Au regard de la proximité des relations entre la dictature camerounaise de Paul Biya et l’État d’Israël depuis 1984 je peux aisément imaginer – sans céder au complotisme – l’usage qu’un tel régime a pu systématiquement faire de ce logiciel contre des profils comme le mien.

J’en ai cure, n’ayant personnellement rien à me reprocher dans l’infatigable combat que je mène pour la promotion de la démocratie en Afrique, la défense des libertés, dont la libération des prisonniers politiques sur le continent, au Cameroun et bien au-delà.

[spacer style="1"]

La société NSO affirme ne vendre son logiciel que dans le cadre de la lutte contre le terrorisme et le crime organisé. De nombreux rapports ont déjà prouvé sa présence dans les téléphones de journalistes ou opposants de nombreux pays.

Considéré comme l’un des leaders dans le domaine de la cybersurveillance, il y a un domaine dans lequel le groupe NSO a visiblement échoué : la discrétion. Malgré tous ses efforts pour dissimuler ses activités, la start-up d’origine israélienne est devenue la société la plus connue dans le secteur de la surveillance et son produit phare, le logiciel Pegasus, le symbole de ses dérives.

Depuis sa création en 2010 par Niv Carmi, Shalev Hulio et Omri Lavie, trois anciens membres d’une unité de cybersurveillance de l’armée israélienne, les dirigeants de NSO ont pourtant tout fait pour rester dans l’ombre et brouiller les pistes : multiples changements de noms, absence de site internet…

Mais, dès le mois de juin 2013, le Financial Times cite NSO comme l’un des fleurons du secteur en pleine expansion de la cybersurveillance. Si son nom n’est pas cité, l’article évoque le « produit signature » de la société : « un logiciel qui permet à des agents gouvernementaux d’avoir accès aux données chiffrées transmises via le smartphone, la tablette ou un autre appareil mobile d’un utilisateur ».

« Votre smartphone aujourd’hui est le nouveau talkie-walkie, se vantait même l’un des cofondateurs de NSO, et seule figure médiatique du groupe, Omri Lavie. La plupart de nos solutions typiques pour les interceptions sont inadéquates, donc un nouvel outil devait être construit. »

Le logiciel Pegasus est capable de récupérer les données, même chiffrées, de n’importe quel appareil mobile. © Photo Tek image / Science Photo Library via AFP Le logiciel Pegasus est capable de récupérer les données, même chiffrées, de n’importe quel appareil mobile. © Photo Tek image / Science Photo Library via AFP

Comme le révéleront la presse et plusieurs ONG dans les années qui suivront, ce « produit signature » capable de récupérer les données, même chiffrées, de n’importe quel appareil mobile n’est autre que le logiciel Pegasus, vendu dans le monde entier et utilisé par plusieurs régimes autoritaires pour espionner opposants et journalistes.

Au mois de novembre 2015, l’agence Reuters donnait même un peu plus de détails en décrivant, toujours sans le nommer, « un logiciel qui cible secrètement les téléphones mobiles des utilisateurs et rassemble les informations, dont les messages, les photos et les données de navigation internet ». L’article insistait par ailleurs sur le caractère « secret » de NSO, une société ayant « changé son nom plusieurs fois, et se faisant appeler plus récemment “Q” ».

Au fil des années, chercheurs, journalistes et associations de défense ont cependant réussi à retracer ses multiples activités. Le logiciel Pegasus est né avec NSO et reste aujourd’hui le produit phare de la société. Selon le Financial Times, en 2019, les trois quarts de ses revenus provenaient des ventes de ce logiciel. 10 % provenaient des ventes d’un van équipé d’un dispositif permettant d’aspirer les données d’une cible. Et 10 % provenaient de celles d’un logiciel permettant de suivre la géolocalisation de téléphones, baptisé Landmark.

Le premier client de NSO semble avoir été le gouvernement du Mexique, dont trois agences fédérales ont acheté dès 2011 la version originelle de Pegasus. Selon un article du New York Times de mars 2019, les autorités mexicaines auraient déboursé 15 millions de dollars pour l’achat de logiciels et de matériels, puis 77 millions de dollars pour la surveillance des cibles.

