L'administration Biden ferme le marché américain à NSO Group
NSO Group a toujours été critiqué en raison des technologies de surveillance qu'il propose à ses clients. Cependant, les choses se sont envenimées cette année lorsque Forbidden Stories, un consortium de médias basé à Paris, a révélé que le logiciel de piratage téléphonique Pegasus développé par NSO Group a été utilisé pour cibler potentiellement des milliers de personnes dans le monde entier, dont des journalistes et le président français Emmanuel Macron. Un groupe de médias du monde entier ont ensuite publié un nombre important d'articles détaillant de présumés abus du logiciel espion Pegasus de NSO Group dans plusieurs pays.
Les enquêtes et les expertises médico-légales ont révélé que Pegasus est fréquemment installé par le biais d'exploits "zéro-clic", tels que ceux envoyés par SMS, qui ne nécessitent aucune interaction de la part des victimes. Pegasus peut débrider ("jailbreaker" ou "rooter" un iPhone ou un téléphone Android et faire des copies des historiques d'appels, des messages texte, des entrées de calendrier et des contacts. Le logiciel de NSO Group peut également activer des caméras et des microphones pour écouter aux portes, suivre les mouvements d'une cible, "et voler des messages dans des applications de chat chiffrées de bout en bout".
Les articles s'appuient sur une liste de plus de 50 000 numéros de téléphone qui a fait l'objet d'une fuite et qui serait constituée de personnes présentant un intérêt pour les clients de l'entreprise. Les médias, avec l'aide de Forbidden Stories et d'Amnesty International, ont passé au peigne fin cette liste de numéros de téléphone. Le laboratoire de sécurité d'Amnesty International a par la suite analysé au moins 37 smartphones figurant sur la liste, et aurait trouvé des preuves qu'ils ont été soit piratés, soit ciblés par le logiciel Pegasus. Ainsi, plusieurs enquêtes ont été ouvertes de part et d'autre dans le monde pour tenter d'éclaircir la situation.
Mercredi, l'enquête américaine a abouti à un bannissement de NSO Group. Le gouvernement américain a mis NSO Group sur liste noire, déclarant que la société "a développé et fourni des logiciels espions à des gouvernements étrangers qui ont ensuite utilisé ces dispositifs pour cibler de manière malveillante des fonctionnaires, des journalistes, des hommes d'affaires, des militants, des universitaires et des employés d'ambassades". NSO Group a déclaré dans un communiqué être "consterné par cette décision", étant donné que ses technologies soutiennent les intérêts et les politiques de sécurité nationale des États-Unis en prévenant le terrorisme et la criminalité.
La société a déclaré qu'elle va plaider pour que cette décision soit annulée. « Nous sommes impatients de présenter l'ensemble des informations concernant la manière dont nous disposons des programmes de conformité et de respect des droits de l'homme les plus rigoureux au monde, basés [sur] les valeurs américaines que nous partageons profondément, qui ont déjà abouti à de multiples résiliations de contacts avec des agences gouvernementales qui utilisaient nos outils à mauvais escient », a déclaré le groupe. Selon Eitay Mack, un avocat israélien, le fait d'être sur la liste noire des exportations américaines pourrait signifier qu'ils "sont finis".
Eitay Mack est un avocat israélien spécialisé dans les droits de l'homme qui a fait campagne pendant des années pour que le gouvernement israélien révoque la licence d'exportation de NSO, sans grand succès. Mack n'est pas la seule personne qui se réjouit de cette décision. « NSO a essayé pendant des années d'être du "bon côté", de prétendre que ses activités sont irréprochables. Cette désignation par le département du commerce nous donne la plus forte indication de l'opinion des États-Unis sur NSO », a déclaré John Scott-Railton, du Citizen Lab de l'Université de Toronto, qui défend les intérêts des journalistes et des dissidents.
« Cela suggère qu'ils ont une vision sombre et considèrent les activités de la société comme potentiellement contraires à la sécurité nationale des États-Unis », a-t-il ajouté. De son côté, le gouvernement américain a déclaré que la décision respecte ses engagements en matière des droits de l'homme. « L'action d'aujourd'hui s'inscrit dans le cadre des efforts de l'administration Biden-Harris pour placer les droits de l'homme au centre de la politique étrangère américaine, notamment en s'efforçant d'endiguer la prolifération des outils numériques utilisés pour la répression », indique le communiqué du département du Commerce.
« La décision a été prise par le comité d'examen des utilisateurs finaux, qui est présidé par le département du commerce et comprend les départements de la défense, de l'État, de l'énergie et du trésor », lit-on dans le communiqué.
