Pegasus (logiciel espion)

Les vulnérabilités zero-day étant très difficiles à trouver — elles font l'objet d'un véritable marché dans lequel des hackers vendent leurs trouvailles au plus offrant[11] —, elles ont un coût élevé[12], par exemple, jusqu'à 2,5 millions d'euros pour une faille concernant le système d'exploitation Android[13]. La découverte de vulnérabilités sur iOS est relativement rare, mais Pegasus exploite de nouvelles vulnérabilités au fur et à mesure qu'elles sont détectées et avant qu'elles ne soient corrigées par Apple[12] - [14].

Par exemple, dès 2016, l'iPhone 6 a été la cible de Pegasus qui exploitait plusieurs vulnérabilités logées dans la bibliothèque WebKit. Les failles permettent, en chargeant une page web, d'exécuter du code tiers sur l'iPhone puis de réaliser un Jailbreak d'iOS sur un iPhone ; ensuite, le logiciel chargé localise les zones mémoire du noyau de système d’exploitation pour les modifier, mettant hors d'usage les différentes couches de protection applicative. Le piratage se termine par le téléchargement et l'installation de Pegasus[15].

L'installation du logiciel sur le smartphone visé peut se faire par plusieurs moyens[16] :

• par spear phishing : elle nécessite que l'utilisateur clique sur un lien envoyé via un sms ou un iMessage qui exploite ensuite des failles logicielles[10] - [16] - [2] ;
• par redirection internet : l'utilisateur est redirigé à son insu vers une autre URL que celle du site web qu'il souhaite visiter[17] ;
• par radiocommunication : depuis mai 2018, NSO recourt à des techniques dites « zero click » qui installent Pegasus sans action de l'utilisateur[17]. Ces techniques s'appuient notamment sur les vulnérabilités zero-day de divers logiciels[17], comme Whatsapp, iMessage ou Apple Music[13] ;
• par émetteur-récepteur sans fil à proximité du terminal ;
• manuellement : si le smartphone de la cible est dans les mains du commanditaire[16].

Pegasus fournit au commanditaire un large accès aux données du téléphone, incluant les sms et les messages (y compris chiffrés) envoyés et reçus, le carnet d'adresses, il peut activer micro et caméra, capter les données de localisation GPS et permettre l'enregistrement des appels téléphoniques[16] - [18]. Il peut accéder aussi aux publications sur les réseaux sociaux, aux photos, aux vidéos, aux enregistrements. Il a accès aux historiques des consultations internet. Il peut aussi retracer l’itinéraire de son utilisateur[19]. Par exemple, Pegasus est capable de capter des données d’applications, comme WhatsApp, Skype, Facebook ou Gmail. Il peut aussi enregistrer tous les caractères saisis sur le téléphone ou photographier l’écran[20].

Le logiciel espion Pegasus est sophistiqué et modulaire, en plus de permettre une personnalisation selon le pays d'utilisation ou les propriétés achetées par l'utilisateur final. Il utilise un chiffrement pour se protéger de la détection des outils de sécurité traditionnels et dispose d'un mécanisme de surveillance et d'autodestruction[21]. Les versions les plus récentes du logiciel sont susceptibles de se loger uniquement dans la mémoire vive du smartphone, et non sa mémoire permanente, ce qui permet d'en faire disparaître toute trace lors de l'extinction du téléphone[16]. Enfin, lorsque des ONG ou journalistes publient des éléments sur le fonctionnement du logiciel, NSO Group l'adapte pour qu'il demeure furtif[10].

L'architecture technique du système s'appuie sur trois niveaux : une station de travail, un serveur informatique d'infection et une infrastructure cloud. L'opérateur lance son attaque depuis sa station, ce qui provoque l'envoi du SMS piégé. Le lien qu'il incorpore pointe vers l'un des serveurs web de l'infrastructure cloud. Le serveur web redirige la victime ensuite vers le serveur d'infection qui va exécuter l'attaque[15].

Pegasus s'appuie sur les serveurs informatiques d'Amazon Web Services (AWS), filiale d'Amazon et de serveurs hébergés en Europe, dont ceux d'OVH[22]. À la suite des révélations du Projet Pegasus en juillet 2021, Amazon débranche ces serveurs. Selon le laboratoire de recherches canadien Citizen Lab, les services informatiques d’AWS constituent un pilier important de l’infrastructure technique de Pegasus, sans pour autant constituer le cœur de son infrastructure informatique[23].

