C’est ironique : le « Projet Pegasus » a exposé plus que jamais les usages abusifs du logiciel espion de NSO Group… à peine 20 jours après la publication de son premier rapport de transparence. Le texte de 32 pages détaillait les prétendus efforts de l’entreprise pour empêcher les utilisations abusives de son logiciel espion Pegasus. En principe, il ne doit être utilisé que dans le cadre d’enquêtes légales pour arrêter de  grands criminels : terroristes, pédophiles ou encore trafiquants d’humains.

Mais dans les faits, il ne cesse d’être utilisé par des gouvernements pour espionner (ou au moins essayer) des journalistes, des opposants politiques et autres activistes, comme les nombreux articles tirés de la récente enquête le prouvent à nouveau. Soyons clair : ce « rapport de transparence » est davantage un texte de communication pour rassurer les régulateurs et tenter de sauver l’image publique de l’entreprise qu’un réel exercice de transparence. D’ailleurs, étant donné l’historique de l’entreprise, son contenu peut être mis en doute. Mais il donne au moins de nombreux éléments sur la stratégie de défense adoptée par NSO Group.

Signe de sa volonté de rattraper son image, l’entreprise mettait les « droits de l’Homme » au centre de son discours, avec pas moins de 188 utilisations du terme sur 32 pages. Elle s’y décrit comme un porte-étendard de l’industrie de la surveillance, qui œuvrerait pour plus de transparence et un meilleur équilibre entre « les devoirs des États à assurer la sécurité du public » et les « inquiétudes autour des droits de l’Homme et de la vie privée ».

Image d'erreur

Pegasus n’est pas le pire des logiciels espions. // Source : Le Choc des Titans (2010)

Pour joindre les paroles aux actes, NSO Group détaille dans un jargon administratif les nombreux garde-fous qu’il aurait mis en place pour se mettre en règle par rapport à plusieurs organisations, dont l’Union européenne. Son nouveau fonctionnement le pousserait à faire le tri parmi ses clients, avec un effet immédiat : « À date, NSO a refusé plus de 300 millions de dollars de ventes potentielles à la suite de ses processus de recherche sur les droits de l’Homme. » Ce montant correspondrait au refus de « 15% des opportunités de ventes » de l’entreprise entre mai 2020 et avril 2021.

10 contrats de Pegasus terminés pour abus

Régulièrement cité dans de sombres affaires, NSO Group affirme s’ajuster pour « adresser et réduire les risques liés aux droits de l’Homme, associés à [ses] produits ». L’entreprise ne le fait pas par éthique : elle a besoin de l’autorisation des pays depuis lesquels elle exporte son logiciel espion (Israël, la Bulgarie, et Chypre) pour continuer son activité. Ils peuvent même l’empêcher de vendre Pegasus à certains clients. Mais NSO Group se montre étonnement confiant sur ce dernier point : « Nos normes sont plus élevées que les exigences de contrôle des exportations de la plupart des États souverains, ainsi que celles de l’Union européenne. » En théorie, l’utilisation du logiciel espion doit se faire avec l’autorisation d’une instance indépendante de l’utilisateur, et il ne peut être utilisé contre des citoyens qui respectent la loi. Un principe très rarement respecté, comme le montre le Projet Pegasus.

L’entreprise précise qu’elle refuserait de vendre ses produits à plus de 55 pays qui ne respectent pas les normes minimum. « Les demandes venant de ces pays ne doivent même pas être présentées au comité de pilotage pour évaluation », ajoute-t-elle. Et elle ne se limiterait pas à cette sélection en amont : elle pourrait aussi lancer des enquêtes sur ses clients à la suite d’avertissements faits par des lanceurs d’alertes internes ou externes, au travers d’un processus spécifique. « Quand les clients n’ont pas été capables de donner des garanties suffisantes pour continuer à être autorisés à utiliser nos produits, nous avons mis fin à ces relations », lance NSO Group.

Des efforts minimum pour cacher les abus

Bilan, depuis 2016 : l’entreprise déclare qu’elle a « débranché du système » 5 clients à la suite d’une enquête pour mauvais usage, et 5 autres pour « des inquiétudes relatives aux droits de l’Homme ». Elle estime à « plus de 100 millions de dollars » l’arrêt de ces contrats. Reste que ce chiffre est extrêmement faible, comparé au nombre de scandales. « Notre capacité d’action est aussi limitée par le fait que nous n’avons pas de visibilité sur les utilisations opérationnelles spécifiques de notre produit, à moins qu’un accès soit donné par le client (ce qui est contractuellement requis en cas d’enquête sur un soupçon de mauvais usage) », se justifie NSO. En 2020, le groupe a mené 12 enquêtes pour mauvaise utilisation de Pegasus. Résultat : un contrat annulé, deux cas où l’entreprise a dû rajouter des garde-fous et 7 non-lieux faute « d’informations suffisantes » pour prouver les accusations.

C’est sur ce dernier point qu’elle construit sa ligne de défense contre le Projet Pegasus : la liste obtenue par Forbidden Stories et Amnesty, bien qu’impressionnante par sa longueur et les noms qui y sont cités, n’est « que » une liste de cibles, et non de personnes infectées. Il faut donc encore prouver qu’il y a bien eu infection — ce qui est déjà affirmé dans certains cas — pour que l’entreprise agisse.

NSO Group a créé un semblant de régulation autour de son activité, qui ne suffit largement pas à empêcher les mauvaises utilisations de son logiciel espion.

[Mise à jour] Cet article a été mis à jour afin de mieux refléter les ambiguïtés de NSO Group : son rapport dit de « transparence » ne doit pas être pris comme argent comptant, mais observé à l’aune de ce que l’on sait (ainsi que les zones d’ombres) sur les pratiques de l’entreprise.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !