Des téléphones d'employés du ministère des Affaires étrangères des États-Unis piratés par un logiciel espion
fourni pas l'entreprise israélienne NSO Group
Le département d'État des États-Unis est le département exécutif fédéral des États-Unis chargé des relations internationales. Il est donc l'équivalent du ministère des Affaires étrangères des autres pays. Les iPhone d'au moins neuf employés du département d'État américain ont été piratés par un cybercriminel non identifié à l'aide d'un logiciel espion sophistiqué développé par le groupe israélien NSO, selon quatre personnes proches du dossier. Les piratages, qui ont eu lieu au cours des derniers mois, ont touché des responsables américains basés en Ouganda ou axés sur des questions concernant ce pays d'Afrique de l'Est, ont déclaré deux des sources. Les intrusions représentent les piratages les plus connus de responsables américains via la technologie NSO. Auparavant, une liste de chiffres avec des cibles potentielles, dont certains responsables américains, avait fait surface dans des reportages sur NSO, mais il n'était pas clair si les intrusions étaient toujours tentées ou réussies.
La société israélienne de logiciels espions NSO Group a déclaré à plusieurs reprises que ses outils de surveillance ne fonctionnaient pas contre les smartphones basés aux États-Unis, mais les Américains voyageant à l'étranger et utilisant des téléphones portables étrangers pourraient ne pas bénéficier de cette protection.
Une liste de plus de 50 000 numéros de téléphone, dont certains pour des cibles de surveillance documentées, comprenait également les numéros de téléphone à l'étranger d'une douzaine d'Américains, dont des journalistes, des travailleurs humanitaires, des diplomates et autres, selon une enquête de 17 organes de presse.
L'enquête n'a pas pu déterminer si les clients de NSO avaient livré ou tenté de livrer son logiciel espion Pegasus à l'un de ces numéros. Mais la présence de chiffres utilisés par les responsables américains sur la liste a mis en évidence des questions sur la menace à la sécurité nationale posée par les logiciels espions disponibles dans le commerce.
Outre les numéros de téléphone à l'étranger, le numéro de téléphone portable de la région de Washington du principal négociateur iranien de l'administration Biden, Robert Malley, figurait sur la liste, tout comme ceux de plusieurs diplomates des Nations Unies basés aux États-Unis et d'expatriés rwandais opposés au gouvernement du président Paul Kagame qui vivent en exil aux États-Unis.
L'investigation numérique n'était pas possible dans la plupart de ces cas, et la porte-parole de NSO, Ariella Ben Abraham, a déclaré en réponse aux questions des organes de presse que le ciblage des téléphones avec le code de pays +1 des États-Unis était « technologiquement impossible ». La société a déclaré que le blocage technologique s'applique également aux appareils enregistrés à l'étranger lorsqu'ils se trouvent à l'intérieur des frontières des États-Unis, même s'ils sont enregistrés sur des systèmes téléphoniques étrangers.
NSO Group a ajouté qu'il n'avait aucune indication que ses outils étaient utilisés, mais a annulé l'accès pour les clients concernés et procéderait à une enquête : « Si notre enquête montre que ces actions ont effectivement eu lieu avec les outils de NSO, ce client sera définitivement résilié et des actions en justice auront lieu », a déclaré un porte-parole de NSO, qui a ajouté que NSO « coopérera également avec toute autorité gouvernementale compétente et présentera l'intégralité des informations que nous aurons ».
NSO Group placée sur la Entity List pour cyberactivités malveillantes
NSO a longtemps déclaré qu'il ne vendait ses produits qu'à des clients gouvernementaux chargés de l'application des lois et du renseignement, les aidant à surveiller les menaces à la sécurité, et qu'il n'était pas directement impliqué dans les opérations de surveillance.
Les responsables de l'ambassade ougandaise à Washington n'ont fait aucun commentaire. Un porte-parole d'Apple a refusé de commenter.
Un porte-parole du département d'État a refusé de commenter les intrusions, soulignant plutôt la récente décision du département du Commerce de placer l'entreprise israélienne sur la Entity List, ce qui complique la tâche aux entreprises américaines qui veulent faire des affaires avec elles.
