Le mois passé, Ahmed Mansoor, un défenseur des droits de l’homme qui vit aux Émirats arabes unis et lauréat du Martin Ennals Award (le « prix Nobel pour les droits de l’homme ») a reçu des messages de type SMS sur son iPhone, promettant de lui faire parvenir de « nouveaux secrets » sur les détenus torturés dans les prisons des Émirats arabes unis s’il cliquait sur le lien fourni dans le message. Sans doute par prudence, il a fait parvenir le lien en question à des chercheurs en sécurité pour analyse. Ces derniers ont découvert que derrière le lien se cachait un outil développé par le NSO Group, une entreprise israélienne, qui s’est spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles et développe des « armes numériques ». Si la découverte a permis aux chercheurs d’indiquer à Apple trois vulnérabilités de type zero-day qui étaient utilisées depuis des années par le logiciel espion Pegasus pour espionner les utilisateurs sur iOS, certains pourraient se demander comment fonctionnent des entreprises fournissant des outils de surveillance numériques « légaux ».
Le quotidien New York Times affirme avoir mis la main sur des documents du NSO Group (courriels, contrats, propositions commerciales) grâce à deux personnes qui ont souhaité garder l’anonymat et qui ont déjà conclu des affaires avec le NSO Group. Selon les documents, la campagne marketing de cette industrie, représentée dans le cas d’espèce par le NSO Group, est de faire valoir que l’espionnage est une nécessité pour pister les terroristes, les kidnappeurs ainsi que les barons de la drogue. D’ailleurs, la déclaration de mission du NSO Group est « faire du monde un endroit sûr ».
Dix personnes familières aux ventes de l’entreprise, qui ont souhaité elles aussi garder l’anonymat, ont assuré que NSO Group a un processus de vérification strict pour déterminer à qui vendre ses produits. Un comité d’éthique composé d’employés ainsi que de conseillers externes évalue les clients potentiels en se basant entre autres sur le classement des droits de l'homme définis par la Banque mondiale et d'autres organismes mondiaux.
Toutefois, selon ces mêmes sources anonymes, jusqu’à présent le NSO Group n’a toujours pas reçu de licence d’exportation. Il faut dire que les critiques ont montré que ses logiciels espions sont également utilisés pour espionner des journalistes ou des défenseurs des droits de l’homme (à l’instar de Mansoor). « Aucune vérification n’est faite à ce niveau », a déclaré Bill Marczak du Citizen Lab de l’université de Toronto Munk School of Global Affairs. « Une fois que les systèmes de NSO sont vendus, les gouvernements ont la possibilité de les utiliser de la façon qu’il leur plaira. NSO peut dire qu’il essaye de faire du monde un endroit sûr, mais ils contribuent par la même occasion à faire du monde un endroit plus surveillé », a-t-il continué.
Étant donné que les entreprises comme Apple, Microsoft, Facebook ou Google se sont mises au chiffrement de plus en plus fort, les services des entreprises comme NSO Group sont de plus en plus demandés par les agences des gouvernements qui souhaitent pouvoir mener leurs enquêtes en contournant la question du chiffrement si les éditeurs venaient à ne pas se montrer coopératifs.
L’industrie des armes numériques dont fait partie le NSO Group est confinée dans une zone grise juridique : c’est souvent à l’entreprise de décider jusqu’où elle veut creuser dans la vie personnelle de la cible et avec quels gouvernements elle veut faire des affaires.
Les documents internes de NSO Group donnent des détails sur des emplacements dans des pays en Europe et des contrats de trois ans s’élevant à plus de 15 millions de dollars signés avec le Mexique. Zamir Dahbash, un porte-parole du NSO Group, a déclaré que la vente de son logiciel espion était restreinte à des gouvernements autorisés et qu’il n’était utilisé QUE pour des enquêtes sur des criminels et des terroristes. Il n’a pas fait de commentaire concernant le fait que l’entreprise puisse cesser à vendre son logiciel espion au Mexique ou aux Émirats arabes unis suite à ces déclarations.
Pour rappel, Pegasus, qui est l’un des produits vendus par l’entreprise, peut entre autres extraire des messages texte, des listes de contacts, des enregistrements dans le calendrier, des courriels, des messages instantanés et même des localisations GPS. Les contrats de vente stipulent également que Pegasus peut utiliser le microphone d’un dispositif pour enregistrer le son dans une pièce. Il peut également se servir de la caméra pour prendre des photos, télécharger l’historique de navigation et envoyer toutes les données en temps réel à un serveur de l’agence. Il fonctionne sur les systèmes iOS, Android, Windows Phone, mais aussi BlackBerry.
Les prix pratiqués par le NSO sont tributaires de certains paramètres. Ils commencent à 500 000 dollars comme frais d’installation du logiciel. Pour espionner 10 utilisateurs sur iOS, l’agence réclame 650 000 dollars, pour espionner 10 utilisateurs sur Android, elle réclame également 650 000 dollars. Elle facture 500 000 dollars le paquet de cinq cibles sur BlackBerry et 300 000 dollars pour cinq cibles sur Symbian. Si un État désire espionner d’autres cibles, un paquet de 100 nouvelles cibles lui coûtera 800 000 dollars supplémentaires, 50 nouvelles cibles lui demanderont d’ajouter 500 000 dollars, 20 nouvelles cibles lui coûteront 250 000 dollars en plus et 150 000 dollars pour 10 nouvelles cibles. Un système de maintenance annuel est disponible pour 17 % du montant total.
Les documents du NSO Group indiquent que ses clients ont « un accès illimité au dispositif mobile visé ». Et d’ajouter que le logiciel espion « ne laisse aucune trace ».
Source : NYT