L’industrie de la cybersurveillance : quand Riyad déploie l’arsenal du privé

Par Simon Piché-Jacques
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Plus d’un an après la mort du chroniqueur Jamal Khashoggi, cette affaire refait surface. Une enquête menée par l’Organisation des Nations Unies a récemment démontré que le téléphone cellulaire de Jeff Bezos, président-directeur général d’Amazon et propriétaire du Washington Post, aurait été piraté par le régime saoudien.

Cinq mois avant l’assassinat de Jamal Khashoggi, journaliste du Washington Post fermement opposé aux politiques du royaume saoudien, le téléphone cellulaire du milliardaire américain et propriétaire du Washington Post, Jeff Bezos, aurait été piraté. Selon un groupe d’enquêteurs mandaté par M. Bezos, cette opération de piratage a été coordonnée par Mohammed ben Salman, surnommé « MBS », par l’entremise d’une vidéo malveillante envoyée via l’application WhatsApp.

En effet, sans que les affirmations avancées par l’analyse des enquêteurs soient irréfutables, ces derniers ont observé qu’une grande quantité de données appartenant à M. Bezos a été extraite dans les heures suivant l’envoi du fichier par le prince héritier.  

Responsables de l’enquête, les Nations Unies soulignent que l’évènement illustre, avec pertinence, la tendance récurrente des autorités saoudiennes d’avoir recours à la surveillance ciblée des voix dissidentes, qu’elles soient d’origine saoudienne ou non.

« L’information […] reçue suggère une possible implication du prince héritier dans la surveillance de M. Bezos, dans un effort pour influencer, sinon faire taire, la couverture faite par le Washington Post sur l’Arabie saoudite », soutient l’ONU dans une déclaration d’Agnès Callamard, rapporteuse spéciale sur les exécutions extrajudiciaires, et David Kaye, rapporteur spécial sur la liberté d’expression. Les experts ajoutent que ces assertions corroborent l’évaluation, toujours en cours, de la thèse concernant l’implication de MBS dans l’affaire Khashoggi.

En réaction à l’enquête onusienne, le membre de la famille royale saoudienne et actuel ministre des Affaires étrangères, Fayçal ben Farhan Al-Saoud, a nié en bloc les reproches adressés à MBS dans une entrevue donnée à Reuters. « La situation est absurde [et] l’idée que le prince héritier puisse pirater le téléphone de Jeff Bezos est ridicule. », affirmait-il. Au même moment, l’ambassade saoudienne aux États-Unis exigeait une enquête approfondie sur ces allégations.

Le contrôle de la dissidence par une firme privée

Mohammed ben Salman aurait obtenu le contact de Jeff Bezos à l’occasion de sa visite hautement médiatisée aux États-Unis en mars 2018, afin d’y rencontrer plusieurs dirigeants de grandes entreprises. Selon le Financial Times, les conversations que le prince héritier saoudien et le patron d’Amazon entretenaient sur l’application WhatsApp auraient essentiellement porté sur des opportunités d’investissement en Arabie saoudite, impliquant notamment le développement de centres de données du géant de la vente en ligne dans le royaume saoudien.

La récupération de ces informations aurait été possible à partir d’un programme-espion baptisé Pegasus  : un logiciel conçu par NSO Group, tirant profit de failles « zero-day » (des faiblesses de sécurité inconnues des concepteurs d’un logiciel).[1] Toutefois, aucune information concernant la nature et l’utilisation des données subtilisées ne permet de tirer davantage de conclusions.[2]

Or, ce n’est pas la première fois que cette société de surveillance israélienne est sur la sellette. En effet, dans une poursuite déposée par Facebook au mois d’octobre 2019, NSO Group a été accusé d’avoir facilité le piratage d’entités gouvernementales depuis une brèche dans la sécurité de l’application WhatsApp, permettant d’y installer un logiciel de surveillance. Au total, plus de 1400 téléphones de journalistes, avocats, diplomates et dissidents politiques de pays comme le Mexique, les Émirats arabes unis et Bahreïn auraient été piégés. S’en suivent de nombreux cas impliquant le logiciel Pegasus, comme celui touchant des employés d’Amnesty International et celui ciblant Ghanem al-Masarir, un dissident saoudien vivant au Royaume-Uni.

