Un employé de l’éditeur de logiciel espion NSO Group s’est laissé tenté par l’usage de la technologie à des fins personnelles. D’après Motherboard, il a utilisé le compte d’un client pour hacker le smartphone d’une femme qui l’intéressait. À la suite de cette intrusion abusive, de l’ordre du harcèlement, l’entreprise a limogé l’individu, et durci sa procédure de recrutement. L’incident remonte à 2016, et l’organisation israélienne a depuis causé de nouveaux scandales.
NSO Group vend son logiciel espion Pegasus à des forces de l’ordre et des agences de renseignement. Si l’on ne connaît pas en détail ses capacités, il a été prouvé qu’il permettait de s’introduire à distance sur des smartphones Android comme sur des iPhone, quand bien même les appareils disposeraient des dernières mises à jour de sécurité.
Pour ce faire, Pegasus est régulièrement mis à jour avec des fonctionnalités pour exploiter des failles inconnues par les constructeurs, les fameuses « zero-day ». Dans certaines versions, le piratage ne requiert aucune action de la part de la victime, et tout au plus un clic sur un lien dans les versions les moins performantes. Côté utilisateur, tout est fait pour simplifier l’usage : il suffit le plus souvent d’entrer le numéro de téléphone de la cible. Ce piratage coûte tout de même quelques dizaines de milliers d’euros par tentative et n’est donc pas utilisé sur n’importe qui. Théoriquement.
Pegasus permet de voir les photos et les messages de la victime
Une fois l’accès obtenu, le logiciel peut aspirer les contenus de l’appareil (photo, vidéos, enregistrements) , lire les messages quel que soient les canaux utilisés, encore enregistrer la localisation de l’appareil, ou encore activer à distance le micro et la caméra de l’appareil. Le tout, sans que la victime s’en rende compte. Il s’agit donc d’un parfait outil de cyberespion, qui ouvre la porte à une longue liste d’usages abusifs.
Officiellement utilisé dans les uniques objectifs de lutte antiterroriste et contre les grands criminels, le logiciel a pourtant servi à hacker des opposants à des gouvernements, des défenseurs des droits ou encore des journalistes. Il aurait notamment servi à pister Jamal Khashoggi, un journaliste du Washington Post assassiné en octobre 2018 sur ordre du prince saoudien, d’après le renseignement américain.
L’usage abusif de technologies de surveillance est commun
Le plus souvent l’usage abusif (plus ou moins toléré par l’entreprise elle-même) est effectué par un client. Dans le cas décrit par Motherboard, l’employé a pu tenter de faire porter le chapeau à un client. Alors qu’il était appelé pour une procédure de maintenance chez un client émirati, il s’est connecté à leur logiciel pour effectuer sa requête personnelle. Problème : le client a reçu une alerte et a pu enquêter pour remonter à l’individu. L’utilisateur inopportun a été arrêté par les autorités avant d’être mis à pied par NSO.
Pegasus n’est pas le seul logiciel de surveillance à être utilisé de façon abusive. Récemment, la technologie de reconnaissance faciale de ClearviewAI, supposément réservée aux forces de l’ordre, avait été donnée à des milliardaires, des personnalités et des amis des fondateurs. Dans le même temps, l’entreprise poussait ses potentiels clients — des policiers — à la tester dans le cadre privé. Au moins, NSO Group semble préoccupé lorsque l’usage abusif est effectué par ses propres employés. Ses clients, c’est une autre histoire.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !