Un rapport d’Amnesty International que la Cellule investigation de Radio France révèle lundi avec l’organisation Forbidden Stories établit qu’un journaliste d’investigation marocain a été victime d’une attaque de Pegasus. Ce logiciel espion, qui permet de prendre le contrôle des smartphones, serait utilisé par plusieurs régimes autoritaires.

Pegasus a-t-il encore été utilisé à des fins de surveillance politique ? C’est la conviction de l’ONG Amnesty International qui vient de rédiger un rapport, révélé lundi 22 juin par une quinzaine de médias internationaux coordonnés par l’organisation Forbidden Stories, dont en France le journal Le Monde et la Cellule investigation de Radio France.

D’après les experts de l’ONG, le téléphone du journaliste d’investigation marocain Omar Radi a fait l’objet de plusieurs attaques dans le courant de l’année 2019. Les traces laissées par ces intrusions suggèrent qu’elles ont pu être conduites via le logiciel espion Pegasus, de la firme israélienne NSO, déjà accusée d’avoir aidé plusieurs États à espionner leurs opposants.

Omar Radi, 33 ans, est un journaliste d’investigation vivant à Rabat (Maroc). Co-créateur du site d’information Le Desk, il collabore depuis une dizaine d’années avec différents médias. Ses enquêtes traitent de la corruption au Maroc, des mouvements sociaux, ou de la prédation foncière qui touche les populations les plus pauvres dans certaines régions du pays.

En décembre 2019, il a été emprisonné brièvement à la suite d’un tweet critiquant le juge qui avait condamné plusieurs opposants au régime marocain. Il a par la suite été condamné à quatre mois de prison avec sursis dans cette affaire. Dans une interview accordée à l’ensemble des médias partenaires de Forbidden Stories, Omar Radi explique qu’il se savait surveillé par les services de sécurité marocains depuis de nombreuses années. « En 2008-2009 on s’était amusé avec une boucle de huit personnes, raconte-t-il ainsi. On s’est envoyé un SMS de style ‘Manif devant la préfecture à 18h’. (…) À l’heure venue, on marchait juste, on fumait une clope à côté de la préfecture et il y avait des fourgons de police qui remplissaient toute la place. »

L’analyse de son smartphone, effectuée par des experts d’Amnesty International, montre qu’il a fait l’objet de plusieurs attaques « par injection de réseau » entre janvier 2019 et janvier 2020. Ce type d’attaque, particulièrement sophistiquée, consiste à rediriger le navigateur internet du smartphone vers un site malveillant qui va permettre l’installation d’un logiciel espion sur le téléphone ciblé. Pour être menée à bien, ce type d’opération nécessite que « l’attaquant » ait le contrôle du réseau mobile sur lequel se connecte la cible. Cela peut être fait via un opérateur se situant à proximité du téléphone visé équipé d’un dispositif (ressemblant probablement à celui-ci) qui va tromper le téléphone en se faisant passer pour un relais de réseau mobile.

Omar Radi confirme avoir constaté un comportement suspect de son téléphone : « Par exemple, je veux rentrer sur un site et puis je vois sur la bande de l’URL plein d’URLs changer. Et donc, on me redirige vers d’autres serveurs. Ça c’est une injection d’URL. Amnesty m’a expliqué que c’était comme ça que mon téléphone a été infecté. Et, ironie du sort, j’ai été infecté en allant sur le site du ministère de la Justice marocain. »

Pegasus avait déjà été utilisé au Maroc

Si la réalité de l’attaque semble ne faire aucun doute, reste à en déterminer l’exécutant et la technologie utilisée. « C’est évidemment très difficile, explique Claudio Guarnieri, responsable du « security lab » d’Amnesty International à Berlin. Les entreprises comme NSO profitent du fait qu’il est impossible d’avoir une conclusion définitive parce qu’elles font très attention à ce que leurs produits ne laissent pas de traces derrière eux. Mais nous avons trouvé suffisamment d’éléments qui nous ont permis d’établir un lien avec des attaques antérieures que nous et d’autres avions documentées comme étant liées à NSO. » Le navigateur internet du téléphone d’Omar Radi a ainsi été redirigé à son insu vers un site web (free247downloads.com) qui avait déjà été identifié sur le téléphone de Maati Monjib, un universitaire, militant pour la défense des droits humains au Maroc.

En octobre 2019, un premier rapport d’Amnesty International avait établi que le téléphone que Maati Monjib avait été ciblé par le même logiciel espion du groupe NSO, ce qui laisse penser que cette technologie a été utilisée par les services de sécurité marocains. À l’époque, l’universitaire et Abdessadak El Bouchattaoui, un avocat, avaient reçu des SMS contenant des liens malveillants qui, si la victime cliquait dessus, tentaient d’y installer le logiciel Pegasus. « Il est effrayant que le simple fait de visiter un site web banal puisse devenir un vecteur pour infecter votre téléphone », note Bill Marczak, chercheur spécialisé en cybersécurité au CitizenLab de l’Université de Toronto. Ce laboratoire indépendant avait réussi en 2018 à identifier les traces de plus d’un millier d’attaques conduites dans 45 pays via le logiciel Pegasus. Citizen Lab suspectait déjà les autorités marocaines de l’avoir utilisé pour cibler des opposants, y compris en France. À la suite de ces révélations, WhatsApp (propriété de Facebook) avait décidé de poursuivre NSO devant la justice américaine. La messagerie instantanée estime qu’au moins 1 400 de ses utilisateurs ont été piratés dans le monde entier, parmi lesquels des journalistes, des militants des droits humains et des responsables gouvernementaux.

« Tout ce que la personne voit sur son téléphone peut être vu par Pegasus »

Pour Bill Marczak, il est possible que la firme israélienne ait adapté ses procédures à la suite de ces révélations : « Pendant longtemps, la méthode principale a consisté à utiliser des SMS, ce qui pouvait permettre aux cibles de remarquer quelque chose de suspect et peut-être de prendre une capture d’écran et de le signaler, explique le chercheur. Il y a eu pas mal de publicité sur cette méthode. Il est devenu évident pour NSO et d’autres entreprises que ce n’était pas assez furtif. Ils ont donc cherché d’autres vecteurs : il y a eu l’histoire de WhatsApp l’année dernière, et maintenant ces injections de réseau. » Des documents commerciaux internes de NSO, révélés par le Financial Times l’an dernier affirment que Pegasus permet de contourner toutes les sécurités généralement considérées comme fiables pour la protection des données en créant une sorte de « clone » du téléphone visé. « Tout ce que la personne ciblée voit sur son écran peut être vu par le logiciel espion », explique Bill Marczak.

L’an dernier, plusieurs ONG parmi lesquelles Amnesty International et Reporters sans frontières ont dénoncé le fait que NSO vende sa technologie à des régimes autoritaires qui peuvent potentiellement l’utiliser à des fins de surveillance politique. L’Arabie saoudite est notamment soupçonnée d’avoir eu recours à Pegasus dans le cadre de l’assassinat du journaliste Jamal Khashoggi en octobre 2018 à Istanbul (Turquie).

En mars dernier, David Kaye, le rapporteur spécial des Nations unies sur la promotion et la protection du droit à la liberté d’opinion et d’expression a critiqué la décision des autorités britanniques d’accueillir NSO lors d’un salon consacré à la sécurité.

NSO était également présent à Paris, lors du salon Milipol en 2019. Pour David Kaye, « cette technologie n’était auparavant entre les mains que de pays vraiment riches disposant de services de renseignement solides. Mais soudainement, elle a été largement diffusée et [des régimes autoritaires] peuvent se procurer ces technologies relativement peu coûteuses auprès d’entreprises comme NSO, qui ouvrent la voie à la surveillance des citoyens ».

Pas assez de contrôle sur les technologies de surveillance

Contacté par Forbidden Stories et ses partenaires, les autorités marocaines n’ont pas donné suite à nos questions. NSO s’est dit « profondément troublé » par les dernières révélations d’Amnesty International. La société explique qu’elle va étudier les données techniques et « ouvrira une enquête si nécessaire ». NSO ne confirme ni n’infirme que les autorités marocaines font bien partie de ses clients « pour des raisons de confidentialité ». NSO affirme cependant que ses produits sont destinés à « lutter contre le terrorisme, le grand banditisme et les menaces sur la sécurité des États ».

En 2019, peu après son rachat par le fonds d’investissement britannique Novalpina Capital, NSO a annoncé la création d’un « comité de gouvernance, de gestion des risques et de respect de la conformité ». La firme israélienne affirme qu’elle peut mettre fin à un contrat la liant à un gouvernement si elle constate un « mésusage » de ses logiciels. Le rapport d’Amnesty International constate que la première attaque sur le téléphone mobile d’Omar Radi est intervenue trois jours après l’annonce de la création de ce comité par NSO. Pour David Kaye, le problème, c’est qu’il « n’y a rien dans leur déclaration qui soit applicable par quiconque en dehors de l’entreprise. Il n’y a pas de mécanisme de contrôle, pas de transparence ». Le rapporteur spécial de l’ONU estime que les sociétés comme NSO « agissent comme des marchands d’armes ». Selon lui, « les états imposent des restrictions sévères sur le contrôle des exportations d’armes militaires […]. Nous n’avons rien de tout cela quand il s’agit de technologie de surveillance ».