Pour vérifier si un téléphone intelligent est infecté, une analyse technique par des experts en sécurité informatique est nécessaire. Dans le cadre de l'enquête journalistique du projet Pegasus, le Security Lab d’Amnesty International, qui par ailleurs offre pour les initiés un outil de détection, a analysé des téléphones ciblés et y a détecté des traces d’intrusions. La méthode de détection a été validée de manière indépendante par les chercheurs du Citizen Lab de l’université de Toronto[24] - [25]. La société Suisse DigiDNA annonce une application de détection des traces de Pegasus[26].

L'Espagne utilise Pegasus contre le mouvement indépendantiste catalan dès 2015[38]. Selon Citizen Lab, l'activiste politique catalan et professeur universitaire Jordi Sànchez aurait été le premier indépendantiste visé en 2015 à la suite d'une manifestation à Barcelone, bien que la majorité des cas d'espionnage contre le mouvement indépendantiste catalan se sont produits entre 2017 et 2020[39].

Les premières révélations sortent en 2016 sur la société israélienne NSO Group[40]. Le 25 août 2016, le laboratoire Citizen Lab et l'entreprise Lookout (en) révèlent que le smartphone du militant des droits de l'homme Ahmed Mansoor a été ciblé par un logiciel espion nommé Pegasus[41]. Ahmed Mansoor est un militant émirati, lauréat 2015 du prix Martin Ennals. Le 10 août 2016, il informe les chercheurs du Citizen Lab, Bill Marczak et John Scott-Railton, qu'il vient de recevoir deux SMS suspects sur son iPhone 6. Ces SMS promettent de lui révéler des secrets sur les prisonniers torturés dans les prisons des Émirats arabes unis (EAU). Mansoor devient immédiatement suspicieux : il a été emprisonné pour son activisme et est régulièrement la cible de malwares commerciaux que les analystes ont rattachés au gouvernement des EAU[41] - [42].

L'analyse publiée par Citizen Lab et Lookout indique que l'URL du SMS (qui relève de l'hameçonnage ciblé) dirige vers le téléchargement d'un logiciel malveillant qui exploite trois vulnérabilités critiques dites « zero-day » du système d'exploitation iOS, dénommé Trident. Le logiciel s'installe alors discrètement sur l'iPhone sans en informer l'utilisateur et transmet au commanditaire de nombreuses données (localisation GPS, communications, photos, liste des contacts, accès aux micro et caméra, etc.)[21] - [43] - [19] - [44]. Les chercheurs découvrent que le virus est un produit référencé par NSO Group, appelé Pegasus dans des documents confidentiels[21]. Des détails du logiciel espion confirment aux chercheurs que son emploi n'est pas nouveau et remonte à plusieurs années[45].

Au Mexique, le gouvernement d'Enrique Peña Nieto qui a payé 80 millions de dollars sa copie du logiciel, a suivi le journaliste mexicain Javier Valdez Cárdenas, assassiné en 2017, et au moins huit autres journalistes, des opposants politiques et des enquêteurs internationaux comme le démontre le Citizen Lab de l'université de Toronto[46] - [47].

En Arabie saoudite, il a servi contre des activistes, notamment un confident de Jamal Khashoggi en octobre 2018[7].

En mai 2019, le Citizen Lab a alerté Facebook, propriétaire de WhatsApp, après avoir découvert une activité suspecte dans le téléphone d'un avocat britannique, Yahya Assiri (en), impliqué dans des poursuites visant NSO Group. L'entreprise est accusée de fournir à l'Arabie saoudite des outils pour pirater les téléphones d'Omar Abdulaziz (vlogger) (en), un dissident saoudien installé au Canada — dont l'espionnage est susceptible d'avoir concouru à l'assassinat de Jamal Khashoggi —, un citoyen qatarien et un groupe de journalistes et de militants mexicains[48] - [49] - [50] - [51]. Dès le 12 mai, WhatsApp reconnait publiquement qu'une vulnérabilité de son logiciel[52] permet au groupe NSO d'infecter un téléphone par un simple appel, même laissé sans réponse, et il invite toute sa base d'usagers à installer une mise à jour[53]. In fine, WhatsApp évalue à 1 400 le nombre d'utilisateurs dont les téléphones ont été infectés par Pegasus[54].

