Dans cette histoire d’espionnage des smartphones de nos dirigeants, tout est possible, disent les experts, dont la seule certitude est que les preuves seront difficiles à trouver. Si elle évoque à leurs yeux l’affaire Clearstream, qui avait déstabilisé en son temps la droite française, elle n’en dit pas moins long sur les fragilités de nos sociétés à l’ère du tout numérique.

 Par Mériadec Raffray

Selon le réseau de journalistes Forbidden Stories et l’ONG activiste Amnesty International, le Maroc aurait utilisé le logiciel espion « Pegasus », commercialisé par la société israélienne NSO Group, pour pirater les téléphones portables du président de la République, d’une quinzaine de ministres, d’une flopée d’élus, de journalistes et de dizaines de personnes moins connues en France.

Des informations révélées par Le Monde et Radio France, partenaires comme 14 autres médias de cette opération « transparence » baptisée « projet Pegasus ». L’Elysée, qui a consacré un conseil de défense à la cyberdéfense le 22 juillet, demeure prudent sur la matérialité des accusations visant Rabat : « Aucune certitude à ce stade n’est apparue ». Le Quai d’Orsay est embarrassé. Gérard Araud, l’ancien ambassadeur de France à Tel Aviv et à Washington, aujourd’hui chroniqueur de politique internationale au Point, figurait, il y a encore quelques semaines, sur la liste des personnalités rémunérées par NSO Group.

Tout est faux, répondent les deux mis en cause. Le consortium, que l’État marocain attaque en Justice, assure que son équipe technique a décelé des preuves dans les téléphones qu’elle a pu examiner. « Il convient de rester prudent sur les déclarations des uns et des autres attribuant l’origine de l’attaque, ou qu’un téléphone a été compromis par un logiciel de nature furtif », recommande le chercheur Thierry Berthier, membre de la chaire de cyberdéfense et cybersécurité Saint-Cyr Sogeti Thalès. Il sait que la rétro-analyse d’un smartphone est complexe et requiert des expertises de très haut niveau. D’autant que la dernière version du logiciel de NSO Group est à la pointe de l’art. Il permet d’aspirer à distance le contenu en clair d’un smartphone et peut être désactivé à l’issue en toute discrétion.

La liste tombée opportunément entre les mains du consortium comporte en réalité 50 000 numéros, y compris celui du roi du Maroc… Ils sont censés émaner d’une dizaine de clients étatiques de NSO Group, qui en revendique une quarantaine au total. L’origine de cette liste, tout comme sa composition et ses commanditaires, posent question aux experts, à qui cela rappelle l’affaire des faux comptes bancaires Clearstream. Curieusement, les révélations du projet Pegasus ciblent des alliés proches de la France. Le Maroc, en premier lieu, mais encore l’Inde, qui aurait espionné des dirigeants d’entreprises tricolores ou amies. Bernard Squarcini, l’ancien patron de la DCRI (aujourd’hui la DGSI) ne croit pas beaucoup aux accusations proférées contre le Maroc ; dans cette histoire, « tout est possible », a-t-il affirmé au micro d’Europe 1. Y compris, soulignent certains, l’hypothèse que son origine soit liée à un règlement de compte entre actionnaires : un différend sérieux oppose les dirigeants du fond britannico-luxembourgeois qui a acquis en 2019 la moitié du capital de la société NSO Group.

Bien informé, Christian Cambon, le président de la commission des Affaires étrangères, de la Défense et des forces armées du Sénat, et de son groupe d’amitié France-Maroc, dénonce un « montage ». « Quand on porte des accusations, il faut en assumer les preuves ». Le Maroc, remarque-t-il, fait en ce moment « lobjet manifestement dattentions particulières, de campagnes de presse et de dénigrement avec des accusations très graves ». Ses dernières décisions à l’égard du Sahara occidental, dont le front du Polisario lui dispute la souveraineté avec l’appui de l’Algérie, ont envenimé ses relations avec Berlin et Madrid. Par ricochet, l’affaire déstabilise Israël, qui avait officialisé fin 2020 son rapprochement stratégique avec le Maroc conclu sous l’égide des États-Unis.

