Qui se cache derrière Pegasus, le logiciel qui espionne les iPhone ?

Il est à la fois puissant mais furtif, sophistiqué mais facile à utiliser. La tentative d'infection du défenseur des droits de l'homme émirati Ahmed Mansoor a permis de lever le voile, il y a quelques jours, sur Pegasus, un logiciel d'espionnage impressionnant. Mais qui suscite aussi la peur, surtout lorsqu'il est utilisé par un régime non démocratique. Car pour CitizenLab, le laboratoire recherche qui a découvert ce piratage, il ne fait aucun doute que Pegasus est utilisé par le gouvernement des Emirats Arabes Unis pour piéger les activistes et les journalistes.

Cette histoire devient encore plus rocambolesque quand on regarde qui a fabriqué ce logiciel. Selon CitizenLab, il s'agit de NSO Group, un éditeur israélien dont la majorité des capitaux sont détenus par un fonds d'investissement californien, Francisco Partners Management, à la suite d'un investissement de 120 millions de dollars en 2014.

"Nous sommes un vrai fantôme"

NSO Group est très discrète: l'entreprise n'a pas de site web et évite les médias. Basé à Herzliya, une ville située au nord de Tel Aviv, cet éditeur a été fondé en 2009 par trois entrepreneurs, Omri Lavie, Shalev Hulio et Niv Carmi (source: Haaretz). Son marché est celui de l'interception légale et ses clients des agences gouvernementales. "Nous sommes un vrai fantôme. Nous sommes totalement invisibles pour la cible, et nous ne laissons pas de traces", s'était vanté Omri Lavie en 2013 auprès de la publication Defense News (source: The Wall Street Journal).

Ironie de l'histoire, c'est grâce au piratage d'un de ses concurrents, l'entreprise italienne Hacking Team, que l'on a quelques détails sur l'offre de NSO Group. Dans un email de Hacking Team, on apprend ainsi que Pegasus couvre non seulement les terminaux iOS, mais aussi Android et BlackBerry. Dans des extraits de documentation, il est dit que l'infection peut se faire selon deux modes : "one-click" ou "zero-click". Le premier est celui dont a été victime Ahmed Mansoor. Il permet d'envoyer un SMS avec un lien web piégé. Le second mode s'appuierait sur des SMS spéciaux appelés WAP Push Service Loading Message, qui ont la bonne idée d'ouvrir automatiquement des liens web. Ce type de SMS a néanmoins tendance à être de plus en plus bloqué par les terminaux et les opérateurs.

Des cas clients peu glorieux

Quels pays font appel aux produits de NSO Group? C'est évidemment difficile de le savoir. Selon Haaretz, la firme a vendu en 2012 ses solutions au gouvernement mexicain pour un total de 20 millions de dollars. Et d'après Foreign Policy, le Panama figure également sur la liste des clients. De manière peu glorieuse d'ailleurs. L'ancien président du Panama, Ricardo Martinelli, se serait servi de Pegasus pour espionner des journalistes, des leaders politiques et religieux, des juges, des rivaux, des membres de son cabinet, des membres de l'ambassade américaine et même… sa maîtresse.

Le cas d'Ahmed Mansoor met une fois de plus en exergue le problème éthique de ce marché. Israël a signé l'accord international Wassenaar, qui régit l'exportation d'armes et de logiciels de surveillance/piratage. L'objectif de ce traité est d'empêcher que ces technologies ne tombent en de mauvaises mains. Pour que NSO puisse vendre ses logiciels aux Emirats Arabes Unis, le gouvernement israélien a donc forcément donné son accord. Pour CitizenLab, c'est la preuve que les mécanismes mis en place aujourd'hui ne suffisent pas et qu'il faut renforcer les contrôles légaux et la régulation de la vente ce type de logiciel.

Deux des trois fondateurs de NSO ont, pour leur part, déjà trouvé la solution. Ils ont créé une autre sociétés baptisée Kaymera dont le but est de protéger les terminaux mobiles du piratage. Produire en même temps le poison et l'antidote, c'est une stratégie qui a fait ses preuves.