Quand une entreprise comme NSO Group développe un puissant outil de surveillance, peut-elle s’assurer que ses employés n’en feront pas un usage abusif à des fins personnelles ?

Un employé de l’éditeur de logiciel espion NSO Group s’est laissé tenté par l’usage de la technologie à des fins personnelles. D’après Motherboard, il a utilisé le compte d’un client pour hacker le smartphone d’une femme qui l’intéressait. À la suite de cette intrusion abusive, de l’ordre du harcèlement, l’entreprise a limogé l’individu, et durci sa procédure de recrutement. L’incident remonte à 2016, et l’organisation israélienne a depuis causé de nouveaux scandales.

NSO Group vend son logiciel espion Pegasus à des forces de l’ordre et des agences de renseignement. Si l’on ne connaît pas en détail ses capacités, il a été prouvé qu’il permettait de s’introduire à distance sur des smartphones Android comme sur des iPhone, quand bien même les appareils disposeraient des dernières mises à jour de sécurité.

Image d'erreur

Tous les smartphones sont sensibles au logiciel espion Pegasus. // Source : Numerama

Pour ce faire, Pegasus est régulièrement mis à jour avec des fonctionnalités pour exploiter des failles inconnues par les constructeurs, les fameuses « zero-day ». Dans certaines versions, le piratage ne requiert aucune action de la part de la victime, et tout au plus un clic sur un lien dans les versions les moins performantes. Côté utilisateur, tout est fait pour simplifier l’usage : il suffit le plus souvent d’entrer le numéro de téléphone de la cible. Ce piratage coûte tout de même quelques dizaines de milliers d’euros par tentative et n’est donc pas utilisé sur n’importe qui. Théoriquement.

Pegasus permet de voir les photos et les messages de la victime

Une fois l’accès obtenu, le logiciel peut aspirer les contenus de l’appareil (photo, vidéos, enregistrements) , lire les messages quel que soient les canaux utilisés, encore enregistrer la localisation de l’appareil, ou encore activer à distance le micro et la caméra de l’appareil. Le tout, sans que la victime s’en rende compte. Il s’agit donc d’un parfait outil de cyberespion, qui ouvre la porte à une longue liste d’usages abusifs.

Officiellement utilisé dans les uniques objectifs de lutte antiterroriste et contre les grands criminels, le logiciel a pourtant servi à hacker des opposants à des gouvernements, des défenseurs des droits ou encore des journalistes. Il aurait notamment servi à pister Jamal Khashoggi, un journaliste du Washington Post assassiné en octobre 2018 sur ordre du prince saoudien, d’après le renseignement américain.

L’usage abusif de technologies de surveillance est commun

Le plus souvent l’usage abusif (plus ou moins toléré par l’entreprise elle-même) est effectué par un client. Dans le cas décrit par Motherboard, l’employé a pu tenter de faire porter le chapeau à un client. Alors qu’il était appelé pour une procédure de maintenance chez un client émirati, il s’est connecté à leur logiciel pour effectuer sa requête personnelle. Problème : le client a reçu une alerte et a pu enquêter pour remonter à l’individu. L’utilisateur inopportun a été arrêté par les autorités avant d’être mis à pied par NSO.

Pegasus n’est pas le seul logiciel de surveillance à être utilisé de façon abusive. Récemment, la technologie de reconnaissance faciale de ClearviewAI, supposément réservée aux forces de l’ordre, avait été donnée à des milliardaires, des personnalités et des amis des fondateurs. Dans le même temps, l’entreprise poussait ses potentiels clients — des policiers — à la tester dans le cadre privé. Au moins, NSO Group semble préoccupé lorsque l’usage abusif est effectué par ses propres employés. Ses clients, c’est une autre histoire.

Source : Numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !