Le scandale des logiciels d’espionnage continue à s’étendre en Europe <!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
Le logiciel Pegasus, du groupe NSO, avait déjà révélé de nombreuses surveillances de personnalités.
Le logiciel Pegasus, du groupe NSO, avait déjà révélé de nombreuses surveillances de personnalités.
©JOEL SAGET / AFP

Surveillance de masse

En Grèce, l’audition d'un journaliste, victime présumée de surveillances illégales de la part des services secrets grecs, ébranle le gouvernement. La nouvelle affaire médiatique d'un phénomène qui s'est banalisé.

Fabrice Epelboin

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio »

En Grèce, l’audition d'un journaliste, victime présumée de surveillances illégales de la part des services secrets grecs, ébranle le gouvernement, que savons-nous à ce stade ?

Fabrice Epelboin : Cette affaire est, hélas, assez banale, ce qui l’est moins, c’est que l’on ait repéré que ce journaliste était sous surveillance. En général, ces technologies de surveillance ciblées sont discrètes et efficaces. De temps en temps, des affaires apparaissent. Le summum à ce jour a été le scandale NSO (Pegasus) révélé par Amnesty, et la révélation de centaines de cibles surveillées par différents gouvernements, parmi lesquels le président Emmanuel Macron, qui ne s’en est pas vraiment offusqué.

Mais le plus souvent, cela passe totalement inaperçu, et les victimes elles-mêmes ne s’en rendent pas compte. Cela peut paraître choquant que cela arrive dans un pays démocratique, mais c’est parfaitement logique. Les législations en place interdisent théoriquement cela, mais il est aisé de contourner les règles, et cela de façon déconcertante, en faisant appel à un tiers par exemple. En tant qu’Etat, en France, je n’ai pas le droit de surveiller un élu ou un avocat, mais l’Etat voisin peut parfaitement le faire et me fournir ces informations contre d’autres informations, que j'utiliserai comme monnaie d’échange. 

La loi n’est pas du tout en mesure de protéger qui que ce soit dans ce domaine. Qui plus est, les services de renseignements agissent souvent en dehors des lois, c’est leur nature, l’important étant de ne pas être pris la main dans le sac.  La législation ne peut rien y faire, à partir du moment où la possibilité technique existe, cela sera fait, or cette possibilité est là depuis des dizaines d’années, et depuis l’arrivée des smartphones, c’est devenu une priorité et cela fait l’objet d'investissements considérables.

À Lire Aussi

Projet Pegasus : comment vivre dans un monde sans vie privée ?

Le premier ministre grec a reconnu “une erreur” des services de renseignement...

C’est une stratégie de gestion de crise comme une autre... Au moins il reconnait que cela vient de ses services, ce qui est une certaine forme d’honnêteté qu’il convient de saluer. 

De toute façon, cela fait longtemps que la possibilité technique de surveiller n’importe qui en quelques clics est une réalité, la quasi-totalité des gouvernements ont recours à ces technologies et les dérives se sont généralisées, aussi bien dans les régimes démocratiques qu’ailleurs, où c’est carrément la norme. Une norme rendue possible par des technologies vendues par les démocraties, il ne faut jamais l’oublier. 

Il est donc bon que cela arrive aux oreilles du grand public, mais dans le monde de la cybersécurité, ces histoires sont très courantes. 

Cela fait donc plus de dix ans que le phénomène dure ?

Il faut bien comprendre qu’à partir du moment où cette surveillance, dans les démocraties tout du moins, sont du ressort des services secrets, alors la seule contrainte qui puisse exister est d’ordre technique. Pour un service de renseignement, quand il y a une possibilité technique, elle est saisie. 

La possibilité technique de rentrer sur un smartphone à l’insu de son propriétaire et de surveiller tout ce qu’il fait repose sur des failles de sécurité qui ont été transformées en outil de surveillance. C’est là qu’on peut envisager une régulation et là seul. Une régulation de ce marché des failles de sécurité. Il existe trois types de marchés, pour faire simple. Le marché blanc, où l’on ne vend les failles de sécurité qu’au propriétaire des technologies sur lesquelles on a trouvé ces failles, connu du grand public sous le terme de “bug bounty”, le marché gris, composé de plusieurs types d’acteurs, qui vendent principalement aux services de renseignement des États, et le marché noir, essentiellement fréquenté par la cybercriminalité. Aujourd'hui, une faille de l’ampleur de celle qui a permis de surveiller ce journaliste grec, qui permet de pénétrer les défenses d’un iPhone vaut dans les 2 millions de dollars, elle se négocie essentiellement sur le marché gris. 

