Contexte :
Pegasus est un logiciel espion, créé en 2013, par la société israélienne de sécurité informatique NSO Group qui, après avoir infecté un téléphone iOS ou Androïd, accède aux fichiers, messages, photos et mots de passe, écoute les appels, et peut déclencher l’enregistrement audio, la caméra ou encore le suivi de la géolocalisation. Le logiciel est censé être uniquement commercialisé aux organisations étatiques pour surveiller des personnes soupçonnées de terrorisme. En pratique, il est présenté comme étant utilisé par de nombreux États, démocratiques ou autoritaires, pour surveiller des journalistes, des opposants politiques et des militants des droits de l’Homme. À noter que par accord de principe, le logiciel ne peut être utilisé pour espionner des appareils en Chine, en Russie, aux États-Unis, en Israël ou en Iran.
L’existence d’un tel logiciel est connue depuis 2016 lorsqu’il a été utilisé pour espionner le smartphone du militant émirati des droits de l’Homme, Ahmed Mansoor. Il a ensuite refait parler de lui à plusieurs reprises, en 2017 et 2019, pour avoir espionné les téléphones de journalistes mexicains et qataris et avoir même concouru à leur assassinat.
Pourtant le scandale n’éclate qu’en juillet 2021 lorsque le projet Pegasus est dévoilé, une enquête journalistique menée par le consortium de journalistes Forbidden Stories en coopération avec l’ONG Amnesty International. Cette en- quête révèle l’espionnage par 11 États de journalistes, opposants politiques, mi- litants des droits de l’Homme et chefs d’États dont Emmanuel Macron, Édouard Philippe et 14 membres du gouvernement français par l’État marocain.
Questions :
Quand bien même les hommes politiques possèdent tous un téléphone ultra-sécurisé nommé Teorem (fabriqué par Thalès), ils utilisent tous des smartphones pour leur praticité mais aussi et surtout pour accéder aux réseaux sociaux. La grande majorité de ces smartphones sont des iPhones fabriqués par Apple qui, ces dernières années, axe justement sa communication autour de la protection des données personnelles de ses utilisateurs avec notamment des conversations chiffrées de bout- en-bout. L’affaire Pegasus nous montre qu’ils sont tout autant sujets au piratage que n’importe quel smartphone concurrent. La supposée sécurité de nos données n’est-elle alors qu’une histoire de marketing ?
Effectivement, les appareils sécurisés ne donnent pas accès aux mêmes fonctionnalités que votre smartphone classique. Cela pousse l’utilisateur à utiliser son propre matériel, ou du matériel non sécurisé.
Il y a plusieurs raisons à cela. Premièrement, nous avons tous pris l’habitude d’utiliser nos smartphones pour un nombre croissant de tâches : consulter nos E-mails, faire une requête sur Google, commander notre déjeuner, envoyer un message sur WhatsApp, Viber ou Telegram, faire une visio sur Teams ou Zoom, poster sur LinkedIn, Facebook, Instagram, commander un Uber, prendre des photos et filmer, passer une annonce sur Le Boncoin, jouer au Solitaire ou au Majong, acheter un bouquin ou un nouveau téléphone sur Amazon ou Alibaba, constater que nous n’avons pas fait nos 10.000 pas réglementaires sur la journée ! Voilà ce que vous et moi, que nous soyons Chef d’État, ouvrier, militaire, patron, fonctionnaire, demandeur d’emploi ou encore prisonnier, faisons au quotidien sur notre smartphone. Accessoirement il nous arrive de téléphoner ou d’envoyer un SMS. Ces pratiques, peu à peu, se sont ancrées dans les habitudes, dans les comportements. C’est là une première chose.
La seconde, c’est la naïveté dont nous faisons preuve. Toutes ces applications que nous utilisons, utilisent et exploitent nos données personnelles, nous en sommes à peine conscients et nous n’y prenons pas garde. Il faut rappeler ici ce qu’est une donnée personnelle, telle que définie dans le RGPD : toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Qui prend garde à ces éléments d’identification ? La prise de conscience des risques liés à la diffusion de nos propres données personnelles est loin d’être acquise, quel que soit le statut de l’individu dans la société, y compris même parfois les spécialistes de la cybersécurité !
