Pegasus : « Ce logiciel espion est l’arme de cybersurveillance la plus puissante du marché »
Les journalistes Laurent Richard et Sandrine Rigaud publient jeudi 14 septembre « Pegasus. Démocraties sous surveillance », aux éditions Robert Laffont. Un récit à deux voix de l’enquête qu’ils ont coordonnée, et à laquelle « Le Monde » a participé, sur le logiciel qui a permis d’espionner journalistes, militants des droits humains ou responsables politiques.
Le lendemain matin, la sonnerie de l’interphone de notre appartement à Berlin-Est m’a fait sursauter [raconte Laurent Richard]. Nous ne maîtrisions pas encore le système d’entrée électronique de la location ; j’ai donc dévalé l’escalier pour ouvrir la porte à nos deux invités. J’ai d’abord remarqué un homme d’une trentaine d’années, très pâle ; il portait des lunettes à monture métallique et un bonnet de ski enfoncé sur le crâne.
Son apparence laissait deviner qu’il passait beaucoup de temps devant son ordinateur, sans mettre le nez dehors. Je lui ai lancé un salut jovial en lui tendant la main. Mais Claudio Guarnieri, expert en technologie au Security Lab d’Amnesty International, ne l’a pas saisie. Il ne m’a même pas vraiment regardé dans les yeux. Il m’a simplement invité à les faire entrer, lui et son jeune collègue très mince, dans notre appartement où nous pourrions passer aux choses sérieuses.
Il ne serait pourtant pas question de choses sérieuses, nous a expliqué Claudio, tant que nous n’aurions pas tous éteint nos téléphones et nos ordinateurs et que nous ne les aurions pas remisés dans la pièce d’à côté en refermant soigneusement la porte. Ces instructions donnaient à ce début d’enquête une apparence de film d’espionnage, ce qui n’était pas surprenant au vu du motif de cette réunion ; mais la brusquerie du ton de Claudio m’étonnait. Il restait certes poli, mais n’était visiblement pas du genre à ménager ses interlocuteurs ; en fait, j’avais l’impression qu’il lui importait peu de nous être sympathique. Après tout, il s’agissait d’une alliance de circonstance.
Nous avons immédiatement rangé nos appareils électroniques dans la pièce voisine, mais j’ai tout de même eu le temps de repérer un autocollant sur l’ordinateur de Claudio. Il s’agissait d’une citation du sous-commandant Marcos, le célèbre guérillero et ancien dirigeant de la rébellion zapatiste : « We are sorry for the inconvenience, but this is a revolution » (« désolés pour le dérangement, mais c’est une révolution »). De retour à la table, Claudio a encore évité tout échange de banalités pour en venir sur-le-champ à la raison de notre présence. Forbidden Stories et le Security Lab d’Amnesty International étaient les deux seuls groupes choisis pour avoir accès au document que nous avions pris l’habitude d’appeler « la liste ».
Sandrine [Rigaud] et moi savions seulement que ces données pourraient nous aider à dévoiler l’existence d’un système de surveillance redoutable. Un système qui aurait ciblé, à leur insu, des milliers d’individus partout dans le monde. A Berlin ce matin-là, nous avions tous conscience que nous étions bien loin d’avoir prouvé quoi que ce soit. Les données qui figuraient sur cette liste relevaient du code secret : un répertoire de dizaines de milliers de numéros de téléphone du monde entier, associés à des horodatages. Ce que nous savions, c’est que chaque numéro représentait une personne dont le téléphone avait été choisi pour être la cible d’une infection potentielle par l’arme de cybersurveillance la plus puissante du marché, le logiciel espion appelé Pegasus.
Une poignée seulement de ces numéros avaient déjà été identifiés et reliés au nom de leur propriétaire. Pegasus a été développé, commercialisé et livré aux services de police et de sécurité nationale de plus de quarante pays par la société israélienne NSO. Ce logiciel est convoité par les services de renseignement de toute la planète, parce qu’il est considéré comme le logiciel espion le plus performant qui existe.