En tout état de cause, et bien que la liste des cas mêlant la firme israélienne soit longue, NSO Group n’est que le vendeur ; ses produits se retrouvent ensuite entre les mains des services de renseignement de pays étrangers, qui peuvent ensuite les utiliser de façon malveillante.

L’industrie de la surveillance : un business en pleine expansion

NSO Group n’est pas le seul à s’adonner à ce genre de pratiques. D’après différentes études menées par le Citizen Lab, R3D, Privacy International, EFF et Amnesty International, des sociétés privées telles que FinFisher, Hacking Team, Cuberbit et Elbit Systems ont un historique de vente semblable. Le dénominateur commun : la surveillance contre les voix politiques dissidentes, les avocats, les journalistes et les défenseurs des droits humains.

Dans un rapport publié par le Citizen Lab en octobre 2018, le centre de recherche torontois spécialisé en technologie de l’information identifiait 45 pays possiblement ciblés par le logiciel Pegasus, depuis une trentaine d’opérateurs différents. De cette trentaine d’opérateurs, environ 10 semblaient impliqués dans la surveillance transfrontalière. Qui plus est, les données du Citizen Lab ont confirmé qu’au moins six pays déployaient ce type d’opérations ciblant la société civile — parmi lesquels Bahreïn, le Kazakhstan, le Mexique, le Maroc, l’Arabie saoudite et les Émirats arabes unis. 

Le marché de la surveillance et du piratage informatique, estimé à environ 12 milliards de dollars, est donc en pleine expansion. Si l’industrie devient florissante, elle est également de plus en plus susceptible de menacer la vie privée. Dans un rapport de l’ONU en 2013, Frank La Rue, spécialiste des droits de l’homme, affirmait ainsi que le manque de régulation dans le domaine de l’accès à l’information représente un terreau fertile pour les violations du droit à la vie privée et à la liberté d’expression. David Kaye[3] ajoutait dans un rapport subséquent que : « Les entreprises qui fabriquent et vendent de telles technologies [ex : Pegasus] jouissent de la même liberté débridée en prospérant dans un marché où elles peuvent réaliser des profits importants sans craindre la responsabilité pénale ou sans se soucier de l’impact de leur technologie sur les droits de l’homme. »[4]

Les dernières révélations concernant Jeff Bezos et Mohammed ben Salman illustrent bien les défis auxquels nos sociétés sont confrontées, alors que l’industrie privée est indéniablement devenue une variable considérable dans le domaine de la cyber(in)sécurité.

[1] Le logiciel israélien baptisé Pegasus est l’un des logiciels de surveillance les plus sophistiqués sur le marché. Permettant l’infiltration dans les appareils iOS (Apple) et Android, Pegasus peut permettre d’accéder au contenu d’un appareil à l’insu de son propriétaire. Il peut ainsi donner accès aux messages textes, encryptés ou non, aux photos et à la géolocalisation. Le logiciel permet également d’activer le microphone et la caméra de l’appareil piraté. Ce type de logiciel est très coûteux et essentiellement réservé aux services de renseignement.

[2] « NSO Group conçoit des logiciels pour des organismes gouvernementaux aux fins de prévention et d’enquête sur le terrorisme et la criminalité permettant ainsi de sauver des milliers de vies dans le monde », écrit la firme israélienne sur sa page Web. [Traduction libre] 

[3] Rapporteur spécial pour l’ONU sur la promotion et la protection des droits à la liberté d’opinion et d’expression.

[4] [Traduction libre]

Version PDF à télécharger

11 février 2020