À ce propos, le Département du Commerce des États-Unis a déclaré :
« NSO Group et Candiru (Israël) ont été ajoutés à la Entity List sur la base de preuves que ces entités ont développées et fourni des logiciels espions à des gouvernements étrangers qui ont utilisé ces outils pour cibler avec malveillance des représentants du gouvernement, des journalistes, des hommes d'affaires, des militants, des universitaires et des employés d'ambassade. Ces outils ont également permis aux gouvernements étrangers de mener une répression transnationale, qui est la pratique de gouvernements autoritaires ciblant les dissidents, les journalistes et les militants en dehors de leurs frontières souveraines pour faire taire la dissidence. De telles pratiques menacent l'ordre international fondé sur des règles ».
Pour mémoire, Entity List est un ensemble de sanctions prises par le Département du Commerce des États-Unis concernant des entreprises, des personnes et des organisations étrangères. Les personnes et organismes listés doivent avoir une autorisation pour effectuer certaines actions, comme acheter certains produits américains, commercialiser leurs produits aux États-Unis ou recevoir des transferts technologiques à partir d'entreprises américaines, autorisations qui leur sont refusées par défaut.
La secrétaire américaine au Commerce, Gina M. Raimondo, a publié la déclaration suivante : « Les États-Unis se sont engagés à utiliser de manière agressive les contrôles à l'exportation pour tenir responsables les entreprises qui développent, commercialisent ou utilisent des technologies pour mener des activités malveillantes qui menacent la cybersécurité des membres de la société civile, des dissidents, des représentants du gouvernement et des organisations ici et à l'étranger ».
NSO, qui avance que ses clients sont une soixantaine d'agences de renseignement, militaires et policières dans 40 pays, affirme qu'il limite les licences de ses produits aux pays qui respectent les droits de l'homme et que les accords ne sont conclus qu'après des enquêtes rigoureuses. Il indique également que son logiciel espion Pegasus, considéré comme l'un des outils de surveillance disponibles dans le commerce les plus intrusifs au monde, est destiné à être utilisé contre les terroristes et les criminels, tels que les barons de la drogue et les pédophiles, et n'est pas destiné à surveiller les citoyens respectueux des lois.
NSO Group affirme avec insistance que le logiciel Pegasus est utilisé de façon légale pour « récupérer des données sur les appareils mobiles de tel ou tel criminel de grande envergure présumé ». Mais Amnesty International affirme que de récentes investigations prouvent que cet outil est en parallèle utilisé contre la société civile en violation flagrante du droit international relatif aux droits humains.
L’outil de surveillance numérique ciblée de NSO Group est intrinsèquement susceptible d’être utilisé pour commettre des violations des droits humains, compte tenu de sa conception et du manque de mesures de contrôle permettant de garantir une utilisation légitime. Les États ont intentionnellement utilisé Pegasus pour cibler de façon illégale des personnes, violant totalement leur droit au respect de la vie privée.
« Des entreprises privées comme NSO Group ont démontré qu’elles bafouent en toute impunité leurs responsabilités en matière de droits humains, tout en tirant profit des atteintes aux droits humains. En permettant l’utilisation du logiciel de NSO sans qu’aient été prises les mesures nécessaires pour protéger nos droits, les États à travers le monde ont permis à un système illégal de prospérer, avec pour conséquence des violations des droits humains et des atteintes à ces droits perpétrées de façon généralisée et à grande échelle, a déclaré Agnes Callamard, secrétaire générale d’Amnesty International. »
« Le fait que de hauts responsables politiques aient eux-mêmes été pris dans les rets des technologies de surveillance va, espérons-le, alerter enfin les États du monde entier sur l’impérieuse nécessité de réagir en règlementant ce secteur. Si des dirigeants de la planète sont ainsi pris pour cible, cela confirme davantage encore que les droits de toutes les personnes, notamment ceux des militant·e·s des droits humains, des journalistes et des avocat·e·s, sont en danger. »
« Il est urgent que le secteur de la cybersurveillance soit soumis à un véritable contrôle afin d’empêcher de nouvelles violations. Toutes les mesures juridiques nécessaires doivent être prises pour qu’apparaissent au grand jour toute l’ampleur et la nature de la complicité de NSO dans ces atteintes aux droits humains. »
Amnesty International demande qu’un moratoire soit immédiatement instauré sur l’exportation, la vente, le transfert et l’utilisation des technologies de surveillance jusqu’à ce qu’un cadre règlementaire respectueux des droits humains soit mis en place.
