Le fournisseur israélien de logiciels de surveillance NSO Group a déclaré cette semaine devant les législateurs de l'Union européenne qu'au moins 50 clients utilisent son logiciel espion Pegasus sur le plan mondial. Chaim Gelfand, avocat général et responsable de la conformité chez NSO Group, a précisé aux législateurs que ces clients comprennent "plus de cinq États membres de l'Union européenne". L'entreprise a reconnu qu'elle a commis des erreurs par le passé et a souligné la nécessité d'une norme internationale pour réglementer l'utilisation des logiciels espions par les gouvernements.NSO Group, une entreprise de cybersécurité implantée à Herzliya en Israël, développe et distribue un logiciel espion appelé Pegasus, qui est vendu à des agences gouvernementales et policières. L'entreprise achèterait des vulnérabilités de sécurité dites "zero-day" auprès de pirates informatiques, et Pegasus est capable de monter des exploits "zero-click" - où aucune interaction de l'utilisateur n'est requise par la cible. Ces vulnérabilités sont appelées "zero-day", car elles sont en générale inconnues d'Apple et de Google qui fournissent respectivement iOS et Android, les deux systèmes d'exploitation mobiles les plus utilisés au monde.
Dans la seconde moitié de l'année dernière, NSO Group s'est retrouvé mêlé à un scandale de surveillance de masse sur le plan mondial. Des rapports ont révélé qu'à travers ses outils d'espionnage, l'entreprise israélienne a facilité la surveillance et la mise sur écoute de dizaines de milliers de personnes à travers le monde, dont des journalistes, diplomates, militants des droits de l'homme, ministres… NSO Group a nié sans cesse ces allégations, mais l'UE a ouvert une enquête sur ces accusations et en novembre dernier, l'administration Biden a déclaré qu'elle mettait NSO Group sur liste noire à cause du logiciel espion Pegasus.
S'adressant à la commission du Parlement européen chargée d'examiner l'utilisation des logiciels espions au sein de l'Union européenne, le directeur juridique de NSO Group a déclaré que l'entreprise avait "commis des erreurs", mais qu'elle avait également renoncé à une grande partie de ses revenus en annulant des contrats depuis que l'utilisation abusive avait été révélée. « Nous essayons de faire ce qui est juste, et c'est plus que les autres entreprises travaillant dans le secteur. Chaque client auquel nous vendons, nous faisons preuve de diligence raisonnable à l'avance afin d'évaluer l'état de droit dans ce pays », a déclaré Gelfand.
« Mais travailler sur des informations disponibles publiquement ne sera jamais suffisant », a-t-il ajouté. De manière générale, une cible sélectionnée par un client de NSO Group voit son téléphone ou autre appareil infecté par un logiciel espion caché via l'exploitation d'une ou plusieurs failles de sécurité. Une fois installé, ce logiciel peut secrètement espionner les appels, les messages et les autres activités de cette personne. Le code est installé, par exemple, en envoyant à la victime un message piégé qui, lorsqu'il est reçu et traité automatiquement par son appareil, entraîne le déploiement et l'exécution silencieux du logiciel espion.
« Ces outils sont concédés sous licence uniquement aux organismes chargés de l'application de la loi et aux agences gouvernementales », a déclaré Gelfand. Il a ajouté qu'il y a très peu de contrats et que ces derniers sont soigneusement étudiés pour ne pas permettre qu'une utilisation légitime. « Il y a parfois des tiers commerciaux qui sont impliqués dans la transaction pour des raisons de sécurité. Ces tierces parties commerciales sont très souvent des intermédiaires entre l'OSN et le gouvernement sur le plan contractuel. Ils ne reçoivent jamais l'utilisation du système lui-même, ils n'ont pas accès au système », a-t-il poursuivi.
Selon Gelfand, au moins...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.