Si un pays veut identifier et empêcher d’agir des criminels ou des terroristes, Pegasus est l’outil idéal. Grâce à lui, les services de police ou de sécurité nationale accèdent à tout le contenu du téléphone ciblé. Chaque infection réussie permet à son auteur de prendre littéralement le contrôle d’un smartphone : il lui donne l’accès à la géolocalisation, lui permet d’exfiltrer les e-mails, les textos, les données, les photos et les vidéos, de contrôler les micros et les appareils photo de l’appareil en les activant à distance, et ce, quand il le désire. Une arme redoutable utilisée en principe pour surveiller trafiquants de drogue, terroristes. En principe seulement.”
Au moment de ce premier rendez-vous avec Claudio et son numéro deux, Donncha O Cearbhaill, des dizaines d’utilisations criminelles avaient déjà été recensées. Les experts en cybersécurité du Citizen Lab de l’université de Toronto et du Security Lab d’Amnesty International avaient en effet repéré que Pegasus avait servi à cibler des défenseurs des droits de l’homme, des avocats et des journalistes. Ces experts avaient également prouvé que Pegasus était tombé aux mains d’utilisateurs malveillants. WhatsApp avait déjà porté plainte contre NSO, affirmant que mille quatre cents de ses utilisateurs avaient été ciblés discrètement par Pegasus en seulement deux semaines. Amnesty International avait, lui aussi, un procès en attente.
S’ajoutaient à ces faits des enquêtes journalistiques et un corpus croissant de recherches universitaires consacrées à la lucrative industrie de l’« intrusion clé en main ». Ce marché en pleine expansion était largement dominé par NSO. Ces différents éléments permettaient de cerner les contours de la cybersurveillance, dont l’ampleur, l’envergure et la puissance demeuraient jusque-là largement insoupçonnées.
Elle constituait une menace inédite pour les droits de l’homme et le respect de la vie privée ; pourtant, les enquêtes les plus accablantes et les analyses numériques les plus minutieuses n’avaient eu que peu, voire pas d’impact réel. Hormis des déclarations d’Amnesty International, du Citizen Lab et de la rapporteuse spéciale des Nations unies sur la promotion et la protection du droit à la liberté d’opinion et d’expression, cette affaire avait échoué à éveiller les consciences et à initier un véritable mouvement contestataire. En parallèle, le nombre de clients et les profits exponentiels de NSO se développaient plus rapidement que jamais, avec une clientèle dans toute l’Europe, l’Amérique du Nord, le Proche-Orient et l’Afrique.
Mais ce que Claudio et Donncha avaient déjà appris en analysant les données était autrement plus alarmant et choquant. En commençant à étudier les numéros de la liste, ils avaient découvert un grand nombre d’universitaires, de défenseurs des droits de l’homme, de dissidents politiques, de hauts fonctionnaires, de diplomates, d’hommes d’affaires et de hauts gradés de l’armée. Alors qu’ils commençaient seulement leur analyse, Claudio et Donncha avaient déjà remarqué que plusieurs centaines de cibles avaient été sélectionnées pour une infection potentielle par Pegasus, alors qu’il ne s’agissait pas de criminels. Parmi elles, plus de cent vingt journalistes. Si les données de cette liste nous permettaient d’obtenir les preuves tangibles indispensables à une publication, nous pourrions définitivement confirmer ce que nous savions : l’intrusion informatique et la cybersurveillance étaient exploitées pour bâillonner la presse et pour discréditer et intimider les dissidents politiques. Mais, surtout, nous pourrions révéler que ce dévoiement était d’une ampleur et d’une échelle insoupçonnées – et terrifiantes.
Tandis que Claudio, Donncha, Sandrine et moi faisions défiler des pages et des pages de numéros de téléphone potentiellement compromis, se dessinait sous nos yeux non pas une suite de cas isolés, mais un système méthodiquement organisé d’une ampleur inédite. Le détournement abusif massif, incontrôlé et systématique des armes de cybersurveillance constituait un danger évident et immédiat pour les droits humains les plus fondamentaux, parmi lesquels la vie privée, l’opposition politique, la liberté d’expression et la liberté de la presse ; il menaçait la démocratie elle-même, à un moment où les démocraties jusqu’ici les plus stables étaient soumises à des assauts incessants de l’extérieur et de l’intérieur.
