Grand entretien Avec le logiciel espion Pegasus, "tout le monde pourrait être une cible, c'est ça qui est effrayant"

Article rédigé par
France Télévisions
Publié Mis à jour
Temps de lecture : 9 min.
Illustration de la surveillance du logiciel Pegasus, commercialisée par la société israélienne NSO, de nos smartphones. (FRANCEINFO / JESSICA KOMGUEN)

Le "projet Pegasus" est-il le plus gros scandale d'espionnage depuis les révélations d'Edward Snowden à propos de la NSA ? Réponse avec Asma Mhalla, spécialiste des enjeux de surveillance.

"Si ces faits sont avérés, ils sont très graves." En apprenant qu'un des téléphones d'Emmanuel Macron a pu être surveillé par le logiciel espion Pegasus, pour le compte du Maroc, comme l'a révélé le consortium international de journalistes Forbidden Stories et ses 16 partenaires, dont la cellule investigation de Radio France, l'Elysée a montré son indignation et a promis que "toute la lumière [serait] faite sur ces révélations". Huit ans après le scandale de la surveillance de la NSA mis en lumière par Edward Snowden, le projet Pegasus est "potentiellement pire", selon Asma Mhalla, maître de conférence à Sciences Po Paris. Franceinfo a interrogé cette experte en économie numérique et en techno-sécurité pour analyser le retentissement de ces révélations.

Franceinfo : Les révélations du projet Pegasus sont-elles comparables avec celles faites en 2013 par Edward Snowden ?

Asma Mhalla : C'est un scandale de la même ampleur que celui révélé par Edward Snowden. Pour rappel, après les attentats du 11-Septembre, pour lutter contre le terrorisme et le crime, les Etats-Unis se sont appuyés sur la récupération de la masse de données produites par les plateformes comme les Gafa (Google, Apple, Facebook, Amazon) pour surveiller à peu près tout le monde. La NSA a capté et récupéré par ses propres services un maximum de ces données, avec des programmes comme Prism, pour mettre en place une surveillance massive. Comme la NSA est une agence gouvernementale, il y avait des procédures spécifiques et des possibilités de contrôle a posteriori malgré l'opacité de ce type de dispositifs de surveillance allégaux, c'est-à-dire qui profitent des zones grises et des vides juridiques de l'Etat de droit.

Avec le "projet Pegasus", l'industrie des logiciels espions est hors de tout contrôle réglementaire. On a un pays, Israël, qui soutient une start-up, NSO Group, parce qu'elle peut lui servir de véhicule de négociation diplomatique. C'est un système public-privé de surveillance inter-étatique. La plupart des Etats se surveillent entre eux, alliés ou non, ou pour le compte les uns des autres. C'est la grande différence avec les révélations d'Edward Snowden qui ne concernaient qu'un pays, les Etats-Unis, avec un système de surveillance développé par l'agence fédérale elle-même.

Potentiellement, le projet Pegasus, c'est même pire que les révélations d'Edward Snowden. Il y a tout un enchevêtrement qui semble compliqué. Nous sommes en train de dévoiler un minuscule pan d'un énorme système opaque et nous ne sommes pas forcément au bout de nos surprises.

Forbidden Stories, le consortium international de journalistes à l'origine des révélations, a eu accès à une liste d'environ 50 000 numéros de téléphone. C'est un chiffre d'une ampleur inédite ?

Le chiffre est énormissime, il y a un changement d'échelle par rapport aux investigations menées jusqu'ici par les associations et certains médias. Mais, par nature, ces activités sont opaques et ces technologies duales, destinées à un usage civil et militaire ou de défense et ont pour vocation une surveillance généralisée. Donc, par rapport au potentiel de ces technologies, c'est dérisoire, parce que le potentiel, c'est nous tous.

"Tout le monde pourrait être une cible, c'est ça qui est effrayant."

Asma Mhalla

à franceinfo

Une telle surveillance massive entre les pays, parfois dits "amis", est-elle surprenante ?

