C’est après plusieurs mois d’enquête en collaboration avec Amnesty International qu’un consortium de 17 médias a levé le voile sur le Projet Pegasus. Ce logiciel espion, qui est édité par la société israélienne NSO Group, aurait été utilisé par des dizaines d’États à travers le monde pour infiltrer illégalement les smartphones de dizaines de milliers de personnes. Parmi elles, des journalistes, d’importantes personnalités politiques, des avocats, des militants des droits de l’homme, des milliardaires, des généraux…

Si tous les faits venaient à être avérés, on pourrait alors affirmer qu’il s'agit de l’affaire de cyber-espionnage la plus importante que le monde ait connu depuis les révélations d'Edward Snowden en 2013.

Pegasus, un logiciel espion développé par la société NSO Group

Pegasus est présenté par NSO Group comme étant un logiciel espion permettant d’aider les services de renseignement à lutter contre la criminalité et le terrorisme. Réputé comme étant particulièrement puissant, il a la capacité de s’introduire à distance dans n’importe quel smartphone en exploitant les failles des systèmes d'exploitation iOS et Android. De ce fait, les victimes de Pegasus n’ont même pas besoin de cliquer sur un lien pour être infectées ; elles peuvent l’être sans même avoir effectué une seule action. Pire encore, le logiciel est totalement invisible aux yeux de sa cible.

Les actions qu’il est en mesure de mener au sein d’un appareil infecté n’en sont pas moins spectaculaires. Loin d’être un simple logiciel d’écoute, Pegasus a le pouvoir d’aspirer toutes les données se trouvant dans un appareil : carnet de contacts, photographies, messages, appels… Même les messageries sécurisées, telles que Signal ou encore WhatsApp, ne lui résistent pas.

Depuis plusieurs années déjà, Pegasus est soupçonné d’être utilisé à mauvais escient. En 2020, Amnesty International avait notamment tiré la sonnette d’alarme en révélant que le smartphone du journaliste d’investigation marocain Omar Radi avait été infecté par le logiciel. La même année, le groupe Facebook avait poursuivi NSO pour avoir prétendument permis des attaques contre WhatsApp. Le FBI a également lancé une enquête à l'encontre de la société, alors soupçonnée d'avoir été à l'origine de piratages gouvernementaux. Quelques mois après, CitizenLab affirmait que Pegasus avait été utilisé pour pirater les iPhone des journalistes d'Al Jazeera en exploitant une faille dans iMessage.

Les révélations sur une gigantesque affaire de cyber-espionnage au rayonnement mondial

Ces soupçons ont ouvert la voie à une enquête menée par Amnesty International et Forbidden Stories, une organisation à but non lucratif qui a rassemblé 17 médias (parmi lesquels Le Monde, le Washington Post, PBS Frontline, ou encore The Guardian) dans un consortium international.

Ensemble, ils ont eu accès à un fichier regroupant 50 000 numéros de téléphone identifiés comme étant des cibles des clients de NSO Group depuis 2016. C’est en analysant ce document que les révélations sont tombées. Parmi les victimes de Pegasus, on retrouve les numéros de 600 hommes et femmes politiques, dont “un chef d’État et deux chefs de gouvernement européens” précise Le Monde, 65 chefs d’entreprise, 85 militants des droits de l’homme et 189 journalistes. Parmi ces derniers, certains membres des rédactions du Figaro, du Canard enchaîné, de Mediapart, de France Télévisions, de l’AFP ou encore du Monde sont concernés.

D’autres noms ont été révélés. Hatice Cengiz, fiancée du journaliste Jamal Khashoggi qui a été brutalement assassiné par des agents saoudiens en 2018 sur le territoire turc, a également été la cible de Pegasus, quelques jours seulement après le meurtre de son compagnon. Il en va de même pour la journaliste azerbaïdjanaise Khadija Ismayilova, et pour Siddharth Varadarajan, cofondateur de Wire, un média indien indépendant.

Nos confrères de l’Express précisent que l’authenticité de ces données a pu être confirmée en “les croisant avec plusieurs autres sources et en identifiant des dizaines de nouvelles victimes du logiciel par des analyses techniques extrêmement poussées (...) grâce aux experts du Security Lab d’Amnesty International”.

Une information confirmée chez FranceInfo par Edwy Plenel, président et cofondateur de Mediapart qui a lui-même été la cible de Pegasus : “Nous avons accepté, avec Lenaïg Bredoux, qui est une journaliste de Mediapart elle aussi infectée, que nos téléphones soient expertisés. Le résultat, c'est que la technique du laboratoire d'Amnesty International a permis d'établir les dates précises de cet espionnage qui a duré plusieurs mois, en 2019-2020”.

Au total, Amnesty International a analysé 67 smartphones soupçonnés d'avoir été la cible de Pegasus. L’organisation a déterminé que 23 d'entre eux avaient été infectés avec succès par le logiciel espion, et que 14 autres présentaient des signes d'une tentative de piratage. Amnesty n'a pas été en mesure d'arriver à une conclusion concernant les 30 téléphones restants. Dans plusieurs cas, cela était dû au fait que l’appareil a été remplacé par son propriétaire.

Parmi les clients qui ont fait appel à Pegasus pour espionner des individus en dehors de tout cadre légal, on retrouve l’Inde, l’Azerbaïdjan, l’Indonésie, le Kazakhstan, l’Arabie saoudite, le Mexique, le Togo, le Rwanda, les Émirats arabes unis, le Bahreïn, la Hongrie (seul pays européen de la liste) et le Maroc qui, à lui seul, est accusé d’avoir ciblé plus de 10 000 numéros de téléphone en l’espace de deux ans seulement.

Ursula von der Leyen, la présidente de la Commission européenne, a rapidement réagi à ces révélations en les qualifiant comme étant “complètement inacceptables”. De son côté, Gabriel Attal, porte-parole du gouvernement français, a jugé ces faits "extrêmement choquants (...) et graves”.

Tous deux prennent néanmoins leurs précautions, en rappelant que les éléments révélés devront d’abord être vérifiés au travers d’enquêtes judiciaires. S’ils étaient avérés, ils constitueraient alors une grave violation des droits de l’homme.

NSO Group nie les accusations

Les allégations découlant de cette enquête ont été fermement niées par NSO Group. Dans plusieurs déclarations, l’entreprise a notamment affirmé que ces révélations ne reposaient sur “aucune base factuelle” et a fortement rejeté l’idée que Pegasus ait été utilisé pour cibler des individus en dehors de tout cadre légal. Elle a également souligné avoir fermé l’accès à son logiciel espion “à de multiples reprises” en raison d’abus passés.

NSO Group souhaite désormais porter plainte pour diffamation, et a engagé l’avocat spécialisé Thomas Clare pour ce faire. Elle accuse notamment les partenaires de l’enquête d’avoir “mal interprété” et “mal caractérisé” les données analysées, en faisant “des hypothèses spéculatives et sans fondement”.