Affaire Pegasus : « le Canada a un rôle à jouer » contre le cyberespionnage
Ron Deibert est le fondateur et directeur du Citizen Lab, qu'il présente comme un « chien de garde des droits de l'homme » en matière de cybersécurité.
Photo : Citizen Lab/Riley Stewart
Prenez note que cet article publié en 2021 pourrait contenir des informations qui ne sont plus à jour.
Ron Deibert, fondateur et directeur du Citizen Lab, un organisme de recherche qui a été le premier à révéler les dangers du logiciel Pegasus du groupe NSO, présente à Radio-Canada les problèmes que pose l'espionnage des appareils électroniques.
Depuis plusieurs jours, le consortium de journalistes Forbidden Stories effectue une série de révélations sur le logiciel, qui a espionné des milliers de dirigeants politiques, des militants et des journalistes partout sur la planète.
Photos, vidéos, SMS, messageries censées être cryptées, mais aussi activation du microphone et de la caméra à distance, c’est l’intimité même des cibles que le virus Pegasus fait voler en éclats.
Pouvez-vous présenter la structure de Citizen Lab? Combien de personnes y travaillent et quel est votre objectif principal?
Ron Deibert :
Le Citizen Lab est un laboratoire de recherche, nous sommes donc un groupe d'investigation. Nous avons environ deux douzaines d'employés ou d'affiliés ou de boursiers qui viennent de différents horizons disciplinaires. Je suis politologue et mon expertise est en sécurité internationale. Cependant, de nombreux membres du personnel du Citizen Lab proviennent d'autres disciplines.
Nous utilisons en particulier des techniques et des méthodes de l'informatique et du génie, ainsi que des études juridiques et régionales pour effectuer ce type de méthodes mixtes.
Le Citizen Lab, installé dans ce bâtiment de l'Université de Toronto, joue depuis des années un rôle de premier plan dans la dénonciation des pirates informatiques soutenus par les États.
Photo : La Presse canadienne / Nathan Denette
Nous menons des enquêtes sur des problèmes de sécurité numérique, par exemple l'espionnage ciblé, qui découlent généralement de préoccupations en matière de droits de l'homme. Vous pouvez donc nous considérer comme un chien de garde ou peut-être un CSI des droits de l'homme
.
Quel est votre rôle dans les dernières révélations concernant le projet Pegasus?
R.D. :
Tout d'abord, le Citizen Lab a enquêté sur Pegasus et le groupe NSO depuis la toute première publication sur NSO en août 2016. C'était le rapport dans lequel nous avons découvert pour la première fois Pegasus, nous avions en fait acquis une copie du logiciel espion et l'avons rétroconçu et avons commencé à cartographier son infrastructure de commandement et de contrôle et certains de ses clients gouvernementaux.
Ainsi, le logiciel espion communique d'une manière particulière, qui laisse des traces numériques. Depuis lors, nous avons rédigé une série de rapports qui ont montré un abus généralisé des logiciels espions de NSO dans le monde.
Cas après cas, on se rend compte que cette technologie, qui est commercialisée auprès des gouvernements pour être utilisée pour les aider à enquêter sur des affaires graves de criminalité ou de terrorisme, n’a pas de barrière de sécurité. Sans surprise, elle est utilisée pour cibler des journalistes, des militants des droits de l'homme, des avocats et toutes sortes de personnes.
Le logiciel espion Pegasus est capable d'intégrer furtivement les téléphones iOS et Android. Plusieurs pays clients ont pu scruter la vie privée et professionnelle de journalistes, politiciens et activistes.
Photo : Getty Images / Chandan Khanna
En ce qui concerne le projet le plus récent, notre rôle a été de fournir une sorte d'examen par les pairs. Nous avons donc été amenés à témoigner de la stratégie adoptée par le laboratoire de sécurité d'Amnistie internationale, que nous avons trouvée très solide. Et nous aidons à aller de l'avant dans l'analyse des cibles potentielles, des dispositifs pour vérifier si elles ont été ciblées ou non.
