Edward Snowden : "L'affaire Pegasus révèle un nouveau marché privé des logiciels malveillants"

C'est un cyberespionnage planétaire qui est mis au jour par un consortium de journalistes du monde entier depuis ce dimanche, dont fait partie la Cellule investigation de Radio France. Plus de 50 000 numéros de téléphone ont été potentiellement ciblés par Pegasus, un puissant logiciel espion israélien, pour le compte d’une dizaine d’États. Sans doute la plus importante affaire de ce type connue depuis l'onde des chocs des révélations d'Edward Snowden, en juin 2013. Le lanceur d'alerte informaticien et ancien employé de la CIA et de la NSA a justement réagi aux questions de l'équipe pilotant le projet Pegasus.

> 'Projet Pegasus' : révélations sur un système mondial de cybersurveillance, notre dossier complet à ce sujet

Quelle est votre première réaction aux révélations du projet Pegasus ?

C'est choquant quand vous constatez l'échelle de quelque chose comme 50 000 numéros de téléphone de personnes dans une dizaine de pays. Et certains sont très agressifs, vous savez, comme le Mexique. Nous voyons des journalistes visés, des représentants du gouvernement, des personnalités de l'opposition, des militants des droits de l'homme. C'est terrible. 

Pour moi, cela soulève une question que je soupçonne depuis longtemps bien sûr : le détournement des capacités de surveillance. C'est ce que nous avons vu en 2013. Mais c'était exclusivement par les gouvernements travaillant en grande partie en interne, s'appuyant sur des fournisseurs commerciaux. Ils avaient un vernis de légitimité ou de légalité, un processus et une procédure. Ce n'était pas suffisant, c'était encore un concept raté. Mais nous avions quelque chose. 

Et ce que révèle le projet Pegasus, c'est que le groupe NSO est vraiment représentatif d'un nouveau marché des logiciels malveillants, où il s'agit d'une entreprise à but lucratif. Ils ne se soucient pas de la loi, ils ne se soucient pas des règlements. Ils le vendront à quiconque est un client fiable, avec qui ils pensent pouvoir s'en tirer, ils pensent qu'on ne le découvrira pas. Ils se disent : "Nous ne savons pas à quoi ils servent, nous n'en sommes pas responsables. Nous le vendons et ils signent ce contrat, et ils suivront le contrat, et s'ils ne le font pas, ce n'est pas vraiment notre problème parce qu'ils sont en rupture de contrat". Mais en même temps, ils ont déjà été pris et impliqués dans des scandales. Dans le meurtre de Jamal Khashoggi, pour lequel ils ont dit : "Oh, nous n'avons rien à voir avec ça. Nous avons mené une enquête et nous avons découvert que nos produits n'étaient pas utilisés." Mais comment cela peut-il se faire qu'ils ignorent qui leurs clients ciblent en utilisant leur logiciel ? De deux choses l'une. Soit ils connaissent tous ceux qui sont ciblés par leur logiciel et en sont donc responsables, car ils voient cela se produire et ne font rien. Mais ils peuvent nier que Khashoggi a été ciblé parce qu'ils ont regardé dans leur base de données les numéros de ciblage de chacun, et ils voient qu'il n'était pas là. Ou ils ne savent pas qui a été ciblé, ce qui signifie que leur démenti d'implication dans le meurtre de Khashoggi était le genre de mensonge le plus cynique. Et c'est vraiment ce que je pense s'avérer maintenant. 

Toute cette industrie, l'industrie des logiciels d'intrusion à but lucratif, est basée sur un mensonge. Ils disent que c'est pour sauver des vies, pour arrêter les crimes, mais c'est utilisé tous les jours dans de nombreux pays différents pour espionner des personnes qui ne sont pas des cibles légitimes.