« Une industrie dangereuse et hors de contrôle »

L’État hébreu s’appuie sur la technologie « de puissance » de NSO Group et de quelques autres champions du numérique pour bâtir des partenariats de sécurité avec des États qui n’y ont pas accès par eux-mêmes. Shalev Hulio, l’un de ses patrons opérationnels, a fait son service militaire au sein de l’Unité 8 200, l’équivalent israélien de la NSA américaine, connue pour former des jeunes en quelques mois aux technologies de codage et de cryptage et aux langues étrangères ; 80% de son personnel est âgé de 18 à 26 ans. Ces jeunes constituent le vivier des créateurs et employés des start-up et scale-up de l’écosystème d’Herzliya qui fournissent l’armée et les services en armes numériques. Un connaisseur témoigne : « Située dans la banlieue nord de Tel Aviv, Herzliya est au cœur du triangle d’or de la souveraineté israélienne, où sont co-localisés son usine à start-up, le Mossad et l’Unité 8 200. Ici, tout le monde se connait et parle le même langage, c’est la recette du succès ».

Le patron américain de WhatsApp, qui a porté plainte en 2019 contre NSO Group pour avoir profité d’une faille dans ce logiciel, évoque « une industrie dangereuse et hors de contrôle » à propos de l’écosystème israélien. Les Européens l’accusent de contribuer à la prolifération des armes numériques sans aucunes règles. Et suggèrent qu’il est grand temps d’encadrer les relations entre ces sociétés et les États afin d’éviter ces scandales qui cassent régulièrement l’élan des champions qui émergent. En France, on se souvient de l’affaire Amesys, du nom de cette filiale d’Atos dont certains cadres font l’objet d’une procédure judiciaire pour complicité de torture, après qu’on ait appris en 2016 que la société avait fourni des logiciels espions à Kadhafi.

Aujourd’hui, le niveau de la technologie mise en œuvre par NSO Group n’est accessible en direct qu’à une poignée d’États dans le monde : les États-Unis, la Russie, la Chine, la Grande-Bretagne, la France (comme le laisse deviner la nature des récents appels d’offres publiés par le département « maîtrise de l’information » de la Direction générale de l’Armement, basée à Rennes ou bien encore le savoir-faire de Tehtris, une société fondée par des anciens de la direction technique de la DGSE), et peut-être l’Italie. Un expert confie : « brancher le portable d’un dirigeant est plus facile que s’introduire dans un système étatique sécurisé, et rapporte gros. Vous avez accès à un concentré non filtré d’infos politiques, économiques, diplomatiques, y compris privées. Une fois qu’on y a goûté, c’est comme une drogue dure, on ne peut plus s’en passer. Bienvenue dans ce monde où tout le monde écoute tout le monde ». C’est vrai pour les États comme pour les particuliers. La version dégradée de la technologie de NSO Group est disponible dans le commerce : ce sont ces applications de surveillance qu’il faut introduire dans un téléphone, qui n’apparaissent pas dans le répertoire interne et désactivables à distance !

Mais il y a beaucoup plus grave, suggèrent en creux les autorités françaises. Simultanément à la sortie de l’histoire Pegasus, Guillaume Poupard, le patron de l’Agence nationale de la sécurité des systèmes d’information (l’ANSSI), a publié sur son compte LinkedIn un message pointant - une fois n’est pas coutume - la responsabilité de la Chine dans une « campagne de compromission » numérique en cours qui toucherait de nombreuses entités françaises. Une action de nature « bien plus grave que les bourricots ailés et leurs avatars », a précisé le patron de l’ANSSI, dans une allusion à peine déguisée au projet Pegasus.

Avant son départ, le général Lecointre en personne avait prévenu : « tant que nous n’avons pas de certitude, nous évitons d’attribuer les attaques, mais je pense que nous serons plus offensifs à l’avenir ».

26/07/2021 - Toute reproduction interdite


Le roi du Maroc Mohammed VI parle avec le président Emmanuel Macron alors qu'ils passent en revue la garde d'honneur à Rabat, le 14 juin 2017.
© Alain Jocard/Pool/Reuters
De Meriadec Raffray