L’ONG Citizen Lab établit qu'en 2019 le téléphone de Roger Torrent, président du Parlement de Catalogne, a été ciblé par ce logiciel espion[55].

En mai 2019, Amnesty International a déposé un affidavit en Israël demandant de cesser la vente et la distribution du logiciel espion parce que celui-ci menace le droit à la vie privée et à la liberté d'opinion et d'expression, en violation des obligations d'Israël[56] - [57].

En août 2020, le journal Le Monde révèle, d'après une enquête menée conjointement avec le journal The Guardian, que six Togolais, opposants au régime en place ou dignitaires religieux, dont M^gr Benoît Alowonou, évêque du diocèse de Kpalimé, ont été la cible d'espionnage via l’utilisation du logiciel Pegasus[58].

Quelques mois plus tard, en décembre 2020, le laboratoire Citizen Lab révèle que plus d'une trentaine de journalistes de la chaîne de télévision qatarie Al Jazeera ont été pris pour cible par Pegasus, probablement à l'initiative de l'Arabie saoudite et des Émirats arabes unis[59] - [60].

Le 16 juillet 2020, Pablo Iglesias, le secrétaire général du parti Podemos et membre du gouvernement espagnol réclame l’ouverture d’une enquête parlementaire sur la surveillance par logiciel ayant visé plusieurs militants du mouvement indépendantiste catalan. Le Guardian et El Pais avaient révélé qu’au moins trois indépendantistes catalans, dont le président du Parlement de Catalogne, avaient été visés en 2019 par Pegasus[61].

En juillet 2021, une enquête nommée « Projet Pegasus » du collectif de journalistes Forbidden Stories s'appuyant sur l'expertise technique d'Amnesty International (Security Lab d’Amnesty International), montre que le logiciel est utilisé à des fins politiques par onze États, notamment pour espionner des opposants, des militants, des journalistes et des juges[62] - [63].

Parmi les mille cibles potentielles identifiées, sur 50 000 numéros de téléphone présélectionnés par des États, on dénombre 189 journalistes, 85 militants des droits de l'homme, 65 dirigeants d'entreprises et 600 personnalités politiques ou membres d'instances gouvernementales, dont plusieurs chefs d'État[2] - [3].

En 2021, le rapport Citizen Lab[64] a révélé que le gouvernement bahreïnien utilise Pegasus pour suivre au moins neuf militants depuis le 20 juin. Entre juin 2020 et février 2021, neuf militants ont été ciblés pour être membres de l'une de ces organisations politiques d'opposition, une ONG des droits de l'homme ou des dissidents exilés. De plus, certains militants ont été piratés par une entité nommée « LULU », quelques uns ont été piratés en utilisant deux exploits d'iMessage à zéro clic[65].

En septembre 2021, les médias belges Knack et Le Soir indiquent que, selon les autorités belges, des journalistes belges ont été espionnés via le logiciel Pegasus. Le service de renseignement militaire (SGRS) considère qu’il est « très probable » qu’ils l’aient été par le Rwanda[66].

En octobre 2021, Cheikh Mohammed ben Rached al-Maktoum utilise Pegasus pour pirater les téléphones de la princesse Haya Bint Al Hussein et de ses avocats dans une affaire de divorce à Londres[67].

En novembre 2021, une analyse menée par le Security Lab d’Amnesty International révèle qu'un militant de l’autodétermination du Sahara occidental est espionné en Belgique. Mahjoub Mleiha est la quatrième victime du logiciel espion Pegasus sur le sol belge. Il a vu son téléphone infecté à plusieurs reprises début 2021[68].

En décembre 2021, une enquête du Projet Pegasus a révélé que le téléphone de Kamel Jendoubi, président du Groupe d'experts des Nations Unies sur la guerre au Yémen, a été infecté par le logiciel espion Pegasus par l'Arabie saoudite en 2019[69]. Amnesty International confirme aussi que des opposants kazakhs ont été pris pour cible, après analyse de leurs téléphones[70].

En janvier 2022, Front Line Defenders constate que le téléphone d'Ebtisam al-Saegh, une défenseur des droits de l'homme au Bahreïn, a été piraté au moins huit fois entre août et novembre 2019. Celui de Hala ahed Deeb, qui travaille avec les droits de l'homme et les groupes féministes en Jordanie, l'a été en mars 2021[71] - [72].