Car c’est toute une gamme de services que NSO offre à ses clients. Pegasus est en effet un produit dit « modulaire », c’est-à-dire personnalisable en fonction des besoins. Comme l’expliquait une plainte déposée en 2019 par WhatsApp contre NSO, le contrat proposé par la société est un contrat de « licence » qui inclut l’installation, la formation et la surveillance du dispositif. Elle fournit un support technique, par mail et par téléphone et dispose d’un « help desk », un bureau d’aide, depuis lequel ses ingénieurs peuvent régler des problèmes techniques à distance, via un logiciel et un VPN.

Et si besoin, NSO aide ses clients à prendre le contrôle des téléphones des cibles. Le nom Pegasus est en effet une référence au cheval ailé de la mythologie grecque ainsi qu’au cheval de Troie, un terme informatique désignant un logiciel malveillant qui, comme dans le mythe de Homère, se dissimule à l’intérieur d’un programme en apparence banal.

Pendant de nombreuses années, ce cheval de Troie devait être introduit manuellement dans le téléphone de la victime. Pour cela, la solution classique consistait à lui envoyer un message personnalisé contenant un lien la renvoyant vers un site contrôlé par NSO, depuis lequel un logiciel malveillant était injecté dans l’appareil. Pour aider ses clients à créer des messages le plus crédibles possible, NSO leur offrait les services de son département Enhanced Social Engineering Message, spécialisé dans l’ingénierie sociale.

Par exemple, peu après l’assassinat le 15 mai 2017 de Javier Valdez, un célèbre journaliste mexicain qui enquêtait sur le trafic de drogue dans son pays, sa veuve avait reçu plusieurs messages lui demandant de cliquer sur un lien lui promettant des informations sur la mort de son mari.

Peu avant la mort du journaliste saoudien Jamal Khashoggi, tué puis démembré dans l’enceinte du consulat d’Arabie saoudite à Istanbul, l’un de ses plus proches amis, Omar Abdulaziz, un autre journaliste réfugié au Canada, avait lui reçu un message imitant celui d’une société de transport et lui proposant de cliquer sur un lien pour suivre un colis. Malgré les dénégations de NSO, il semblerait que Pegasus ait joué un rôle direct dans la mort de Jamal Khashoggi, des accusations détaillées dans une plainte déposée par Omar Abdulaziz.

Dans ces deux cas, les victimes, soupçonnant une possible surveillance, avaient transmis leur téléphone au laboratoire canadien Citizen Lab pour expertise. Après, vérification, il s’agissait bien de faux messages conduisant à une très probable infection du téléphone par la version du logiciel alors sur le marché : « Pegasus 2 ».

Une fois le téléphone infecté, la victime se retrouve totalement prisonnière d’un réseau d’ordinateurs et de serveurs appartenant à NSO et utilisé « pour monitorer et mettre à jour la version de Pegasus implantée dans les téléphones des victimes », explique la plainte de WhatsApp. Ce réseau « a relayé le malware, des ordres et des données entre un téléphone compromis », NSO et ses clients. Il constitue un véritable « centre nerveux à travers lequel » la société peut contrôler et entretenir à distance son logiciel.

Durant les années 2016-2017, la sortie de la troisième version de son logiciel, « Pegasus 3 », a marqué un tournant pour NSO. Le Financial Times raconte que, vers le milieu de l’année 2017, des représentants de la société se sont rendus dans un hôtel de luxe à Limassol, sur l’île de Chypre, pour y faire une démonstration, devant des responsables saoudiens, des nouvelles capacités de leur logiciel pour infecter un iPhone à l’aide d’une « technologie zéro clic », c’est-à-dire sans avoir besoin de piéger l’utilisateur avec un lien.

Désormais, l’utilisateur de « Pegasus 3 » peut directement infecter le téléphone de ses cibles. Pour cela, NSO utilise désormais les multiples failles dites « zero day », c’est-à-dire directement exploitables et ne nécessitant aucun travail de la part de l’attaquant, des divers logiciels équipant un smartphone. Ces failles sont nombreuses et se renouvellent à chaque mise à jour ou sortie d’une nouvelle version. Elles font l’objet d’un marché extrêmement lucratif où des hackers vendent leurs découvertes au plus offrant, parfois pour plusieurs centaines de milliers de dollars.

