Espionnage numérique : le gouvernement espagnol accusé d'utiliser le logiciel Pegasus contre le président du Parlement catalan

Le Citizen Lab de l'université de Toronto est formel : Roger Torrent, le président du Parlement de Catalogne, a été espionné grâce au logiciel espion Pegasus, de la société israélienne NSO. Au moins deux autres militants indépendantistes espagnols auraient eu leur smartphone piraté par ce même logiciel en 2019.

C'est cette même technologie qui a permis aux services de renseignement marocains de traquer le journaliste Omar Radi dans les moindres de ses faits et gestes, comme le laboratoire numérique d'Amnesty internatinal l'affirmait en juin dernier.

• A lire sur notre site : Espionnage du journaliste Omar Radi : "La surveillance est tellement intrusive que l'on peut pratiquement porter atteinte à la vie des gens"

Cette nouvelle affaire survient alors que la justice israélienne a rejeté la demande d'Amnesty international et de 30 autres organisations de défense des droits de l'homme, d'interdire à NSO l'exportation de son logiciel Pegasus.

L'Europe n'échapperait donc pas à l'espionnage à des fins politiques, grâce à des technologies duales (technologie civile, mais comportant des possibilités d'application militaire), vendues à des gouvernements, sous couvert de lutte contre le terrorisme. Mais l'Union européenne peut-elle laisser le piratage en ligne se développer par ses propres gouvernements qui sont censés protéger la liberté d'information, politique et la vie privée ?

Lutte contre le terrorisme

Le Citizen Lab de Toronto suit les implantations dans le monde de la technologie Pegasus de NSO Group. Une carte a été publiée par le laboratoire de recherche en 2018, et à l'époque, si aucun contrat n'avait encore été passé en Espagne, ce n'était pas le cas en France, qui était suspectée de posséder au moins 3 "clients" pour Pegasus :

Les services de police et de renseignement utilisent des technologies de surveillance depuis plusieurs années en Europe, au point d'avoir même fait voter des lois pour encadrer leur usage, pour certains. C'est le cas de la France avec ses "boîtes noires du renseignement", des dispositifs installés chez les fournisseurs d'accès Internet interceptant les communications au niveau national. Ces dispositifs de surveillance de masse sont légalisés sous couvert de lutte contre le terrorisme. Seul hic : le même discours est tenu par les dirigeants de NSO Group pour justifier la vente de leur logiciel espion Pegasus à des puissances étrangères.

Mais ce dernier dispositif est bien plus intrusif qu'un système global de collecte des métadonnées (données de connexions, sans le contenu des communications, ndlr) — comme les boîtes noires françaises—, puisqu'il autorise en réalité celui qui l'implante à prendre le contrôle plein et entier d'un smartphone à distance, de manière invisible.

Pegasus est un logiciel malveillant de type cheval de Troie : il permet un piratage informatique donnant accès à toutes les informations confidentielles de la personne ciblée. Jusqu'à écouter grâce au micro ce qu'il se passe autour d'elle ou de filmer à son insu son environnement. Cet outil est assimilé à une arme, puisqu'il peut permettre d'éliminer physiquement des personnes grâce à ses capacités d'espionnage. Comment alors, un gouvernement européen peut-il se justifier de l'utilisation d'une telle technologie à l'encontre de membres de partis politiques ou d'élus de l'opposition ? Et que penser de l'achat de licences d'exploitation de Pegasus par l'Espagne pour l'espionnage ciblé au Mexique, à Malte ou… en France, comme l'affirment d'anciens salariés de NSO ?

Espionnage, vie privée et libertés

Le principal service de renseignement espagnol (Centro nacional de Inteligencia, CNI), a affirmé dans un communiqué "agir dans le strict respect de la loi". Quant au bureau du premier ministre espagnol, il a de son côté expliqué que "le gouvernement n’a aucune preuve que des tentatives d’espionnage des téléphones de militants indépendantistes aient eu lieu." Sauf que les anciens employés de NSO Group qui ont témoigné, dans une enquête du quotidien britannique The Guardian, affirment que "l’Espagne figure bien parmi les clients de NSO Group, et que le pays a acquis des licences lui permettant de déployer Pegasus sur le territoire national, mais aussi en France, au Mexique ou à Malte." Iinterrogé par The Guardian, NSO Group n'a ni confirmé ni infirmé la vente de Pegasus au CNI espagnol, déclarant : "En raison des contraintes de confidentialité, nous ne pouvons pas confirmer ni nier quelles autorités utilisent notre technologie."

C'est la première fois qu'un gouvernement de l'Union européenne est accusé d'utiliser des "outils malveillants d'espionnage numériques" à des fins politiques. La réglementation européenne sur le respect de la vie privée, l'usage des technologies de surveillance ou la collecte des données personnelles est pourtant très claire depuis la mise en œuvre du RGPD et de la circulaire "Police-Justice" : les États ne peuvent utiliser ces technologies à des fins politiques ou d'espionnage ciblé de la population, sauf en cas de décision judiciaire ou de de "péril imminent". L'exemple le plus parlant est celui du piratage du téléphone d'un présumé terroriste dans le cadre d'une enquête judiciaire ou lors d'un événement mettant en péril l'état de droit, la santé publique, etc… Ce que l'avocat spécialiste du droit Internet Olivier Itéanu rappelait après les révélations sur l'espionnage d'Omar Raddi : "Il y a des cas — sous contrôle d’un juge et si c’est proportionné — où il est légal pour les services français d’installer des outils de surveillance sur des smartphones de personnes déclarées suspectes."

Bruxelles pourrait réagir

En plus du président du Parlement catalan, une ancienne députée régionale de l'extrême gauche anticapitaliste, Anna Gabriel — qui a fui l'Espagne en raison de son implication présumée dans l'organisation du référendum illégal catalan — a eu son smartphone infecté par Pegasus via l'application WhatsApp. Son avocat explique qu'elle avait reçu l'année dernière un avis de Citizen Lab indiquant que son téléphone avait été ciblé. Une autre cible, Jordi Domingo, a lui aussi reçu un avis de WhatsApp indiquant que son téléphone avait été ciblé. Domingo est un activiste qui soutient l'indépendance de la Catalogne, mais il a déclaré dans une interview qu'il ne se considérait pas comme une figure clé et qu'il pensait que la véritable cible de la tentative de piratage était peut-être un éminent avocat qui partage son nom et a aidé à rédiger… la Constitution catalane. WhatsApp a aussi confirmé par un courrier à Roger torrent que son téléphone privé avait été visé l’année dernière dans le cadre d’une attaque utilisant des logiciels fabriqués par le groupe israélien NSO.

Cette nouvelle affaire impliquant NSO et son logiciel Pegasus est très embarassante pour l'Europe. Le gouvernement espagnol, s'il a acheté des licences à plusieurs millions de dollars par personne ciblée — comme l'affirment les anciens salariés de NSO —, se verrait accusé  — en plus d'un espionnage politique national allant contre toutes les chartes et règlement européens —,  d'espionner potentiellement un autre État membre, la France. Et même si le Premier ministre espagnol s'est justifié en déclarant que "toute opération impliquant un téléphone portable est toujours menée conformément à l'autorisation judiciaire pertinente", ce serait malgré tout un précédent très fâcheux. Ce que le président de Catalogne résume ainsi : "C’est une question assez sérieuse pour tout le monde ; tout démocrate devrait se sentir très mal à l'aise face à des nouvelles comme celle-ci, surtout pour l'un des gouvernements les plus progressistes de l'histoire de l'Espagne… qui devrait se demander si cette affaire servira à mettre fin à la 'sale guerre' (en référence aux événements liés aux  manifestations et à la répression à l'encontre des indépendantistes en Catalogne, ndlr)".

Pour Mathias Vermeulen, le directeur d'AWO, une nouvelle agence de droits des données basée à Bruxelles, cette affaire d'espionnage numérique politique en Espagne est une "histoire  qui va résonner à Bruxelles, où la confidentialité est au centre de l'agenda politique depuis une décennie." Pour lui, la controverse risque d'être vive, puisque "malgré des institutions européennes et des États membres qui hésitent souvent à s'impliquer dans les luttes nationales pour le pouvoir politique, certains États membres au passé autoritaire - comme l'Allemagne - sont sensibles à toute allégation de surveillance d'opposants politiques, parce que cela ramène à certaines des périodes les plus sombres de l’histoire de l’Europe."