Le premier coup d’œil à la liste était déroutant. Elle exerçait une attraction presque magnétique ; je devais me forcer à prendre de temps en temps une inspiration profonde. Claudio poursuivait ses explications, relevant par exemple que les services secrets marocains avaient vraisemblablement ciblé un nombre incroyable de numéros de téléphone français. Je déployais des efforts considérables pour brider mon imagination. Le scepticisme est indispensable à tout reporter – un garde-fou contre les erreurs embarrassantes que l’on peut commettre quand on se fait manipuler par une source sans scrupule, ou lorsqu’on s’enthousiasme excessivement sur une affaire au détriment de la rigueur et du bon sens. L’examen minutieux des données de cette liste allait prendre des mois. Trouver des victimes disposées à nous laisser analyser leur téléphone en quête de traces d’une infection par Pegasus (et à garder le secret pendant la suite de notre enquête) serait une opération délicate.
Mais il incombait à Claudio et à Donncha une tâche encore plus difficile. En effet, NSO avait conçu Pegasus pour qu’il ne laisse aucune trace décelable. Rassembler des indices grâce à une analyse technique serait donc une bataille acharnée, et ne constituait que la moitié du chemin à parcourir. Claudio, Donncha, Sandrine et moi envisagions d’enquêter sur une entreprise privée qui se flattait de pouvoir « trouver n’importe qui, n’importe où ». Nous supposions que le système de logiciel espion de l’entreprise était très performant.
Avant que nous ne nous séparions, il nous a donné, d’un ton toujours aussi bourru, une nouvelle série d’instructions : il nous fallait acheter de nouveaux appareils – sans carte SIM ! – réservés à nos communications mutuelles. Il n’y aurait pas d’appel sur smartphone entre nous quatre, ni avec aucun de ceux qui étaient susceptibles de participer à ce projet. Pas d’iMessages, pas de messages Signal, pas d’appels WhatsApp. Nous avions déjà, à sa demande, acheté de nouveaux ordinateurs réservés à cette affaire – des PC, pas des Mac – pour maintenir une cloison étanche entre le « Projet Pegasus » et toutes nos autres enquêtes en cours. Je me souviens d’avoir pensé que, si nous nous engagions dans ce projet, le principal moteur de l’opération serait la paranoïa.
[Quelques semaines plus tard. Cette fois, c’est Sandrine Rigaud qui raconte.]
Ce voyage à Berlin a tout de même fait émerger un problème inattendu. Depuis notre dernière rencontre, Claudio et Donncha avaient réussi à identifier un grand nombre de numéros de téléphone de la liste. Claudio avait confiance dans les résultats obtenus car beaucoup correspondaient à des possibles victimes de Pegasus, déjà identifiées lors du procès intenté par WhatsApp contre NSO aux Etats-Unis en 2019. L’équipe du Security Lab avait également repéré toute une série de personnalités politiques, mais leur présence n’intéressait pas Claudio plus que ça – personne ne s’étonnait que des gouvernements espionnent d’autres gouvernements, et, de toute manière, les responsables nationaux bénéficiaient généralement de protections institutionnelles : ils n’avaient donc pas besoin de notre aide. En revanche, il nous a demandé de jeter un coup d’œil à certains des noms que Donncha et lui avaient découverts.
Laurent [Richard] et moi avons immédiatement parcouru une section des données contenant apparemment des cibles sélectionnées par un client de NSO au Maroc. On y trouvait des personnalités politiques françaises, et même plusieurs ministres. C’est alors que mes yeux se sont posés sur un nom qui m’a laissée sans voix l’espace d’une seconde. J’ai bafouillé, en pointant l’écran du doigt : « Laurent. Tu as vu ça ? » Macron. Emmanuel Macron. Le président français. Notre président figurait sur la liste, cible potentielle. La vache, c’est énorme, ai-je pensé, mais ça ne va pas nous faciliter le travail. Laurent était du même avis. A ses yeux, le plus surprenant était l’intrépidité et le sentiment d’impunité absolue qu’il fallait avoir pour s’imaginer pouvoir espionner sans conséquence le président français. Les responsables devaient être prêts à tout pour que le secret ne s’ébruite pas. Plus tard, Laurent m’a avoué : « C’est le nom de Macron qui m’a fait comprendre à quel point il était dangereux d’avoir accès à cette liste. »