Grâce à cette stratégie, NSO semble disposer désormais d’un éventail de possibilités pour infecter un téléphone sans même que son utilisateur puisse s’en douter. Dans le cas de WhatsApp, détaillé dans un rapport de Citizen Lab et de l’université de Toronto, NSO avait tout d’abord développé un logiciel capable d’imiter le trafic habituel de WhatsApp afin d’y insérer ses codes malveillants et de les envoyer aux cibles. Les codes étaient dissimulés à l’intérieur de protocoles normaux, de ce fait relayés par les serveurs de WhatsApp comme si de rien n’était.

NSO a ensuite fabriqué de faux « messages d’initiation d’appel » au sein desquels son piège était dissimulé, à l’intérieur des réglages. Le code était injecté, même si la personne ne prenait pas l’appel.

Des exemples de messages d’appels ayant permis d’infecter un téléphone © Citizen Lab Des exemples de messages d’appels ayant permis d’infecter un téléphone © Citizen Lab

Au mois de décembre 2020, Citizen Lab et l’université de Toronto ont publié un autre rapport détaillant cette fois l’utilisation par NSO d’une faille dans le logiciel iMessage des téléphones d’Apple. Elle avait été utilisée pour espionner au moins 36 journalistes de la chaîne Al Jazeera. Les chercheurs avaient réussi à relayer son utilisation à deux clients de NSO, les Émirats arabes unis et l’Arabie saoudite.

Au fil des années et des révélations sur ses activités, le groupe NSO fait désormais l’objet de multiples plaintes, en Israël et un peu partout dans le monde. Dans le cadre de celle déposée par WhatsApp aux États-Unis, la société révélait ainsi que pas moins de 1 400 appareils avaient été infectés via ses services. Parmi ses victimes figuraient notamment de nombreux journalistes et activistes indiens qui ont, à leur tour, déposé plainte en Israël.

Au Mexique, client historique de NSO, Pegasus a été au cœur de plusieurs scandales. Si le logiciel est censé avoir permis l’arrestation, en 2016, du narcotrafiquant Joaquin Guaman, alias « El Chapo », il est également impliqué dans de nombreuses affaires de surveillance de journalistes, activistes et opposants politiques. En 2017, le gouvernement mexicain l’a par exemple utilisé pour surveiller des militants défendant la mise en place dans le pays d’une taxe sur les sodas.

Au mois de décembre 2020, dans le cadre d’une série de révélations faites en partenariat avec 25 médias et baptisée « Cartel Project », l’ONG Forbidden Stories révélait par ailleurs que des membres de la police mexicaine avaient revendu Pegasus à des cartels de la drogue.

Alors que NSO aurait des clients dans au moins 45 pays, la liste des victimes de Pegasus ne cesse de s’allonger au fil des mois. Au début du mois de juillet, le groupe britannique de chercheurs Forensic Architecture, Amnesty International et Citizen Lab ont mis en commun leurs années d’enquêtes sur Pegasus sur un site interactif, Digital Violence. Les visiteurs peuvent y retrouver et explorer via une interface graphique toutes les informations sur la société israélienne et ses victimes, classées par pays : Inde, Mexique, Maroc, Rwanda, Arabie saoudite, Espagne, Togo et Émirats arabes unis.

La société NSO, de son côté, fait face à ces accusations sans remettre en cause sa stratégie. Pour sa défense, elle continue d’affirmer ne vendre son produit qu’à des agences gouvernementales et dans un but de lutte contre la grande criminalité et le terrorisme. Au mois de juin 2020, sa maison-mère, la société Q Cyber, s’est offert, pour 1,2 million de dollars, les services de l’agence de communication Mercury Public Affairs, spécialisée dans la communication de crise.

L’accumulation des révélations et des plaintes n’a en tout cas pas enrayé son développement. En 2019, le service des investisseurs de Moodies estimait les revenus de NSO à 300 millions de dollars et la société était évaluée à un milliard de dollars sur les marchés. Elle cherche même à se diversifier. Au mois de mars 2020, le gouvernement israélien avait ainsi annoncé avoir fait appel à NSO afin de développer un logiciel d’analyse des données des smartphones, dans le but de mieux suivre l’évolution de l’épidémie de Covid-19.

