Cet été, les révélations autour de Pegasus ont braqué les projecteurs sur le marché de la surveillance et les logiciels espion. Si vous avez passé ces deux derniers mois dans une grotte, on vous fait un rapide résumé.
Un collectif d’associations et de médias, emmené par Forbiden Stories a publié en juillet des révélations sur Pegasus, un logiciel espion édité par la société israélienne NSO Group. Ce collectif a obtenu une liste de 50 000 numéros de téléphones ciblés par Pegasus. On y trouve les numéros de journalistes, activistes, ainsi que ceux d’hommes et de femmes politiques. En France, le numéro du fondateur de Médiapart, Edwy Plenel, apparait dans cette liste, de même que celui du président Emmanuel Macron (c’est peut-être le seul point commun que ces deux-là partageront jamais). En Azerbaïdjan, c’est la journaliste d’investigation Khadija Ismayilova qui a été prise pour cible, et à Londres ce sont les proches du journaliste Jamal Khashoggi qui ont été écoutés et surveillés par les autorités saoudiennes les mois suivants l’assassinat de ce dernier. En tout, ce sont 185 journalistes et 85 militants et activistes des droits humains qui ont été placés sous surveillance.
Si NSO Group a défrayé la chronique cet été ce n’est malheureusement pas la seule entreprise de cyber-barbouzes du marché. La discrète société Parangon, créée par 3 anciens du renseignement israélien, déclare par exemple pouvoir donner aux forces de l’ordre les moyens de craquer des messageries plus ou moins sécurisées telles que Signal, WhatsApp ou Gmail. NSO Group et Parangon ne sont pas les premiers (on peut mentionner les pieds niquelés de Hacking Team, Amesys, Finfisher, Qosmos, BlueCoat, etc.) et certainement pas les derniers à investir le juteux marché de la surveillance numérique, estimé à plus de 12 milliards de dollars par an.
Face à ces logiciels espions, que peut-on faire ? Malheureusement, pas grand chose. Ces logiciels exploitent des failles de sécurité achetées à prix d’or. Pegasus n’a pas besoin d’interactions pour s’installer sur un smartphone, un simple appel WhatsApp peut suffire si la faille exploitée le permet. Cependant le coût de ce type de logiciel le range d’emblée dans la catégorie surveillance ciblée : d’après le Times Of India, il faut débourser la modique somme de 650 000$ pour infecter 10 téléphones avec Pegasus auxquels il faut ajouter des frais d’installation de 500 000$. La plupart d’entre nous ne sera donc jamais pris pour cible par ce type de logiciel. Cependant si vous avez un doute, vous pouvez tester votre smartphone avec le kit MVT développé par le Security Lab d’Amnesty International.
Jusqu’à présent, aucun correctif n’a été trouvé pour se prémunir efficacement de Pegasus. La mise à jour systématique de votre OS ou de vos applications permet de minimiser les risques d’infections. L’utilisation de systèmes exotiques type cyanogène ou autre, plus difficiles à cibler, peut aussi minimiser les risques. Mais la vraie réponse à ces cyber-barbouzes n’est pas uniquement technique et surtout ne se situe pas au niveau individuel. Elle est collective et juridique.
Aujourd’hui, le seul texte juridique régulant le marché de la surveillance est l‘Arrangement de Wassenaar, un régime multilatéral de contrôle des exportations mis en place en 1996 par 33 États. Ce n’est pas assez. D’ailleurs, ni la Chine ni Israël ne sont signataires de ce traité.
Il faut faire plus et mieux :
- Les gouvernements doivent veiller à ce que ces outils ne soient pas utilisés pour cibler illégalement les défenseurs des droits de l’homme et la société civile ;
- Les exportations de technologies de surveillance vers des États tels que le Maroc, où il existe un risque substantiel que l’exportation en question soit utilisée pour violer les droits humains, doivent être stoppés ;
- Un moratoire sur l’export des armes numériques : les gouvernements doivent soutenir l’appel à la suspension temporaire de la vente, du transfert et de l’utilisation des technologies de surveillance à l’échelle mondiale.
C’est le sens de la lettre ouverte que Nothing2Hide a signé en compagnie de 28 experts indépendants et 146 organisations et associations.
Vous aussi vous pouvez agir et signer la pétition lancée par Amnesty International.
Précédemment dans Nothing2Hide
- L’assemblée générale de Nothing2Hide s’est déroulée le 23 juin dernier. Les rapports moraux et comptables ont été approuvés à l’unanimité et notre Conseil d’administration a vu l’entrée de nouveaux membres. Comme toujours, le compte-rendu complet est accessible sur notre wiki.
- Le jeudi 16 août nous étions sur France Inter dans l’émission Le téléphone sonne en compagnie de Clémence Scottez, cheffe du service des Affaires économiques de la CNIL, pour discuter des smartphones et de leur gestion chaotique des données personnelles.
À venir dans Nothing2Hide
Revue de presse
- L’ONG Access Now publie une série de ressources destinées aux journalistes et activistes en Afghanistan pour protéger leur identité, leurs communications. Elles sont accessible en anglais, en farsi et en pachtoune.
- Le Citizen lab a publié un nouveau rapport sur Pegasus. En plus de la liste des 50 000 numéros de smartphone espionnés, le laboratoire de recherche canadien apporte les preuves techniques démontrant avec certitude que le logiciel espion a été utilisé entre juin 2020 et février 2021 pour mettre sous surveillance neuf activistes bahreïnis.
- I’ve Got Nothing to Hide’ and Other Misunderstandings of Privacy 28 pages – en anglais – sur l’absurdité de l’argument “je n’ai rien à cacher”
- et en français, toujours d’actualité : Lettre ouverte à (celles et) ceux qui n’ont rien à cacher
- Dans Ars Technica, on “découvre” que la société Zoom a menti sur le fait que les appels vidéos étaient chiffrés de bout en bout et a également caché le fait qu’elle transmettait les données personnelles de ses utilisateurs à Facebook et Google
- Jean-Marc de Nothing2Hide a été interviewé dans la newsletter de long courrier sur la censure et la surveillance au Vietnam
- Protonmail, le service de messagerie mail sécurisé, est au cœur de la tourmente. Peut-on encore l’utiliser en toute sécurité ? Comme souvent en sécurité numérique, la réponse est “ça dépend” (de votre modèle de menace). Pour tout comprendre, lisez l’article très complet de Numerama sur le sujet : 4 questions pour comprendre la polémique.