Alors, pour répondre à votre question, est-ce une question de marketing ou pas ? Je pense que c’est surtout une question de naïveté, doublée, évidemment d’une stratégie (marketing?) des fabricants de smartphones, d’interfaces et autres applications. Ils ont réussi à créer un besoin et à y apporter les briques nécessaires pour y répondre, nous nous y sommes engouffrés et nous ne sommes, à mon avis, pas prêts à faire marche arrière. Nous connaissons tous des aficionados d’Apple, des Samsung friendly et, un peu moins peut-être, de Huawei accro. Pensez-vous pouvoir leur faire changer d’avis ? Ils y sont attachés comme à la prunelle de leurs yeux, parfois même avec frénésie. Le problème vient de là, et n’est que la résultante des stratégies de ces grands acteurs économiques, battant pavillon étranger…
Pourquoi la sécurisation d’un téléphone comme Teorem n’est pas possible sur des smartphones ? N’est-il pas possible de modifier les smart- phones “grand public” pour ajouter – ce que l’on pourrait appeler – une couche de sécurité ?
Teorem est disponible si je ne m’abuse depuis 2008. Ce qui montre bien que la question des communications sécurisées ne date pas d’hier. Que ce soit Teorem ou d’autres appareils sécurisés, leur utilisation implique des manipulations un peu plus longues que sur un smartphone traditionnel. L’être humain étant par nature attiré par la facilité, il a tendance à laisser le dispositif sécurisé de côté au profit de son smartphone classique.
Quant à sécuriser un smartphone classique, ce n’est pas une tâche aisée mais reste du domaine du possible et des solutions sont disponibles comme, par exemple, la surcouche logicielle SecDroid utilisée par la Police et le Gendarmerie françaises sur un Android classique. Bref à chaque fois que l’on ajoute une « couche de sécurité », on freine la fluidité de l’utilisation et on retombe donc dans le même travers : la recherche de la facilité.
La clé de la sécurité n’est donc pas l’outil en lui-même mais la propension et la volonté de son utilisateur à l’utiliser ! La facilité, c’est rester dans sa zone de confort ! C’est comme lorsque nous avons le choix entre l’ascenseur et l’escalier…
On peut donc rajouter autant de « couches de sécurité » que nous voulons, nos usages et pratiques font que nous chercherons systématiquement la facilité.
En 2013, les révélations d’Edward Snowden concernant l’espionnage de masse mené par la NSA avaient fait beaucoup de bruit. 8 ans après, la population comme les institutions sont désormais informées et plus ou moins sensibilisées à l’importance de la sécurité de leurs données, en encore plus après l’affaire Cambridge Analytica en 2016. Néanmoins, ces révélations ont-elles entraîné de réels changements au sein des ins- titutions pour protéger les données “secret défense” et confidentielles du gouvernement mais également les données personnelles de chacun d’entre nous ?
Cela fait bientôt une dizaine d’années que de telles révélations scandalisent l’opinion publique et les institutions. J’ai l’impression que dans l’imaginaire collectif cela reste, au-delà du scandale passager, de l’ordre du fantasme. D’ailleurs pour l’affaire Snowden, on en a fait un film… C’est-à-dire que l’on tourne en fiction une vérité bien tangible ! Je crois que cela dessert la prise de conscience des risques, bien réels, liés à ce type d’espionnage. On continue à nager dans la science-fiction, sans se rendre compte qu’elle nous a rattrapé (1984, Le meilleur des mondes, …).
La mise en place de systèmes sécurisés pour les communications ou transmis- sions sensibles existent et ils ont été renforcés largement ces dernières années. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a fait et continue de faire un travail extraordinaire à ce sujet. Elle a d’ailleurs homologué des matériels et solutions dans ce domaine. Donc oui, des changements se sont produits dans les solutions techniques, et elles évoluent quotidiennement, mais beaucoup moins dans les mentalités.
La conjonction des mentalités qui évoluent très lentement et des progrès technologiques très rapides de nos adversaires (ou amis…) crée une distorsion d’appréciation qu’il est particulièrement difficile de réduire.
Les États qui ont eu recours à Pegasus ont dépensé des dizaines de millions de dollars pour ce logiciel espion. Le segment des logiciels d’espionnage semble donc être un marché juteux, n’existent-ils pas alors d’autres entreprises semblables à NSO Group ? Avons-nous connaissance de l’existence d’autres logiciels d’espionnage que Pegasus, déjà opérationnels ou en cours de développement ?
Marché juteux oui, pour ceux qui développent les logiciels, juteux aussi pour ceux qui retirent un bénéfice de leur utilisation (avantage concurrentiel, renseigne- ment, …). Je dirais que pour l’acheteur c’est plutôt une forme d’investissement qu’une dépense. Inéluctablement, en raison de la dématérialisation des activités, économiques, financières, politiques, sociales, … le recours à ce type de logiciel ira de façon croissante et exponentielle. Aujourd’hui NSO Group, société israélienne avec des capitaux britanniques (Novalpina Capital), demain un autre.
Oui il y a des concurrents et ils sont probablement plus nombreux que nous ne le pensons. Je ne pense pas qu’il soit difficile de les identifier d’ailleurs, ce qui est compliqué c’est de trouver les parades techniques et humaines pour éviter d’être sous la coupe de leurs produits. Et pour cela il existe des développeurs de solutions pour détecter voire contrecarrer des produits tel que Pegasus ; je pense à des pépites de la cybersécurité comme TETHRIS, Itrust ou encore HarfangLab. Les outils existent, la volonté de les utiliser, c’est autre chose…
Comment les États se protègent-ils de ce type d’entreprise qui, même si elles affichent un objectif louable de les protéger contre le terrorisme, peuvent inévitablement être détournée pour d’autres utilisations ?
Il ne s’agit pas de se protéger de ces entreprises mais plutôt de l’utilisation que feront leurs clients de leurs produits. En effet les entreprises comme NSO Group, on en a besoin pour des raisons dues aux évolutions des technologies, de nos comportements et de nos sociétés.
Cependant, le danger provient de leurs clients : des États souverains, des entre- prises mais aussi pourquoi pas des groupes criminels, y compris terroristes (?). C’est là que les choses se compliquent. Des logiciels type Pegasus peuvent se retrouver à vendre dans le dark web et faire le bonheur de n’importe quelle structure ou quel individu aux intentions malsaines. Une surveillance tous azimuts est alors nécessaire. Et cette surveillance nécessitera quoi ? D’autres logiciels du même type ! C’est un peu l’escalade et c’est à qui développera la solution la plus efficace pour entraver celle de l’autre.
Nous sommes donc loin d’être débarrassés de ce type de pratiques et d’autres révélations tonitruantes se feront sans nul doute jour dans les mois et années à venir.
Existe-il une législation étatique, européenne ou internationale chargée d’encadrer ces entreprises et l’utilisation de leurs services ? Si non, comment faire pour qu’elles ne soient pas détournées pour des utilisations comme celles dénoncées depuis quelques semaines ?
Au niveau européen il y a bien la directive Network and Information System Security (dite directive NIS) qui vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des États membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la nation, pour faire face collectivement aux risques de cyberattaques.
En France c’est l’ANSSI qui est chef de file. Il y a également le célèbre RGPD sur la protection des données personnelles. Puis également une législation nationale, dans le cas de la France, notamment les infractions pénales relatives aux intrusions dans un système de traitement automatisé de données, le vol de données, … et bien entendu les infractions relatives à l’espionnage et aux moyens techniques de captation de données. Tout cela est bien, mais n’arrête pas le progrès technologique, n’abolit pas les frontières du cyberespace, ni même physique.
Les initiatives ne manquent pas en matière législative, et elles sont nécessaires, mais le temps législatif, qu’il soit national, européen ou international ne correspond malheureusement pas au temps technologique. Là également nous avons une distorsion entre la réalité et les réponses, légales et judiciaires, possibles.
Y a-t-il des innovations possibles dans ce domaine ou, peu importe le niveau de sécurité, un outil informatique pourra toujours être piraté ? Peut-on par exemple imaginer utiliser la technologie de la Blockchain qui sécurise déjà les transferts de crypto-monnaies pour crypter les conversations “secret défense” et confidentielles ?
Le degré de protection devra systématiquement être toujours augmenté car la capacité d’intrusion, de captation sera toujours croissante. L’innovation est et doit être soutenue et perpétuelle, c’est une question de survie !
La technologie blockchain, oui peut-être et sûrement mais jusqu’à la prochaine innovation. Le risque avec la blockchain s’est de la voir se substituer aux organismes de certification et de contrôle ; donc d’écarter un peu plus encore l’humain du dispositif. Puis les blockchains peuvent également être piratées…
Ce n’est pas le Graal, ne nous y trompons pas. Il y a quelques décennies notre monde a connu la course aux armements, aujourd’hui il connaît la course à l’innovation… Le défi est de rendre la pratique et l’utilisateur aussi agiles que l’innovation technologique. Ce qui pose problème, ce n’est pas la possibilité de crypter, de sécuriser, mais la volonté de le faire.
EuropaNova 