Selon le quotidien israélien Haaretz, la situation pourrait cependant être en train de se retourner. Confrontée à une baisse de ses ventes, due aux restrictions de déplacement imposées par l’épidémie dans le monde entier, NSO pourrait avoir du mal à rembourser certains emprunts et a vu sa notation abaissée par l’agence Moodies.

Mais, comme l’affirmait Omri Lavie dans une tribune publiée au mois de février dernier dans le quotidien financier israélien Globes, « le cyber-renseignement est là pour rester ». « L’industrie de la cyberattaque remplit une fonction positive et cruciale, qui soutien sans honte la guerre contre le terrorisme, les crimes graves et les efforts de recherche et de secours autour du monde, poursuivait l’homme d’affaires. L’accessibilité croissante aux smartphones et un chiffrement élaboré ont créé une nouvelle réalité dans laquelle les cellules terroristes et le crime organisé peuvent communiquer d’une manière sécurisée et secrète […]. Pour ces raisons, parmi d’autres, le cyber-renseignement est plus vital que jamais et n’est pas près de disparaître de nos vies », avertissait Omri Lavie.

Et pour être certain d’être gagnant sur tous les tableaux, Omri Lavie a créé, en 2018, une nouvelle société baptisée Orchestra, spécialisée… dans la cybersécurité.

[spacer style="1"]

Forbidden Stories, Amnesty International et seize médias internationaux ont révélé l’un des plus grands scandales d’espionnage de la décennie, qui concerne au moins onze États à travers le monde.

Huit ans après les révélations d’Edward Snowden sur les agissements de la NSA aux États-Unis, un nouveau scandale mondial sur la surveillance, baptisé « Projet Pegasus », met au jour les pratiques d’une dizaine de pays qui ont en commun d’avoir utilisé ces dernières années, sans le moindre contrôle, un logiciel espion surpuissant commercialisé par une société privée israélienne, NSO.

Les faits, d’une ampleur inédite, ont été révélés, dimanche 18 juillet dans la soirée, par le consortium Forbidden Stories, avec l’appui du Security Lab de l’ONG Amnesty International, en partenariat avec une quinzaine de médias internationaux, dont Le Monde en France, le Washington Post aux États-Unis et le Guardian en Angleterre.

Au total, plus de quatre-vingts journalistes ont épluché pendant plusieurs mois une fuite de données massive permettant d’identifier les cibles potentielles de cette surveillance : 50 000 numéros de téléphone, répartis dans cinquante pays et sélectionnés par les clients de NSO, qui affirme ne vendre son logiciel Pegasus qu’à des gouvernements.

Les propriétés du logiciel Pegasus sont redoutables – et elles ont franchi un nouveau cap depuis 2019 et la mise au point de la technologie dite « zéro clic ». Nul besoin d’accéder à un lien corrompu, aucune manipulation de l’utilisateur ciblé n’est nécessaire : le logiciel prend seul le contrôle d’un appareil et, théoriquement, peut avoir accès à l’intégralité du contenu d’un téléphone en temps réel. Il peut même permettre d’activer à distance – et de manière totalement invisible – le microphone et la caméra de l’appareil infecté.

Il ne s’agit donc pas d’une « simple » écoute téléphonique ou d’un « classique » piratage d’une messagerie, mais d’un véritable changement de paradigme dans la collecte (légale ou illégale) de données et, partant, de possibles atteintes à la vie privée, à la sécurité nationale, aux libertés publiques et à toutes sortes de secrets professionnels.

Les victimes identifiées par l’enquête de Forbidden Stories et ses partenaires n’ont rien à voir avec des suspects dans des affaires criminelles ou terroristes – ce qu’assure NSO dans sa communication officielle – mais sont, pour l’essentiel, des membres de la société civile : des journalistes (dont Mediapart, cible du royaume du Maroc), des opposants de tel ou tel régime ou des activistes. Et, parfois, des diplomates, des magistrats, des avocats, voire des hommes et femmes politiques de premier rang.

Au total, onze pays clients de NSO et utilisateurs du logiciel Pegasus ont été identifiés par l’enquête. Il s’agit du Maroc, de l’Inde, du Mexique, de l’Azerbaïdjan, du Kazakhstan, du Rwanda, de l’Arabie saoudite, du Togo, des Émirats arabes unis, du Bahreïn et, enfin, de la Hongrie, seul pays européen mis en cause. À lui seul, le Maroc de Mohammed VI est soupçonné d’avoir ciblé dix mille numéros de téléphone ces deux dernières années.

Aujourd’hui, nous découvrons, pour la première fois dans l’histoire de l’espionnage moderne, le visage des victimes de la cybersurveillance et ses conséquences parfois dramatiques.

Laurent Richard, directeur et fondateur de Forbidden Stories

Les conséquences de cet espionnage numérique mené par des régimes autoritaires ont pu être dramatiques : des journalistes et des militants ont été réduits au silence, pourchassés, harcelés, censurés, arrêtés, emprisonnés et, parfois, tués, comme en témoigne l’histoire de certaines victimes de l’Arabie saoudite et du Mexique.

« Aujourd’hui, nous découvrons, pour la première fois dans l’histoire de l’espionnage moderne, le visage des victimes de la cybersurveillance et ses conséquences parfois dramatiques : des femmes et des hommes ordinaires qui participent à la vie politique et économique de leurs pays, à l’information de leurs concitoyens et à la défense des libertés civiles », commente auprès de Mediapart le journaliste français Laurent Richard, directeur et fondateur de Forbidden Stories.

« Le “Projet Pegasus” pose aussi les questions de la privatisation du marché du renseignement et de l’absence de mécanismes de défense pour les citoyens. La collaboration de journalistes du monde entier entre eux est sans aucun doute l’un des meilleurs remparts contre ces atteintes violentes au droit d’informer », selon Laurent Richard.

« NSO Group nie fermement les fausses accusations portées dans votre enquête », a répondu l’entreprise israélienne aux journalistes du consortium, leur reprochant de ne s’appuyer « sur aucune base factuelle ». « Ces accusations sont pour beaucoup des théories non corroborées, qui jettent de sérieux doutes sur la crédibilité de vos sources, ainsi que sur le cœur de votre enquête. » NSO, qui affirme ne pas pouvoir suivre en temps réel l’usage fait par ses clients de Pegasus, s’engage à « enquêter sur les accusations crédibles d’utilisation abusive » du logiciel et à mettre un terme à certaines collaborations si nécessaire.

Que savait-on jusqu’ici de NSO et du logiciel Pegasus ?

Ces cinq dernières années, une série de révélations coordonnées par le consortium Forbidden Stories, l’ONG Amnesty International et les chercheurs du Citizen Lab de Toronto avaient déjà permis de découvrir les activités de la société NSO, créée en 2010 en Israël, et le fonctionnement de son logiciel espion Pegasus. Les noms de certains États clients et de nombreuses victimes ont été rendus publics depuis 2016, sans que l’ampleur exacte de ce redoutable programme de surveillance ne soit connue jusqu’ici.

Parmi les cibles – pour beaucoup espionnées par le gouvernement de leur pays d’origine – se trouvent des profils aussi variés que le défenseur des droits humains émirati Ahmed Mansour (aujourd’hui emprisonné), le journaliste marocain Omar Radi et son compatriote historien Maati Monjib (également emprisonnés), des religieux togolais, trente-six journalistes et cadres de la chaîne qatarie Al Jazeera, des indépendantistes catalans, des journalistes et responsables politiques mexicains ou encore le milliardaire américain Jeff Bezos. NSO est également soupçonné d’avoir contribué à l’espionnage du journaliste saoudien Jamal Khashoggi, assassiné en 2018 dans le consulat d’Arabie saoudite à Istanbul, et de l’un de ses amis.