Comment fonctionne Pégase
- Cible : quelqu'un envoie ce qu'on appelle un lien piège à un smartphone qui persuade la victime d'appuyer et de s'activer - ou s'active sans aucune entrée, comme dans les piratages « zéro clic » les plus sophistiqués.
- Infecte : le logiciel espion capture et copie les fonctions les plus élémentaires du téléphone, comme le montrent les supports marketing de NSO, fait des enregistrements à partir des caméras et du microphone et collecte les données de localisation, les journaux d'appels et les contacts.
- Piste : L'implant rapporte secrètement cette information à un agent qui peut l'utiliser pour cartographier les détails sensibles de la vie de la victime.
Le logiciel NSO est capable non seulement de capturer des messages chiffrés, des photos et d'autres informations sensibles à partir de téléphones infectés, mais également de les transformer en appareils d'enregistrement pour surveiller l'environnement, sur la base des manuels des produits.
L'alerte d'Apple aux utilisateurs concernés n'a pas nommé le créateur du logiciel espion utilisé dans ce piratage.
Les victimes notifiées par Apple comprenaient des citoyens américains et étaient facilement identifiables comme des employés du gouvernement américain, car elles associaient des adresses e-mail se terminant par state.gov à leurs identifiants Apple, ont déclaré deux des personnes. Eux-mêmes et d'autres cibles notifiées par Apple dans plusieurs pays ont été infectés par la même vulnérabilité de traitement graphique qu'Apple n'a apprise et corrigée qu'en septembre, ont indiqué les sources.
Depuis au moins février, cette faille logicielle a permis à certains clients de NSO de prendre le contrôle des iPhone simplement en envoyant des requêtes iMessage invisibles, ont déclaré les chercheurs qui ont enquêté sur la campagne d'espionnage. Les victimes ne verraient pas ou n'auraient pas besoin d'interagir avec une invite pour que le piratage réussisse. Des versions du logiciel de surveillance NSO, communément appelé Pegasus, pourraient alors être installées.
L'annonce d'Apple selon laquelle elle informerait les victimes est intervenue le jour même où elle a poursuivi NSO Group la semaine dernière, l'accusant d'avoir aidé de nombreux clients à s'introduire dans le logiciel mobile d'Apple, iOS.
Dans une réponse publique, NSO a déclaré que sa technologie aidait à arrêter le terrorisme et qu'ils avaient installé des contrôles pour freiner l'espionnage contre des cibles innocentes.
Le sénateur Ron Wyden, qui fait partie de la commission sénatoriale du renseignement, a déclaré : « Les entreprises qui permettent à leurs clients de pirater des employés du gouvernement américain constituent une menace pour la sécurité nationale des États-Unis et doivent être traitées comme telles. »
Historiquement, certains des anciens clients les plus connus de NSO Group comprenaient l'Arabie saoudite, les Émirats arabes unis et le Mexique.
Le ministère israélien de la Défense doit approuver les licences d'exportation de NSO, qui entretient des liens étroits avec les communautés israéliennes de la défense et du renseignement, pour vendre sa technologie à l'international.
Dans un communiqué, l'ambassade d'Israël à Washington a déclaré que cibler des responsables américains constituerait une grave violation de ses règles.
« Les produits informatiques comme celui mentionné sont supervisés et autorisés à être exportés vers les gouvernements uniquement à des fins liées à la lutte contre le terrorisme et les crimes graves », a déclaré un porte-parole de l'ambassade. « Les dispositions relatives aux licences sont très claires et si ces allégations sont vraies, il s'agit d'une grave violation de ces dispositions ».
Sources : Apple, Amnesty International (1, 2), Département du Commerce des États-Unis
Et vous ?
Quelle lecture en faites-vous ?
Êtes-vous pour ou contre ce type de sociétés qui se définissent comme des remparts face au terrorisme ?
Qui devrait endosser la responsabilité si un client d'une telle société utilise le logiciel contre des civils comme des journalistes ou des opposants pacifiques à un régime ? Dans quelle mesure ?
Des risques que ces outils se retrouvent dans des mains de civils ou de cybercriminels ? Dans ce cas, le jeu en vaut-il tout de même la chandelle ? Pourquoi ?
Partager