C'est une industrie présente partout qui ne devrait pas exister. Nous voyons ce que fait le groupe NSO, qui est en quelque sorte la plus célèbre de ces entreprises. Mais le Groupe NSO n'en est qu'une parmi tant d'autres. Et si une entreprise sent aussi mauvais, que se passe-t-il avec toutes les autres ? Quand je vois cela, ce que le projet Pegasus a révélé est un secteur où leurs seuls produits sont des vecteurs d'infection. Ce ne sont pas des produits de sécurité. Ils ne fournissent aucune sorte de protection, aucune sorte de prophylaxie. Ils ne fabriquent pas de vaccins. La seule chose qu'ils vendent, c'est le virus. Et je pense que dire qu'ils ne vendent cela qu'aux gouvernements n'améliore pas les choses quand on regarde qui sont les cibles qui viennent d'être révélées.

"Nous sommes tous visés dans cette histoire"

Comment compareriez-vous ces révélations avec celles que vous avez faites vous-même au fil des années ?  

Elles sont sans doute parmi les plus importantes. C'est le genre d'informations que l'on n'a jamais, et quand on y a accès, tout le monde a peur : "C'est trop sérieux, il ne faut pas en parler, vous allez mettre des enquêtes en péril..." Mais la manière dont le consortium travaille ensemble, en prenant les numéros et en déterminant à qui ils appartiennent, pour confirmer les identités de certains individus sans nécessairement les contacter... On y trouve des ministres, des journalistes, dans des journaux et des institutions majeures, sur lesquelles on compte. On soulève un coin du rideau à un niveau jamais atteint.  

Vous avez déjà qualifié les smartphones "d'espions dans notre poche". Cette affaire confirme cela ? 

C'est pire, en fait. Quand je parle "d'espions dans nos poches", c'est le potentiel, la possibilité, le fait que ces choses communiquent à travers le réseau mobile, et connaissent votre localisation. C'est Facebook qui vous espionne, par exemple. Mais c'est pour des programmes commerciaux, pour des objectifs commerciaux. Ce que l'on découvre là, ce sont des gens qui ont créé une industrie dédiée au piratage de ces téléphones, qui vont au-delà de l'espionnage dont on connaissait l'existence, et qui prennent le contrôle de ces téléphones, pleinement, pour les retourner contre les gens qui les ont achetés, qui ne les possèdent plus vraiment. 

Le truc, c'est que tous ces téléphones sont des clones. Si vous prenez l'iPhone, ils tournent tous sous le même logiciel partout dans le monde. Donc s'ils trouvent un moyen de pirater un iPhone, ils trouvent le moyen de les pirater tous. Et non seulement ils le font, mais ils vendent cette compétence ! C'est une attaque réfléchie, intentionnelle sur des infrastructures dont nous dépendons tous. Peu importe sous quel drapeau on vit, peu importe la langue qu'on parle, nous sommes tous visés dans cette histoire.

Un ancien rapporteur de l'ONU sur les droits de l'homme, David Kaye, dit que l'industrie de la surveillance globale est hors de contrôle. Vous pensez qu'il a raison ?  

C'est une évidence. Cette idée de la surveillance pour le profit est quelque chose qui a déjà existé. Des entreprises ont réussi à créer des bugs, des micros cachés, et à les vendre. Le gouvernement s'en sert, la police locale s'en sert, et s'ils doivent ensuite procéder à une fouille d'une maison, d'une voiture, d'un bureau, on se dit qu'ils auront besoin d'un mandat. Ce sont des opérations coûteuses et difficiles, donc ils ne le font que si c'est vraiment nécessaire, de manière largement proportionnée par rapport à la menace présentée par la personne sur laquelle ils enquêtent. Mais s'ils peuvent faire la même chose à distance, pour pas grand-chose et sans risque, ils commencent à le faire tout le temps, contre toute personne vaguement intéressante. C'est ce que montre cette liste de 50 000 personnes ciblées : on ne met pas sur écouter 50 000 maisons, il n'y a pas assez de spécialistes dans le domaine pour pouvoir le faire. Mais s'il y a juste besoin de tendre le bras vers quelque chose dans votre poche, ils peuvent le faire et ils le feront.  