Au fil du temps, des améliorations techniques de Pegasus ont été observées, rendant le programme progressivement indétectable pour la cible. Alors que le logiciel espion nécessitait auparavant que l’utilisateur clique sur un lien infecté, il a ensuite pu s’inviter dans les téléphones par le biais d’un simple appel manqué sur WhatsApp, puis sans aucune trace visible. Il devient quasiment impossible de s’en prémunir et même de s’en apercevoir. Seule une analyse technique des téléphones infectés permet, après coup, de retrouver des éléments caractéristiques du logiciel Pegasus.

En réponse aux révélations successives sur ses activités, la société NSO a promis dès 2019 qu’elle se montrerait particulièrement attentive aux risques de violation des droits humains. Le 30 juin, elle a publié son premier « rapport sur la transparence » censé désamorcer les critiques. « Une nouvelle occasion manquée », a commenté Amnesty International, pour qui ce document s’apparente à une « brochure commerciale ».

Quelles sont les victimes mises au jour par le « Projet Pegasus » ?

Par son ampleur et la précision des preuves obtenues – notamment grâce aux expertises techniques du Security Lab d’Amnesty International –, l’enquête de Forbidden Stories lève aujourd’hui un voile unique sur les dérives de NSO et de ses clients aux quatre coins du monde, qui ont ceci de particulier d’être des régimes autoritaires.

Il n’est d’ailleurs pas anodin que ce soient essentiellement des journalistes spécialisés dans des enquêtes sensibles sur la corruption, les questions de libertés publiques, de défense ou de surveillance qui aient été la cible du logiciel Pegasus.

C’est vrai en Azerbaïdjan, où la reporter Khadija Ismayilova a été la cible régulière de Pegasus pendant trois ans ; en Hongrie, où les enquêtes du journaliste Szabolcs Panyi lui valent d’être perçu comme un terroriste par le régime de Viktor Orbán ; en Inde, où une trentaine de journalistes ont été espionnés par l’entremise de NSO, dont le site The Wire (partenaire de Mediapart sur les « Rafale Papers ») ; au Maroc, où des journalistes tels Omar Radi (Le Desk) et Souleimane Raissouni (Akhbar Al Youm) sont l’objet de cabales effroyables, ourdies par le royaume.

Plusieurs médias ciblés par Pegasus appartiennent à une même nouvelle génération de sites qui ont placé l’investigation au cœur de leur pratique professionnelle : Mediapart en France, Direkt36 en Hongrie, The Wire en Inde…

En montrant le vrai visage des pays dans lesquels ils vivent et sur lesquels ils enquêtent, tous les journalistes espionnés ont eu le tort de briser par leurs informations les efforts de communication mensongère d’États qui essaient de vendre à l’étranger l’image de régimes acceptables sur la scène internationale. D’où l’impérieuse nécessité de les faire taire et d’assécher leurs sources, sans lesquelles aucune information libre et indépendante n’est possible.

« J’ai compris qu’on ne pouvait rien faire. À moins que vous ne vous enfermiez dans une tente en fer, il n’y a aucun moyen pour qu’ils n’interfèrent pas dans vos communications », réagit auprès de Forbidden Stories la journaliste azérie Khadija Ismayilova, bête noire du régime. « Ma famille est victime, les sources sont victimes, les personnes avec qui je travaille sont victimes, les gens qui m’ont confié des secrets privés sont victimes », ajoute la reporter, à laquelle « Cash Investigation » (France 2) avait consacré en 2015 une partie d’une émission.

Des journalistes assassinés, d’autres emprisonnés

La technologie Pegasus a parfois permis à ces gouvernements de s’en prendre directement aux personnes ciblées.

À deux reprises au moins, la surveillance par les outils de NSO a précédé ou suivi l’assassinat de journalistes. Les révélations de Forbidden Stories apportent notamment une nouvelle lumière sur les circonstances et les suites de l’assassinat, en octobre 2018, de Jamal Khashoggi par les services saoudiens. Elles révèlent que plusieurs proches du journaliste, dont sa fiancée et son fils, ont été placés sous surveillance par l’Arabie saoudite peu après sa disparition.

Hatice Cengiz, la compagne de Jamal Khashoggi, a été ciblée quatre jours seulement après l’assassinat de ce dernier. Son fils, Abdullah Khashoggi, a quant à lui été visé par les Émirats arabes unis, voisins et (alors) amis du royaume saoudien, quelques semaines plus tard.

