Dimanche, un groupe de dix-sept médias a lancé le Pegasus Project, une série d’articles enquêtant sur la société de surveillance israélienne NSO Group. Le consortium de journalistes, qui travaille en collaboration avec Amnesty International et l’association française Forbidden Stories, a découvert que des dissidents, des défenseurs des droits de l’homme et des politiciens de l’opposition du monde entier ont été suivis par un logiciel espion du groupe NSO appelé Pegasus. Parmi les milliers de personnes ciblées se trouvaient des reporters du Fois, opposants politiques au Premier ministre indien Narendra Modi et aux deux femmes les plus proches du dissident saoudien assassiné Jamal Khashoggi.
L’un des journaux impliqués dans le projet Pegasus est le Gardien. Son reporter principal sur la série est Stephanie Kirchgaessner, qui a beaucoup écrit sur la surveillance en tant que correspondante du journal aux États-Unis pour les enquêtes. Nous nous sommes parlé, par téléphone, lundi matin, après la publication de la première vague d’histoires. (Ils continueront d’être publiés tout au long de la semaine.) Au cours de notre conversation, qui a été modifiée pour plus de longueur et de clarté, nous avons discuté de la façon dont l’histoire s’est déroulée, pourquoi l’industrie des logiciels espions reste si non réglementée et quel rôle le gouvernement israélien a joué en permettant que cela se produise.
le Gardien l’histoire que vous avez publiée dit très clairement que des gouvernements autoritaires étaient à l’origine de cette surveillance. Certaines des autres histoires, provenant d’autres organisations de presse, disent que le logiciel espion a été vendu à des gouvernements autoritaires, mais ne disent pas en fait qu’ils savent qui l’a utilisé. Dans quelle mesure êtes-vous certain qu’il s’agit précisément du travail des gouvernements ?
Nous savons que le groupe NSO ne vend qu’aux gouvernements, et il y a eu un corps de recherche avant ce projet qui a identifié les pays que nous pensons être des clients. Certains pays nient être clients, mais nous avons des preuves accablantes de groupes comme Citizen Lab. On sait donc depuis 2016, par exemple, que les Emirats Arabes Unis sont client du groupe NSO. L’Arabie saoudite aussi. Et puis il y a d’autres pays dans notre couverture cette semaine. Le Rwanda nie catégoriquement être un client du groupe NSO, mais nous voyons des Rwandais partout dans le monde qui sont ciblés par cette technologie. Nous nous sentons donc à l’aise de nommer ces pays comme clients.
Le groupe NSO disant qu’il ne vend qu’aux gouvernements met le groupe dans un pétrin logique, car cela implique que ce sont les gouvernements qui font l’espionnage. Mais sommes-nous certains que le groupe NSO est honnête à ce sujet, et ne vend vraiment qu’aux gouvernements ?
Je dirais qu’il y a une anomalie, c’est le Mexique, où nous pensons qu’il y avait divers acteurs qui auraient pu avoir accès à la technologie. [In a statement to The New Yorker, NSO Group said it exclusively licenses its technology to “vetted governments.”] Et il y a des pays où il y a divers clients à l’intérieur du pays. C’est comme si le FBI était un client et la CIA en était un autre. Je ne dis pas qu’ils le sont précisément—nous n’en avons aucune preuve. C’est juste un exemple de la façon dont vous pourriez avoir différents clients dans le même pays avec une orientation ou une emphase différente.
Ainsi, dans un gouvernement autoritaire, ce ne serait pas nécessairement seulement le dictateur ou le chef du pays. Il pourrait y avoir plusieurs agences au sein du gouvernement.
Oui. À la fin de cette semaine, vous verrez une situation où il y a un leader autoritaire qui, selon nous, l’a utilisé pour des raisons très personnelles, pour cibler sa propre famille. C’est assez personnel.
Comment ce consortium et ces histoires se sont-ils réunis ?