En février 2022, l'analyse légale par Amnesty International[73] et Citizen Lab[74] a montré que les téléphones de trois militants à Bahreïn étaient ciblés par Pegasus entre juin et septembre 2021. Premièrement, un avocat, Mohamed Al-Tajer, a défendu des activistes et combattu pour des réformes démocratiques. Son téléphone a été infecté par le logiciel Pegasus en septembre 2021, juste après que soit dévoilé qu'il était espionné par un logiciel concurrrent[75]. Deuxièmement, la psychiatre Sharifa Siwar a accusé l'un des fils du roi d'être compromis dans un trafic de médicaments. Son téléphone a été infecté en juin 2021. Troisièmement, un journaliste en ligne, qui a demandé l'anonymat, a couvert notamment le soulèvement de Bahreïn en 2011 et possède de nombreux contact parmi les activistes. Son téléphone a été infecté en septembre 2021[76].

En avril 2022, Citizen Lab a publié un rapport[39] confirmant qu'au moins 63 individus, membres du Parlement européen en faveur de l'indépendance de la Catalogne, présidents catalans, juristes représentant des catalans éminents et membres d'organisations catalanes telles que l'Assemblé nationale catalane et Òmnium Cultural ont été visés par Pegasus, notamment entre 2017 et 2020. Le 5 mai 2022, la responsable des services secrets espagnols, Centro Nacional de Inteligencia (CNI), Paz Esteban, a admis que des indépendantistes catalans avaient été espionnés via Pegasus, mais assure que cette surveillance a été menée dans un cadre légal[77].

Le rapport Citizen Lab a publié que les deux bureaux de Boris Johnson, 10 Downing Street et Bureau des Affaires étrangères et du Commonwealth, ont été ciblés à plusieurs fois à l'aide de Pegasus par les Émirats arabes unis en 2020 et 2021[78].

Le 2 mai 2022, il est confirmé que le téléphone du premier ministre espagnol a été infecté au printemps 2021 par le logiciel Pegasus[79].

En 2023, une enquête de l'Union européenne établit que le logiciel a été utilisé contre des membres de l'opposition d'États membres de l'union, notamment en Pologne et en Hongrie[80].

En Grèce, des journalistes et membres de l'opposition ont été espionnés à l'aide de ce logiciel[81].

En Israël, l'utilisation de Pegasus par la police israélienne pose question. En 2022, elle est accusée d'espionnage à grande échelle sans autorisation particulière de personnalités, de proches du gouvernement, de journalistes ou d'hommes d'affaires. De manière générale, les demandes à la justice de mise sur écoutes de personnes spécifiques ne précisent pas les outils utilisés[82] - [83]. Toutefois des « conclusions intermédiaires » d'une enquête du ministère de la Justice israélien évoquent « des informations incorrectes et certainement inexactes »[84].

En avril 2022, Didier Reynders, commissaire européen à la Justice révèle à l'agence de presse Reuters avoir été ciblé par le logiciel Pegasus. Trois autres membres de la commission auraient également été visés, et les commanditaires du piratage restent inconnus[85] - [86].

• Vulnérabilité (informatique)
• Logiciel espion
• Projet Pegasus (journalisme)
• NSO Group

• Sylvain Tronchet, « Le pouvoir marocain soupçonné d'avoir espionné un journaliste d'investigation avec le logiciel Pegasus », sur le site de France Inter, 22 juin 2020 (consulté le 22 juin 2020).
• Sylvain Tronchet, « Le "projet Pegasus" : de nombreux États utilisent un logiciel espion pour cibler leurs concitoyens », sur FranceInter.fr, 18 juillet 2021 (consulté le 20 juillet 2021).
• Edward Snowden, « Sur le logiciel espion Pegasus : « C’est une industrie créée pour vous pirater » » [vidéo], sur LeMonde.fr avec The Guardian, 20 juillet 2021 (consulté le 20 juillet 2021).
• Damien Leloup et Martin Untersinger, « Pegasus : au cœur d’une enquête mondiale sur l’espionnage de téléphones » [audio], sur LeMonde.fr, 21 juillet 2021 (consulté le 21 juillet 2021).