeants les plus en vue du bloc.
Cette liste comprend le Premier ministre espagnol Pedro Sánchez, et des groupes politiques en Espagne, en Pologne et en Hongrie. Et alors que le "Projet Pegasus", la coalition internationale de journalistes qui a révélé les agissements des clients de NSO Group l'année dernière, a rapporté que plus de 50 000 numéros de téléphone ont été ciblés par les utilisateurs de Pegasus, Gelfand a déclaré à la commission qu'un nombre plus précis "dans une année donnée est d'environ 12 000 à 13 000 cibles". En Espagne, le scandale a conduit le gouvernement à enquêter sur la conduite de son agence de renseignement CNI.
L'audition a été le point culminant du travail effectué par les législateurs depuis le mois de mars pour examiner et limiter l'utilisation de ce logiciel espion intrusif. La séance a été tendue et a parfois menacé de déboucher sur des hostilités ouvertes, Gelfand repoussant les questions qui lui étaient posées. Pour faire face aux vives critiques, NSO Group a souligné qu'il souhaitait vivement la création d'un organisme international de réglementation des logiciels espions. « Quelque chose de semblable à un accord de non-prolifération, où seuls les pays qui acceptent les règles établies pourront utiliser la technologie », a déclaré Gelfand.
« Il y a beaucoup à faire, c'est pourquoi nous appelons à une norme internationale », a-t-il ajouté. Lors de la RSA Conference de ce mois-ci, Heather Mahalik, directrice principale de l'intelligence numérique au SANS Institute, a désigné Pegasus comme l'une des cybermenaces les plus dangereuses du moment. « Cette attaque vole littéralement dans les airs, atterrit sur votre appareil iOS ou Android. Vous ne cliquez pas dessus, et elle s'auto-installe immédiatement, et c'est là que mon travail devient très difficile. Il s'autodétruit également », a déclaré Mahalik.
Interrogé sur les rumeurs selon lesquelles l'entrepreneur américain de la défense L3Harris et la société d'exploration de données Palantir ont tous deux exprimé leur intérêt pour le rachat de NSO, Gelfand a de nouveau refusé de répondre. « La société est toujours en négociations diverses avec différentes entreprises dans le monde. En ce qui concerne les acquisitions : plus que cela, c'est quelque chose que je ne peux pas aborder en raison d'informations confidentielles », a-t-il déclaré.
Sources : Commission d'enquête sur l'utilisation de Pegasus, Rapport du Conseil de l'Europe sur Pegasus (PDF)
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des déclarations de Chaim Gelfand de NSO Group ? Que pensez-vous de l'évaluation faite par NSO Group sur ses clients potentiels ? Selon vous, ces critères constituent-ils une analyse crédible pour autoriser l'utilisation d'une telle application ?Voir aussi
« Trop, c'est trop » : NSO Group crie son ras-le-bol et annonce qu'il ne commentera plus les articles de presse, l'accusant d'avoir contribué à la surveillance d'hommes politiques et autres L'administration Biden met NSO Group sur liste noire à cause du logiciel espion Pegasus, qui a été utilisé pour surveiller des milliers de personnes à travers le monde « Projet Pegasus » : Amazon débranche les serveurs de l'entreprise de surveillance NSO Group, alors que l'enquête continue sur le rôle joué par la société dans la surveillance de milliers de personnes Malgré le battage médiatique, la sécurité de l'iPhone n'est pas à la hauteur des logiciels espions de NSO Group, selon un rapport d'Amnesty International Apple poursuit NSO Group pour lutter contre les abus de logiciels espions sponsorisés par l'État, le procès veut également bloquer l'accès de NSO aux technologies Apple