Mon collègue à New York, Martin Hodgson, a reçu un appel de Forbidden Stories, cette organisation qui recueille les histoires de journalistes tués ou menacés et rassemble d’énormes consortiums de journalistes pour les poursuivre. J’avais déjà travaillé avec eux sur l’histoire de Daphne Caruana Galizia, à Malte. Tout était très secret. Nous devions être très prudents dans notre communication, à cause du sujet, qui est la surveillance. On nous a donné les informations de base sur le projet et on nous a demandé de venir à Paris, où tous ces partenaires médiatiques se réuniraient et entendraient tous les détails. Nous sommes donc allés à Paris avec une bonne idée, mais nous n’avions pas accès aux données à ce moment-là. Et puis nous avons rencontré tous nos collègues, y compris le Washington Poster.
Quand vous faites référence aux « données », vous faites référence à la liste d’une cinquantaine de milliers de numéros de téléphone ?
Oui. Ainsi, à Paris, nous avons eu accès à une liste d’enregistrements de numéros de téléphone. Nous pensons que ces numéros de téléphone sont des indicateurs des individus qui étaient des cibles potentielles de la surveillance par les clients des ONS.
Avez-vous une idée de la façon dont Forbidden Stories a obtenu ces disques ? Et qu’est-ce qui vous a convaincu qu’il s’agissait d’une liste de numéros que les clients de NSO ont pu espionner ?
Je ne peux pas répondre à la première question, j’en ai peur. Et la deuxième question—une fois que nous avons eu accès à cette liste, nous avons pu identifier un nombre important de ces numéros de téléphone. Vous aviez des journalistes du monde entier et des gens qui ont des tonnes de contacts. Vous ne feriez que les faire correspondre, et beaucoup de chiffres ont été trouvés de cette façon, dans des pays comme l’Inde, par exemple, et le Mexique. Nous avions un partenaire technique sur ce projet, le laboratoire technologique d’Amnesty International, et une fois que nous avons identifié bon nombre de ces chiffres, nous avons commencé à approcher soigneusement les personnes qui figuraient sur la liste et à leur demander s’ils nous laisseraient faire des examens médico-légaux sur leurs téléphones. Et cela a donné des résultats où nous voyons une très forte corrélation dans les téléphones testés entre le fait d’être sur cette liste et les piratages ou tentatives de piratage utilisant le malware Pegasus.
Juste pour clarifier quelque chose : quand vous avez dit que vous ne pouviez pas répondre à la première partie de la question, est-ce parce que vous ne savez pas ou parce que c’est une information privilégiée ?
Je ne peux tout simplement pas y répondre et c’est tout ce que j’ai à dire. Je suis désolé.
C’est bon. Pouvez-vous nous parler un peu de l’industrie des logiciels espions et s’il existe des réglementations à ce sujet ?
Le groupe NSO a été mon domaine de prédilection en termes de sociétés de surveillance. Il y en a d’autres. Israël est vraiment l’un des principaux fabricants de ce type de logiciels espions. Et, en Israël, vous voyez beaucoup de responsables du renseignement qui s’occupent des logiciels espions qui entrent ensuite dans l’industrie privée. David Kaye, qui a examiné cela de très près dans son rôle précédent aux Nations Unies, l’appellerait une « industrie non réglementée », ce qui signifie qu’il n’y a pas vraiment de règles à l’échelle mondiale, vraiment, sur la façon dont cette technologie est vendue ou comment elle peut être utilisée. . Il y a des pays qui attaquent les citoyens d’autres pays avec des logiciels espions et piratent leurs téléphones. Cela peut aller à l’encontre des lois nationales, mais il est utilisé malgré tout.
À d’autres égards, NSO est spécifiquement une entreprise réglementée, et, par là, je veux dire qu’elle passe par un processus d’autorisation avec le gouvernement israélien, et en particulier le ministère de la Défense, qui doit approuver l’exportation de cette arme, Pegasus, vers d’autres des pays. Israël dit qu’il contrôle les clients auxquels NSO vend. Et l’ONS le dit. Ils obtiennent également une licence de commercialisation pour commercialiser leur produit et le vendre à d’autres pays.
.