Votre équipe va travailler là-dessus pour un bon moment encore, n'est-ce pas?
R.D. :
Oh que oui. C'est un élément majeur de ce que nous faisons. Comme vous le savez, NSO n'est pas la seule entreprise sur ce marché. C'est une industrie importante, en croissance et très lucrative. Donc Pegasus est définitivement sur notre radar tout le temps.
Et en raison de la nature de nos enquêtes, vous commencez par peut-être un ou deux cas d'abus. Ça fait toujours boule de neige. Avec les révélations les plus récentes, de nombreuses personnes craignent que leurs appareils aient été piratés. Nul doute que nous trouverons des preuves d'autres cas d'abus que nous pourrons signaler.
Combien d'autres logiciels espions étudiez-vous et de quels pays viennent-ils?
R.D. :
Pour le moment, il y a eu trois sociétés basées en Israël qui sont apparues sur notre radar : Cyberbit, que nous avons découvert, je crois, en 2018 [en décembre 2017, NDLR], ne faisait pas seulement du marketing ou de la fourniture de services à l'Éthiopie, qui l'utilisait pour se livrer à du cyberespionnage mondial, y compris du ciblage d’Éthiopiens au Canada et aux États-Unis.
Mais grâce à une erreur de sécurité opérationnelle que l'entreprise a commise, nous avons pu voir à qui ils tentaient de vendre leur logiciel. Cela comprenait une liste très inquiétante de pays clients qui ont de piètres antécédents en matière de droits de l’homme.
À lire aussi :
Vous avez également Candiru, sur qui nous venons de publier un rapport la semaine dernière. Encore une fois, une histoire très similaire. Il s'agit d'une entreprise qui vend à des clients gouvernementaux qui ont de mauvais antécédents en matière de droits de l'homme. Et puis vous avez le groupe NSO.
En dehors d'Israël, il existe un certain nombre d'autres sociétés. Dans le passé, nous avons fait des rapports sur FinFisher, l'équipe de piratage d'une entreprise allemande et britannique, qui n'existe plus. Elle a été rebaptisée en tant qu'entreprise italienne.
Si vous vous éloignez du marché des logiciels espions pour regarder l'industrie de la surveillance dans son ensemble, je pense qu'il est juste de dire qu'elle a ses racines dans les économies industrialisées occidentales. C'est là que la plupart de ces entreprises ont fait leurs débuts et cela commence à se répandre dans le monde.
Que pouvez-vous dire sur la situation en dehors du monde occidental?
R.D. :
Il existe de nombreuses façons différentes d'accomplir ce que Pegasus et des outils similaires fournissent aux clients gouvernementaux. Nous parlons essentiellement de la façon de pirater un appareil et de le surveiller furtivement.
Certains gouvernements utilisent des capacités internes. Certains gouvernements sous-traitent à des groupes qui travaillent clandestinement. Ce sont peut-être des organisations criminelles le jour, puis qui travaillent pour les agences de sécurité la nuit.
Ce serait l'exemple russe. Ainsi, la Russie a des agences de sécurité, intérieures et extérieures, et elles ont toutes sous elles des clients qui travaillent pour elles, qui font leurs offres de piratage vers l’étranger.
Une situation similaire existe en Chine. Vous avez l'Armée populaire de libération, le ministère de la Sécurité d'État, mais ensuite vous avez tous ces petits groupes qui font du travail contractuel pour l'État. Idem en Syrie, en Iran, etc.
Il faut beaucoup de moyens pour monter une activité comme celle-là. Il y en a probablement plusieurs qui desservent les pays du Groupe des cinq [l'alliance des services de renseignement du Canada, des États-Unis, du Royaume-Uni, de la Nouvelle-Zélande et de l'Australie, NDLR].
Alors, d'où le Canada tire-t-il sa technologie pour faire son piratage à l'étranger? Pas du groupe NSO, pour autant que nous le sachions, mais il y a eu des entreprises qui fourniraient ce type de technologie aux États-Unis, au Canada et au Royaume-Uni. Nous ne les avons tout simplement pas détectées, probablement parce qu'elles vendent exclusivement à ces pays qui, espérons-le, n'en abusent pas.