La surveillance a toujours existé, l'espionnage aussi, y compris entre alliés. C'est son ampleur et son industrialisation qui posent problème. Depuis une vingtaine d'années, la surveillance est devenue un business. Avec le projet Pegasus, on voit l'ampleur de la surveillance politique et on rend visibles ces dispositifs de contrôle qui, jusque-là, étaient soit invisibles, soit connus que de quelques acteurs. On se rend compte que des entreprises privées, uniquement dans un but de rentabilité, troquent une forme de liberté contre la persécution de certains journalistes ou d'acteurs de la société civile.

C'est extrêmement problématique. On a une généralisation de la surveillance, que ce soit dans les Etats de droit ou pas. Ces entreprises sont complètement hors de contrôle, elles sont dans une opacité totale et remplacent la loi par le contrat. Ce n'est pas seulement l'Etat qui perd une partie de sa compétence, c'est pire.

"La souveraineté, la surveillance et la répression politique sont devenues un marché."

Asma Mhalla

à franceinfo

En s'appuyant sur ces entreprises privées, la surveillance devient alors possible pour tous les Etats, pas seulement les plus développés technologiquement.

La surveillance de masse basée sur les algorithmes est aujourd'hui l'apanage des Etats avancés technologiquement comme les Etats-Unis ou la Chine, mais avec ce genre d'entreprises privées et ces logiciels, n'importe quel petit pays peut avoir sa NSA sous-traitée.

"Ces technologies deviennent accessibles, là où les pays avec des régimes autoritaires n'avaient pas forcément les compétences ou les fonds pour développer leurs propres dispositifs."

Asma Mhalla

à franceinfo

On industrialise, à bas coût, une surveillance massive. C'est ce qui rend cette perspective désormais possible à terme.

Qu'une société privée intervienne dans l'espionnage pour le compte d'Etats, c'est une nouveauté ?

Asma Mhalla : Absolument pas. Il n'y a strictement rien de nouveau dans le fait que ce soit une entreprise privée qui vende et qui commercialise ce type de technologies. En France, par exemple, nous ne sommes pas du tout à la ramasse avec des entreprises comme Amesys ou Nexa Technologies qui sont des alter ego, en moins sophistiquées, de NSO. 

En mai 2021, on apprenait que la chancelière allemande Angela Merkel et des hauts fonctionnaires français, norvégiens et suédois ont été espionnés par la NSA via le Danemark. Ce système d'écoute et de surveillance n'est donc pas uniquement l'apanage des régimes autoritaires.

Ce qui m'étonne, c'est que ça étonne. Les programmes d'espionnage des Américains en Europe remontent à la sortie de la Seconde Guerre mondiale, quand ils apparaissaient comme les sauveurs de l'Europe occidentale. L'affaire qui impliquait le Danemark et la NSA était politique et industrielle. Il ne s'agissait pas uniquement d'écouter Angela Merkel et d'autres dirigeants, c'était aussi découvrir les prochaines innovations et le contenu dans le domaine de la recherche et du développement. La surveillance, elle, d'un Etat qui surveille sa population, est un fantasme qui date au moins du XVIIe ou XVIIIe siècle. Jusqu'ici, il était beaucoup trop coûteux. Mais désormais avec un tel logiciel comme Pegasus, c'est à portée de main.

Le processus utilisé par NSO, l'infection, qui prend totalement le contrôle de l'organisme de votre appareil sans que l'utilisateur s'en rende compte, est-il la dernière innovation en terme de surveillance ?

Ces récentes révélations sont intéressantes et importantes, car cela montre une sophistication des outils que la NSA n'avait pas. NSO est à un niveau jamais égalé. On découvre que tous nos outils sont absolument vulnérables, malgré les promesses de chiffrement.

"Les systèmes sont capables d'absolument tout hacker, c'est invisible, indétectable. Il n'y a plus de vie privée." 

Asma Mhalla

à franceinfo

Il n'y a plus potentiellement de garde-fous pour protéger les libertés publiques. La bête sacrifiée de ce scandale, c'est nous, c'est la démocratie, la liberté, notre droit à la vie privée, notre droit à une information juste et équilibrée.