Mettre fin aux outils numériques utilisés pour la répression
Le communiqué a indiqué qu'avec NSO Group, trois autres sociétés ont également été placées sur liste noire. Il s'agit de la société israélienne Candiru - qui est également un concurrent de NSO Group - de la société de sécurité russe Positive Technologies et de la société Computer Security Initiative Consultancy (CSIC) basée à Singapour. Candiru fait face aux mêmes chefs d'accusation que NSO Group et Positive Technologies ont été accusés de créer et de vendre des outils de cyberattaques qui ont ensuite été utilisés pour pirater des personnes et des organisations dans le monde entier.
Selon un rapport de janvier 2019 de Haaretz, Candiru est une entreprise secrète dont "le fondateur est [l'investisseur en capital-risque] Isaac Zack, qui est également connu comme l'un des fondateurs de NSO Group". À l'époque, Candiru était "censée employer 120 personnes et générer un chiffre d'affaires annuel de 30 millions de dollars". Selon le rapport, ce chiffre d'affaires faisait de Candiru la deuxième plus grande entreprise de cybernétique offensive d'Israël après NSO Group, sans compter Verint, cotée en bourse, et les entreprises de défense générale. Candiru n'a pas fait de déclaration publique concernant la sanction.
Les quatre sociétés, y compris leurs alias (détaillés dans le tableau ci-dessus), ont été ajoutées à une liste d'entités se livrant à des cyberactivités malveillantes, actuellement tenue par le Bureau of Industry and Security (BIS) du département américain du Commerce. Désormais, les entreprises et agences américaines doivent obtenir une licence spéciale du BIS avant d'acheter, d'exporter ou de transférer tout outil cybernétique développé par les quatre entreprises. Les responsables du Commerce ont déclaré que tous les demandeurs devaient s'attendre à une "présomption de refus" lors de la demande de cette licence.
Les sanctions prononcées mercredi rendront plus difficile pour ces entreprises de travailler avec des particuliers et des entrepreneurs américains, ce qui limitera la capacité des quatre entreprises à travailler avec des partenaires basés aux États-Unis. Toutefois, il est important de noter que le ministère américain du Commerce n'a pas révélé les détails et les preuves sur lesquels il s'est appuyé pour sanctionner les quatre entreprises, mais pour trois d'entre elles, il y a eu des rapports publics sur la façon dont leurs outils de piratage ont été utilisés au cours de ces dernières années :
- NSO Group a développé la plateforme de piratage Pegasus, que la société loue à des gouvernements étrangers. Les abus de Pegasus ont été très bien documentés au fil des ans ;
- Candiru a récemment été exposé dans des rapports de Microsoft et de Citizen Lab comme étant les créateurs du logiciel espion Windows DevilsEye. Les offres de piratage de l'entreprise sont connues depuis des années, et l'entreprise aurait également développé et vendu des exploits de type "zero-day" pour Chrome, Internet Explorer et Windows ;
- Positive Technologies a été accusée d'avoir développé et vendu des exploits aux agences de renseignement russes. La société était déjà sous le coup de sanctions du Trésor américain depuis avril de cette année.
On dispose de moins de détails sur CSIC, basée à Singapour, mais cette société est connue pour son programme d'acquisition d'exploits baptisé Pwn0rama. Selon les sources, il n'existe actuellement aucun rapport public établissant un lien entre les exploits achetés via ce programme et les attaques connues (notamment celles ayant été perpétrées contre des organisations ou installations américaines), mais des sources familières du marché du courtage d'exploits ont déclaré à The Record que la société avait des liens étroits avec le marché chinois.
Danna Ingleton, directrice adjointe d'Amnesty Tech à Amnesty International, a déclaré dans un communiqué qu'en plus d'envoyer un "message fort" à NSO, la décision du ministère américain du Commerce représentait également "un jour de jugement pour les investisseurs du groupe NSO".
Sources : Communiqué du département américain du Commerce, Liste noire du BIS (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la décision du gouvernement américain ?
Cette interdiction empêchera-t-il les clients de Pegasus de cibler des citoyens ou ressortissants américains ?
En raison des personnes qui ont été ciblées par Pegasus en France, les autorités françaises devraient-elles également mettre NSO Group sur liste noire ?
Voir aussi
« Trop, c'est trop » : NSO Group crie son ras-le-bol et annonce qu'il ne commentera plus les articles de presse, l'accusant d'avoir contribué à la surveillance d'hommes politiques et autres
« Projet Pegasus » : Amazon débranche les serveurs de l'entreprise de surveillance NSO Group, alors que l'enquête continue sur le rôle joué par la société dans la surveillance de milliers de personnes
Pegasus : le logiciel espion aurait utilisé des exploits «sans clic» pour cibler des milliers d'iPhone, E. Macron, 14 ministres français et d'autres chefs d'État sur la liste des personnes ciblées
Le "projet Pegasus" : de nombreux États utiliseraient un logiciel espion pour cibler leurs concitoyens, des hommes politiques et des journalistes auraient été espionnés dans au moins 50 pays