Pour continuer avec le Canada, pouvez-vous nous parler des personnes au Canada qui ont pu être espionnées de cette façon?
R.D. :
Eh bien, nous connaissons au moins une victime dont le téléphone a été piraté lorsqu'elle était ici en tant que résidente permanente canadienne, et c'est Omar Abdulaziz, qui vit au Québec. En fait, il s'est avéré être un très proche confident du journaliste du Washington Post assassiné Jamal Khashoggi.
Omar Abdulaziz habite au Canada depuis 2013 et s'est attiré les foudres de l'Arabie saoudite, son pays d'origine, à cause de ses critiques du régime sur les médias sociaux.
Photo : CBC News / Anand Ramakrishnan
Nous avons découvert que son téléphone avait été piraté par des opérateurs saoudiens à l'aide du logiciel espion Pegasus.
« Je ne doute pas qu'il en existe beaucoup d'autres [au Canada] que nous n'avons pas encore découverts et dont les appareils ont été piratés par divers opérateurs gouvernementaux utilisant Pegasus. »
Il y a aussi d'autres sociétés dans le passé qui ont ciblé, disons, des activistes rwandais et éthiopiens en utilisant une variété de logiciels espions qui ont fait l'objet de rapports.
Le gouvernement canadien est-il complice de cela? Je ne le crois pas.
Le Canada a ici une occasion unique de jouer un rôle de chef de file dans la résolution des méfaits que nous avons constatés dans cette industrie non réglementée. Il fait partie du Groupe des cinq. Il y a eu des cas notables de Canadiens ciblés. Et bien sûr, le Citizen Lab est basé au Canada. Nous mettons ce problème sur la carte.
Je pense donc que le Canada pourrait diriger une coalition de pays pour imposer une surveillance et une réglementation à cette industrie ou au moins travailler dans ce sens. C'est une cause dont les Canadiens peuvent être fiers et qui correspond à nos valeurs déclarées.
Dans quelle mesure êtes-vous préoccupé par l’éventualité que l’espionnage d’appareils électroniques soit encore plus répandu, même pour les citoyens moyens?
R.D. :
Eh bien, la triste réalité est que les aspects les plus intimes de notre vie personnelle reposent sur la technologie, sur les appareils, sur les réseaux de télécommunications qui sont peu sûrs, mal réglementés et donc sujets aux abus.
Une entreprise très bien dotée comme Google ou Apple peut investir beaucoup d'argent dans la fabrication de produits très sécurisés. Et ils font du très bon travail en général.
Néanmoins, il est toujours possible pour des opérateurs disposant de ressources suffisantes et des fournisseurs de logiciels espions comme le groupe NSO de consacrer beaucoup de ressources à l'identification des vulnérabilités logicielles qu'ils peuvent exploiter. C'est donc un défi difficile pour ces plateformes.
Ces entreprises nous rendent la tâche difficile. Elles devraient faire plus pour permettre aux chercheurs comme ceux du Citizen Lab d'aider plus facilement à identifier les mauvais acteurs qui pourraient exploiter leur technologie.
Elles pourraient nous fournir des capacités techniques qui nous permettraient de faire notre travail plus efficacement.
« Malheureusement, l'ensemble de notre écosystème de communication est comme un château de cartes numérique. C'est totalement précaire. Et c'est une triste réalité du monde dans lequel nous vivons. »
Si vous regardez votre propre iPhone ou votre Android, vous avez tellement d'applications, des millions de lignes de code constamment mises à jour et modifiées et de nouvelles fonctionnalités ajoutées. Et il repose sur un réseau cellulaire lui-même très compliqué, impliquant de nombreuses technologies différentes. Il est donc presque impossible de le sécuriser entièrement.
Les applications [de messagerie notamment, NDLR] ont de nombreuses fonctionnalités. Et quand vous avez une équipe d'ingénieurs bien formés qui ne font rien à part la fouiller pour chercher des trous, ils vont trouver quelque chose qu'ils peuvent exploiter.