En 2018, le laboratoire canadien de recherche Citizen Lab avait déjà révélé que le téléphone d’Omar Abdulaziz, activiste saoudien et ami intime du journaliste, avait été ciblé par un piratage. Celui-ci a depuis publiquement accusé le gouvernement saoudien d’avoir utilisé ses échanges sur WhatsApp avec Jamal Khashoggi pour organiser sa mise à mort.

J’ai compris qu’on ne pouvait rien faire. À moins que vous ne vous enfermiez dans une tente en fer, il n’y a aucun moyen pour qu’ils n’interfèrent pas dans vos communications.

Khadija Ismayilova, journaliste azérie

Un an plus tôt, la technologie Pegasus était déjà en cause dans l’assassinat en mars 2017 du journaliste mexicain Cecilio Pineda. Quelques semaines à peine avant le drame, le téléphone de ce dernier était surveillé par un client mexicain de NSO. Cecilio Pineda avait diffusé une vidéo sur Facebook, deux heures avant son assassinat, dans laquelle il évoquait les liens entre le gouverneur de l’État de Guerrero et le principal narcotrafiquant de la région.

Dans d’autres cas, l’espionnage par Pegasus a permis des poursuites judiciaires à l’encontre de journalistes. Le Maroc a piraté au moins trente-cinq journalistes dans cinq pays – dont deux de Mediapart, Lénaïg Bredoux et Edwy Plenel. Ce sont évidemment les Marocains qui payent le plus lourd tribut de cette surveillance massive. Plusieurs d’entre eux ont été arrêtés, poursuivis et emprisonnés, le plus souvent pour des affaires sexuelles.

Taoufik Bouachrine, rédacteur en chef du journal Akhbar Al Youm, a été interpellé en février 2018 pour « agression sexuelle », « viol », « prostitution » et « harcèlement ». Forbidden Stories a révélé dimanche que les téléphones de plusieurs femmes citées dans l’affaire étaient infectés par le logiciel. En ce moment a lieu, à Casablanca, le procès d’Omar Radi, un journaliste et militant marocain accusé de « viol » et d’« espionnage » (lire l’enquête de Mediapart et de L’Humanité).

« On traque la vie privée de certaines personnes afin de trouver le bon prétexte pour les traîner en justice », a dénoncé auprès de Forbidden Stories Ahmed Benchemsi, un ancien journaliste, fondateur du média indépendant TelQuel et responsable de la communication de l’ONG Human Rights Watch dans le monde arabe. L’enquête contre Omar Radi a été ouverte fin juin 2020, deux jours après la publication d’un rapport d’Amnesty International révélant que son téléphone avait été espionné par un client de NSO.

Des questions toujours en suspens

À la lecture des révélations du « Projet Pegasus », plusieurs questions demeurent. La première d’entre elles concerne l’implication du gouvernement d’Israël dans le système de surveillance illégal mis en place par la société NSO, structurellement liée au ministère de la défense israélien.

Les services secrets israéliens profitent-ils eux-mêmes de la technologie Pegasus ? Ont-ils accès aux informations obtenues par les clients de NSO ? Si oui, les partagent-ils dans le cadre d’accords de coopération avec des pays amis, au premier rang desquels les États-Unis ?

La question du rôle d’Israël dans les agissements de NSO est d’autant plus brûlante que Forbidden Stories et ses partenaires affirment que des sources internes ont insisté auprès d’eux sur l’implication du ministère de la défense israélien dans la sélection des clients de NSO. Ainsi, les autorités israéliennes auraient fait pression pour que l’Arabie saoudite obtienne la technologie Pegasus, en dépit des réserves émises par NSO sur le royaume wahhabite.

Ce n’est d’ailleurs pas un hasard si l’immense majorité des pays clients de NSO listés dans le « Projet Pegasus » ont, ces deux dernières années, intensifié ou normalisé leurs relations avec Israël, souvent à la faveur d’une diplomatie sécuritaire. C’est le cas par exemple du Bahreïn, des Émirats arabes unis, de l’Inde, du Maroc, du Rwanda, du Togo ou de la Hongrie.