À Lire Aussi

Pegasus et l'incroyable angélisme des médias et des politiques

Réguler ces marchés est compliqué, seuls les américains y réfléchissent, depuis qu’ils commencent  à entrevoir les dérives avec l’affaire Khashoggi et la mise sous surveillance de Jeff Bezos par MBS. En Europe et plus particulièrement en France, c’est encore le far west, les failles de sécurité échappent à toute régulation concernant les technologies duales. 

Le résultat c’est que nous sommes dans une phase de prolifération de l’armement cyber, de très nombreux Etats disposent d'armement de type Pégasus pour surveiller leurs opposants et leurs voisins, mais ce n’est que la partie émergée de l'iceberg, parce que pénétrer un système d'alimentation énergétique, une bourse ou un système de régulation des transport relève du même principe : une faille de sécurité qu’on a acquis sur un marché et qu’on a transformé en arme numérique. Les conséquences de cette prolifération ne sont pas, loin s’en faut, limitées à la surveillance, cela va bien plus loin. On est face à un problème similaire, peut-être même plus grave encore, que la prolifération des armes nucléaires au XXe siècle.

Pegasus reste la référence par son ampleur ?

Pour ceux qui se sont fait attraper oui. Il n’est pas sûr pour autant que ce soit le plus utilisé au monde, mais à ce jour c’est le plus grand scandale en matière de prolifération d’armes cyber, et la liste des victimes donne le tournis et laisse imaginer ce qu’il se passe quand on donne de telles armes à des régimes qui ne sont pas démocratiques, mais qui sont censés être des alliés.

Rappelons que c’est le Maroc, un allié de la France, qui a mis le président Emmanuel Macron sous surveillance, ainsi qu’une myriade de journalistes et de hauts fonctionnaires français. Pourtant, la réaction des autorités françaises a été plus timide encore que lors des révélations de Wikileaks sur la surveillance de différents chefs d’Etat européens, qui date de 2015.

En revanche, il est clair que du côté de la presse, Pegasus a marqué un moment important, et que celle-ci commence à avoir une appétence pour ces sujets. Il faut dire qu’Amnesty a bien mis en scène le scandale Pegasus. Le corps journalistique a réalisé qu’il ferait partie des premières victimes et du danger que cela représentait pour leur profession, et plus généralement pour la démocratie. 

Maintenant qu’un gouvernement européen s’est fait prendre la main dans le sac à utiliser de telles technologies pour surveiller des journalistes qui enquêtent sur des sujets susceptibles de le mettre dans l’embarras, il y a fort à parier que la presse va regarder tout cela avec un œil plus attentif. Il était temps. 

L'Europe est-elle plus ciblée que par le passé ?

Il n’y a rien qui permette de dire qu’elle est plus ciblée qu’auparavant par rapport à d’autres zones, et on imagine que les Russes et les Chinois ne sont pas en reste quand il s’agit d’être placés sur écoute, ce qu’ils nous rendent bien, selon toute vraisemblance. 

Reste qu’on manque de chiffres pour poser un avis qui ne relève pas d’une injonction gratuite servant un discours de propagande. Dans la réalité, tout le monde surveille tout le monde à la hauteur de ses moyens, et ces moyens augmentent constamment. Cela dit, il faut hiérarchiser tout cela dans un contexte politique et géopolitique, écouter un adversaire n’a rien de particulièrement choquant, écouter un allié est déjà plus délicat, écouter, dans une démocratie tout du moins, ses opposants ou la presse, c’est la fin annoncée de la démocratie. 

L’Europe, tout comme les USA, ont cependant les moyens d’imposer l’équivalent des traités de non prolifération qu’on a imaginé au siècle dernier pour les armes nucléaires aux armes cyber en régulant le marché des vulnérabilités informatiques, c’est indispensable à sa survie et à la survie de la démocratie, de toutes façons, car se contenter comme on le fait aujourd’hui de sanctions épisodiques et de mise à l’index des quelques sociétés impliquées dans ce trafic d’arme cyber sur lesquelles la presse a jeté son dévolu ne servira strictement à rien.

Pourquoi cela ?

