NSO Group ne vend pas Pegasus à n'importe qui. L'entreprise a mis en place plusieurs processus de vérification et de prévention des usages abusifs de son logiciel espion. Bien que largement insuffisants, ils existent.

C’est ironique : le « Projet Pegasus » a exposé plus que jamais les usages abusifs du logiciel espion de NSO Group… à peine 20 jours après la publication de son premier rapport de transparence. Le texte de 32 pages détaillait les prétendus efforts de l’entreprise pour empêcher les utilisations abusives de son logiciel espion Pegasus. En principe, il ne doit être utilisé que dans le cadre d’enquêtes légales pour arrêter de grands criminels : terroristes, pédophiles ou encore trafiquants d’humains.

Mais dans les faits, il ne cesse d’être utilisé par des gouvernements pour espionner (ou au moins essayer) des journalistes, des opposants politiques et autres activistes, comme les nombreux articles tirés de la récente enquête le prouvent à nouveau. Pourtant, dans son rapport, NSO Group mettait les « droits de l’Homme » au centre de son discours, avec pas moins de 188 utilisations du terme sur 32 pages. Il s’y décrit comme un porte-étendard de l’industrie de la surveillance, qui œuvrerait pour plus de transparence et un meilleur équilibre entre « les devoirs des États à assurer la sécurité du public » et les « inquiétudes autour des droits de l’Homme et de la vie privée ».

Pour joindre les paroles aux actes, NSO Group détaille dans un jargon administratif les nombreux garde-fous qu’il a mis en place pour se mettre en règle par rapport à plusieurs organisations, dont l’Union européenne. Son nouveau fonctionnement le pousse plus que jamais à faire le tri parmi ses clients, avec un effet immédiat : « À date, NSO a refusé plus de 300 millions de dollars de ventes potentielles à la suite de ses processus de recherche sur les droits de l’Homme. » Ce montant correspond au refus de « 15 % des opportunités de ventes » de l’entreprise entre mai 2020 et avril 2021.

10 contrats de Pegasus terminés pour abus

Régulièrement cité dans de sombres affaires, NSO Group affirme s’ajuster pour « adresser et réduire les risques liés aux droits de l’Homme, associés à [ses] produits ». L’entreprise ne le fait pas que par volonté éthique : elle a besoin de l’autorisation des pays depuis lesquels elle exporte son logiciel espion (Israël, la Bulgarie, et Chypre) pour continuer son activité. Ils peuvent même l’empêcher de vendre Pegasus à certains clients. Mais NSO Group est confiant sur ce dernier point : « Nos normes sont plus élevées que les exigences de contrôle des exportations de la plupart des États souverains, ainsi que celles de l’Union européenne. » En théorie, l’utilisation du logiciel espion doit se faire avec l’autorisation d’une instance indépendante de l’utilisateur, et il ne peut être utilisé contre des citoyens qui respectent la loi. Un principe pas toujours respecté, comme le montre le Projet Pegasus.

L’entreprise précise qu’elle refuse de vendre ses produits à plus de 55 pays qui ne respectent pas les normes minimum. « Les demandes venant de ces pays ne doivent même pas être présentées au comité de pilotage pour évaluation », ajoute-t-elle. Et elle ne se limite pas à cette sélection en amont : elle peut aussi lancer des enquêtes sur ses clients à la suite d’avertissements faits par des lanceurs d’alertes internes ou externes, au travers d’un processus spécifique. « Quand les clients n’ont pas été capables de donner des garanties suffisantes pour continuer à être autorisés à utiliser nos produits, nous avons mis fin à ces relations », lance NSO Group.

NSO, modèle de transparence pour son secteur

Bilan, depuis 2016 : l’entreprise a « débranché du système » 5 clients à la suite d’une enquête pour mauvais usage, et 5 autres pour « des inquiétudes relatives aux droits de l’Homme ». Elle estime à « plus de 100 millions de dollars » l’arrêt de ces contrats. Reste que le chiffre paraît faible, comparé au nombre de scandales. « Notre capacité d’action est aussi limitée par le fait que nous n’avons pas de visibilité sur les utilisations opérationnelles spécifiques de notre produit, à moins qu’un accès soit donné par le client (ce qui est contractuellement requis en cas d’enquête sur un soupçon de mauvais usage) », se justifie NSO. En 2020, le groupe a mené 12 enquêtes pour mauvaise utilisation de Pegasus. Résultat : un contrat annulé, deux cas où l’entreprise a dû rajouter des garde-fous et 7 non-lieux faute « d’informations suffisantes » pour prouver les accusations.

C’est ici que le Projet Pegasus rencontre une limite : la liste obtenue par Forbidden Stories et Amnesty, bien qu’impressionnante par sa longueur et les noms qui y sont cités, n’est « que » une liste de cibles, et non de personnes infectées. Il faut donc encore prouver qu’il y a eu une tentative d’infection, puis prouver que l’attaque rentre dans le cadre des mauvais usages établis par l’entreprise.

Finalement, NSO Group, bien qu’elle laisse la marge à de mauvaises utilisations de son logiciel espion, est loin d’être une entreprise dérégulée. Surtout, elle est — malheureusement — la plus avancée de son secteur dans la mise en place de protections contre les abus.