Nos smartphones sont-ils devenus nos "meilleurs ennemis" ?

Il ne faut pas forcément se dire "je dois me méfier de mon smartphone". Que fait-on une fois qu'on a dit cela ? On a besoin de ces outils, on ne peut plus s'en passer car la société est construite autour de ces technologies numériques. La question, c'est plutôt "comment on interdit ce genre de logiciels et leur commercialisation, uniquement pour l'argent sans avoir conscience de l'impact politique ?" Il faut avoir une réflexion politique majeure sur une interdiction ou une réglementation stricte, plutôt que de chercher à réguler à la marge. Il va falloir trancher de manière beaucoup plus claire sur ces technologies invasives car ce sont de véritables armes. 

Pegasus cible des journalistes, des hommes politiques, des avocats, mais aussi des sportifs et des médecins. Pourquoi eux ?

On voit apparaître des logiques contre-insurrectionnelles, c'est-à-dire une surveillance massive de la population de façon à détecter les perturbateurs, afin de les neutraliser. Tout en maintenant la majorité silencieuse. Dans un monde en pleine perturbation, il est logique de voir une inflation sécuritaire de la part des Etats, quelle que soit la nature de leur régime. Il faudrait voir l'implication de ces personnes, leurs réseaux et voir dans quel contexte elles ont été écoutées, quels sont leurs liens... Quel est l'intérêt pour un pays comme le Maroc d'avoir des informations sur François de Rugy ou Eric Zemmour ? Cela n'a aucun sens. Il y en a forcément un, mais comme c'est opaque, cela nous échappe totalement.

La France a vivement réagi mardi, mais peut-on être sûr que le Maroc est bien derrière cette surveillance de personnalités françaises ?

On ne peut pas. On ignore où vont les données captées par Pegasus, qui en fait l'usage et pourquoi ? Le Maroc a d'ailleurs démenti formellement. Cela n'aura pas forcément de conséquences diplomatiques. Il y aura des prises de position officielles, mais il y a trop d'intérêts communs entre la France et le Maroc pour que cela altère leur relation. La politique est aussi une affaire de symboles, la France ne pouvait pas ne pas faire de telles déclarations, mais il y a la réalité de la géopolitique. L'intérêt stratégique de la France, ce n'est pas d'avoir le Maroc à dos et vice-versa. 

Quelles peuvent être les conséquences de ces révélations ?

NSO a une politique de responsabilité pour le moins très vague et contradictoire, qui est en réalité une politique d'irresponsabilité totale. Elle reste une entreprise privée motivée par la rentabilité marchande de ses solutions et protégée par les clauses de ses contrats, au détriment de toute considération éthique, démocratique. Mais avec ces révélations et sous sa forme actuelle, NSO risque de couler.

"Aujourd'hui, on se concentre sur NSO Group, mais il existe de nombreuses autres entreprises privées et start-up de ce type-là qui opèrent dans cette industrie."

Asma Mhalla

à franceinfo

En l'occurrence, NSO est devenue un problème politique pour Israël. Le gouvernement israélien a d'ailleurs monté une "task force" pour gérer les dommages collatéraux de ces révélations. La réputation et l'image du pays sont très sérieusement écornées par ce scandale qui risque de fragiliser durablement ses relations diplomatiques.

Il est toutefois important et heureux de constater la vitalité du journalisme d'investigation, d'enquête et de contre-enquête. Sans ces lanceurs d'alerte, ces associations, ces chercheurs qui fournissent un travail de fourmi depuis des années, ça en serait fini... Ces traditionnelles et nouvelles formes de quatrième pouvoir sont très importantes. Elles sont le cœur du contre-pouvoir démocratique. Ça donne de l'espoir, ça signifie qu'il y a des gens qui veillent et alertent sur les menaces qui pèsent sur nos libertés.

Prolongez votre lecture autour de ce sujet

tout l'univers Projet Pegasus

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.