Parce que ces entreprises sont essentiellement constituées de matière grise, leur capital est humain pour l’essentiel, il est par nature éminemment volatile. Donc à moins d’abattre les employés, ces derniers vont être rapidement réintégrés dans une nouvelle entreprise qui reprendra exactement les mêmes activités, fermer une entreprise pour avoir eu de telles pratiques n’aura aucun effet. 

Les Emirats Arabes Unis fournissent un excellent exemple de telles dynamiques. Après que les USA les aient doté d’un équivalent local de la NSA, l’une de ses composantes, sans doute la plus dangereuse, chargée de trouver ces fameuses failles de sécurité informatique et d’en faire des armes cyber, était restée américaine : CyberPoint. Cela imposait aux Emirats quelques contraintes, à commencer par celle qui consiste à ne pas attaquer de cibles américaines et de ne pas surveiller de citoyens américains.  En 2015, les Emirats Arabes Unis ont décidé de s’affranchir de ces contraintes et de créer un équivalent national : Darkmatter. Ce dernier, richement financé, n’a pas eu grande difficulté à recruter les meilleurs talents au monde, à commencer par les ingénieurs de Cyberpoint, qui se sont retrouvés à travailler aux côtés d’autres petits génies de la cyber. Ils se sont illustrés dans des affaires plus ou moins célèbres, comme le piratage de différents ministères qataris qui a donné lieu à des fuites interessantes mais passées un peu inaperçues, ainsi que la mise sous surveillance qui a mené à l’assassinat de Jamal Khashoggi, qui elle a fait la Une de la presse internationale. 

Le scandale a été tel que la fin de Darkmatter était inévitable, mais dans les faits, les actifs, des ressources humaines pour l’essentiel, ont été réintégrés dans les entités en charge du cyber offensif aux Emirats Arabes Unis, CPX ainsi que Beacon Red, une filiale de Edge, le leader de l’industrie de l’armement émirati. L’impact sur la prolifération des armes cyber est nul. La seule solution consiste à réguler le marché des vulnérabilités informatiques, un chantier auquel s'attaquent mollement les USA et auquel l’Europe et la France préfèrent le far west actuel.

Il n’est bien sûr pas question d’interdire la surveillance quelle qu’elle soit, il existe des cas où celle-ci est indispensable, comme dans la lutte contre le terrorisme ou la grande criminalité, mais actuellement, l’approche législative tape à coté, elle est parfaitement inefficiente et laisse libre cours à une prolifération de l’armement cyber qui ne peut que nous être fatale à terme.

Quelle est la conséquence de cette situation ?

La première conséquence pour vous, qui êtes journaliste, c’est que le secret des sources n’existe plus. Les journalistes qui en ont réellement besoin sont hors-jeu. Très peu d’entre eux ont les compétences techniques nécessaires à la protection de leurs sources, les autres ne font que les livrer à divers services de renseignement. 

Les politiques eux doivent réfléchir à ce qu’on appelle un threat model, c’est à dire comprendre de façon relativement exhaustive ce qui les menace et les différents acteurs susceptibles de les menacer, afin d’adapter leurs usages des technologies, en changer certains et faire avec cette surveillance dans pas mal d’autres cas, et pour pas mal d’informations qui transitent par leurs services et qu’ils imaginent encore aujourd’hui relever d’une quelconque confidentialité. Il suffit d’en être conscient et de s’adapter.

Les militants doivent se former et eux aussi adapter leurs usages, en particulier s’ils font face à un Etat autoritaire ou susceptible de ne pas jouer dans les règles, ou plus exactement dans les principes de la démocratie, car comme on l’a vu, les règles se contournent aisément, comme dans le cas du gouvernement Grec. 

Les organisations militantes qui veulent survivre dans ce monde qui se dessine doivent se transformer en profondeur et former leurs membres, c’est déjà le cas de bon nombre d’entre elles, notamment celles qui opèrent dans des régimes autoritaires, mais il serait naïf de s’imaginer qu’elles sont les seules concernées par ce changement de paradigme de la privacy lié aux évolution de la technologie. RSF a depuis longtemps mis en place des formations pour cela. Amnesty International est également en pointe sur ce sujet. Ils ont des moyens dédiés, un laboratoire centré sur ces questions, et ont été sensibilisés très tôt à ces questions de surveillance. C'est l’une des rares ONG à avoir su s’emparer du sujet et des problématiques que ces technologiques font peser sur les Droits de l’Homme et la démocratie, et à savoir les porter immédiatement. Au final, les ONG sont les mieux préparées à ce qui est en train de s’installer.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !