Pegasus et NSO Group

En juillet 2021, une coalition de dix-sept rédactions coordonnée par l’association parisienne Forbidden Stories publie le Pegasus Project. En son cœur, une liste fuitée de cinquante mille numéros de téléphone qui auraient été sélectionnés, depuis 2016, comme cibles potentielles de surveillance avec un produit nommé Pegasus.

Ce que veut dire « sans clic »

Pegasus est le produit phare de NSO Group, une entreprise israélienne dont les exportations sont contrôlées par le ministère de la Défense du pays. Sa particularité est l’absence d’interaction de l’utilisateur. Les spywares mobiles antérieurs exigeaient que la cible clique sur un lien de phishing. Pegasus pouvait être livré par un iMessage ou un appel WhatsApp que le téléphone affichait pendant moins d’une seconde, parfois pas du tout. Une fois installé, il accédait aux messages, micros, caméras, géolocalisation et applications chiffrées de bout en bout depuis l’intérieur.

Qui figurait sur la liste

Les numéros identifiés par le Pegasus Project incluent des journalistes du Monde, du Financial Times et d’Al Jazeera ; le cercle rapproché du chroniqueur saoudien assassiné Jamal Khashoggi ; des opposants politiques en France, en Inde, en Hongrie et au Mexique ; et au moins un chef d’État français. NSO a contesté des éléments de méthode et soutenu que son produit n’était vendu qu’à des clients gouvernementaux, pour un usage légal contre la criminalité grave et le terrorisme.

Ce que la chronique retient

Pegasus a fait sortir le spyware commercial du secret industriel au grand jour. Il a contraint Apple, Google et les fournisseurs de plateformes à livrer des modes durcis pour les utilisateurs à haut risque, et il a poussé plusieurs gouvernements à placer NSO sur des listes d’entités bloquant les exportations technologiques américaines. Le marché qu’il représente — acheteurs souverains, déni plausible, compromission mobile incassable — n’a pas rétréci.