Pensez-vous que les gouvernements aurait la même capacité à espionner sans l'industrie de la surveillance privée ? 

Tout dépend du pays concerné. Dans un pays sophistiqué, avec un marché technologique développé, bien sûr. Mais dans la plupart des pays autoritaires, comme le Kazakhstan, l'Ouzbékistan, le Bahreïn, avec une société très fermée, vous ne favorisez pas ce développement technique, difficile à assurer. Mais s'il suffit de payer quelqu'un pour fournir tout ça en tant que service, là, ils peuvent faire tout ce qu'ils veulent. Cela ne coûte plus grand chose de maintenir son pouvoir en place. Si de telles compagnies n'existaient pas, quelle serait l'alternative ? Les gouvernements abandonneraient-ils toute idée d'espionner, d'enquêter, de rechercher les criminels et les terroristes ? Évidemment, non. Ils embaucheraient leurs propres développeurs, ils travailleraient en interne, ils développeraient leurs propres outils. Ce serait difficile et coûteux, inefficace, mais ce serait la bonne chose à faire. Mais ce que ces gens créent, ce ne sont pas des ingénieurs, ils ne fabriquent rien d'utile. Ce sont des "infectionneurs". Ils créent des manières de provoquer une maladie dans nos appareils. Ils trouvent des faiblesses, des points d'entrée. C'est comme si une industrie créait ses propres variants du Covid, pour contourner les vaccins. Et c'est ce qu'ils vendent, contre votre téléphone ou votre ordinateur. On ne peut pas empêcher des gouvernements de le faire, comme dans le domaine de la recherche sur les armes biologiques. Mais dieu merci, il est interdit d'en faire commerce, et le premier venu ne peut pas acheter la meilleure version du Covid sur le marché et en faire ce qu'il veut. 

Or, quand on évoque les appareils numériques, on ne voit pas que le risque pour la santé publique est le même. NSO a créé des clusters dans des communautés, avec un patient zéro contaminé qui se met à infecter ses amis, ses collègues, et tous les gens qu'il rencontre. Et cela ne serait jamais arrivé dans autant d'endroits, aussi facilement, au même coût, sans ces compagnies que l'on autorise à faire cela pour en tirer profit. La seule raison pour laquelle NSO fait cela, ce n'est pas pour sauver le monde. C'est pour faire de l'argent.  

À quel point Pegasus est-il sophistiqué ? 

Quand on regarde ce que peut faire ce logiciel, les piratages qu'il permet... Le principal objectif de la boîte à outils de Pegasus, et c'est pareil pour tous les fournisseurs de malwares, même les non-commerciaux utilisés par des hackers pour installer des rançongiciels sur des PC dans le monde, est de voler leurs utilisateurs. C'est ce qu'on appelle "l'exécution du code à distance". C'est une manière de toucher un appareil sans aucune action de son utilisateur : on trouve un défaut dans le logiciel qui tourne sur ces appareils, et sans même que l'utilisateur ne fasse d'erreur ou de mauvaise manipulation, ils peuvent lancer leur propre code, leurs propres programmes, leurs propres commandes sur l'appareil visé. C'est ce que fait Pegasus. Ils ont donc rempli leur mission. La question, c'est : à quel prix pour la société ?  

Qui faut-il craindre le plus : la NSA ou NSO ? 

Cela renvoie à une vieille question de l'époque où j'ai fait mes révélations, en 2013. Les gens disaient : pourquoi vous préoccuper de ce que fait le gouvernement, quand des entreprises commerciales espionnent les gens de la même façon ? Ils pensaient à Facebook, Google, Amazon... Ma réponse était que, quelque soit le niveau de surveillance exercé par ces entreprises, ils ne peuvent pas vous mettre en prison. Ils ne peuvent pas tirer un missile sur votre voiture. Ils ne peuvent pas lancer une attaque de drone. Concentrons-nous donc d'abord sur le gouvernement, et ensuite on ira s'occuper des entreprises, une fois le gouvernement réformé. Sauf que les gouvernements ont abandonné tout projet de se réformer, et il n'y a pas eu aucune réforme sur les pratiques de surveillance commerciales. 

Et le problème, c'est qu'en presque dix ans, on a vu naître des entreprises comme le groupe NSO, dont l'activité est de faire des choses que les entreprises ne faisaient pas avant. Ils ne font pas que vendre des choses. Ils envoient des gens en prison, ils les font tuer. Ils ne le font peut-être pas directement, mais ils fournissent les outils aux gouvernements qui les utilisent dans ce but, et ils le savent. L'implication du groupe NSO dans l'assassinat de Jamal Khashoggi est indéniable, même s'ils le nient. Ils disent qu'ils n'ont pas directement visé Khashoggi : mais si vous visez la personne la plus proche de lui, vous obtenez les mêmes conversations, les mêmes informations sur ses intentions. C'est une compagnie privée qui pirate de la même manière que la NSA le ferait. Et cela devrait nous effrayer plus que tout, parce que ce n'est pas qu'une seule de ces entreprises : c'est le cas pour toutes.

À qui faut-il demander des comptes ? À l'entreprise ou aux gouvernements qui utilisent son logiciel ? 

À tous. Mais il n'y a pas que la question de la responsabilité, par exemple, d'Israël ou de cette entreprise en particulier. Il devrait y avoir, selon moi, une responsabilité pénale pour toute implication dans ce marché. Il faut un moratoire global sur l'utilisation commerciale de ces outils. Il faut interdire ce commerce, supprimer la motivation du profit pour les gens qui participent à ça. Parce que le groupe NSO fermerait ses portes dès demain si cela ne leur rapportait plus rien, comme les autres compagnies de ce domaine.  

Mais il faut aussi se poser une question en Europe et aux États-Unis : comment se fait-il que ces entreprises rencontrent un tel succès ? Comment ont-elles pu autant s'étendre, si ce n'est parce que nos règles ont échoué ? Ces dix dernières années, l'Europe s'est dit qu'on pouvait contrôler ces choses, avec des méthodes datant de la Guerre froide, avec un contrôle des exportations. Mais on constate un échec total à éviter l'impact public de cette industrie du malware commercial. Et si ces règles n'ont pas marché, il faut qu'on réfléchisse à des règles plus sévères. Le seul moyen de régler tout cela, selon moi, est un moratoire globale sur l'exploitation commerciale de toute technologie de ce genre.  

Que doit-il se passer maintenant ? 

Il faut qu'on arrête tout ça. L'inaction n'est plus une option. Si on ne fait rien pour arrêter le commerce de ces technologies, on ne sera plus à 50 000 mais à 50 millions de cibles, et cela va arriver bien plus vite qu'on ne l'imagine. Il faut donc arrêter ce commerce, sans pour autant abandonner la recherche, qui peut être utilisée pour rendre nos appareils plus sûrs. Mais quand ces technologies sont vendues dans un but offensif, ou même simplement vendues, c'est là qu'on fait rentrer le loup dans la bergerie.  

Que peuvent faire les gens pour se protéger ?  

Que peuvent faire les gens pour se protéger des armes nucléaires ? Des armes chimiques ou biologiques ? Il y a des industries, des secteurs, pour lesquels il n'y a pas de protection, et c'est pour cela qu'on essaye de limiter leur prolifération. On n'autorise pas la vente dans le commerce d'armes nucléaires, d'armes chimiques ou biologiques. Mais dans le cas de ces armes numériques, on ne fait rien ! Il faut arrêter toute vente de ces technologies intrusives. C'est la seule manière de nous protéger.

Avec la collaboration d'Éric Chaverou et d'Olivier Bénis