En juin 2019, trois ingénieurs informaticiens israéliens sont arrivés dans un bâtiment du New Jersey utilisé par le FBI. Ils ont déballé des dizaines de serveurs informatiques, les disposant sur de hauts racks dans une pièce isolée. Alors qu’ils installaient l’équipement, les ingénieurs ont passé une série d’appels à leurs patrons à Herzliya, une banlieue de Tel Aviv, au siège du groupe NSO, le fabricant de logiciels espions le plus notoire au monde. Puis, une fois leur équipement en place, ils ont commencé les tests.

Le FBI avait acheté une version de Pegasus, le premier outil d’espionnage de NSO. Pendant près d’une décennie, la société israélienne avait vendu son logiciel de surveillance par abonnement aux forces de l’ordre et aux agences de renseignement du monde entier, promettant qu’elle pouvait faire ce que personne d’autre – pas une entreprise privée, pas même un service de renseignement d’État — pourrait faire : casser de manière cohérente et fiable les communications cryptées de n’importe quel smartphone iPhone ou Android.

Depuis que NSO a introduit Pegasus sur le marché mondial en 2011, il a aidé les autorités mexicaines à capturer Joaquín Guzmán Loera, le baron de la drogue connu sous le nom d’El Chapo. Des enquêteurs européens ont discrètement utilisé Pegasus pour déjouer des complots terroristes, lutter contre le crime organisé et, dans un cas, éliminer un réseau mondial de maltraitance d’enfants, identifiant des dizaines de suspects dans plus de 40 pays. Dans un sens plus large, les produits de NSO semblaient résoudre l’un des plus gros problèmes auxquels sont confrontés les forces de l’ordre et les agences de renseignement au 21e siècle : que les criminels et les terroristes disposaient d’une meilleure technologie pour chiffrer leurs communications que les enquêteurs n’avaient à les déchiffrer. Le monde criminel était devenu sombre alors même qu’il devenait de plus en plus mondial.

Mais au moment où les ingénieurs de l’entreprise ont franchi la porte de l’usine du New Jersey en 2019, les nombreux abus de Pegasus avaient également été bien documentés. Le Mexique a déployé le logiciel non seulement contre les gangsters mais aussi contre les journalistes et les dissidents politiques. Les Émirats arabes unis ont utilisé le logiciel pour pirater le téléphone d’un militant des droits civiques que le gouvernement a jeté en prison. L’Arabie saoudite l’a utilisé contre des militantes des droits des femmes et, selon une plainte déposée par un dissident saoudien, pour espionner les communications avec Jamal Khashoggi, chroniqueur du Washington Post, que des agents saoudiens ont tué et démembré à Istanbul en 2018.

Rien de tout cela n’a empêché de nouveaux clients d’approcher NSO, y compris les États-Unis. Les détails de l’achat et des tests de Pegasus par le FBI n’ont jamais été rendus publics auparavant. De plus, la même année que Khashoggi a été tué, la Central Intelligence Agency a organisé et payé le gouvernement de Djibouti pour acquérir Pegasus afin d’aider l’allié américain à lutter contre le terrorisme, malgré les inquiétudes de longue date concernant les violations des droits de l’homme, y compris la persécution des journalistes et la torture des opposants au gouvernement. La DEA, les services secrets et l’Africa Command de l’armée américaine avaient tous eu des discussions avec NSO. Le FBI passait maintenant à l’étape suivante.

Dans le cadre de leur formation, les employés du FBI ont acheté de nouveaux smartphones dans des magasins locaux et les ont configurés avec des comptes fictifs, en utilisant des cartes SIM d’autres pays – Pegasus a été conçu pour ne pas pouvoir pirater les numéros américains. Ensuite, les ingénieurs de Pegasus, comme ils l’avaient fait lors de précédentes manifestations à travers le monde, ont ouvert leur interface, entré le numéro du téléphone et lancé une attaque.

Cette version de Pegasus était « zéro clic » – contrairement aux logiciels de piratage plus courants, elle n’obligeait pas les utilisateurs à cliquer sur une pièce jointe ou un lien malveillant – de sorte que les Américains surveillant les téléphones ne pouvaient voir aucune preuve d’une violation en cours. Ils ne pouvaient pas voir les ordinateurs Pegasus se connecter à un réseau de serveurs dans le monde entier, pirater le téléphone, puis se reconnecter à l’équipement de l’installation du New Jersey. Ce qu’ils pouvaient voir, quelques minutes plus tard, c’était chaque élément de données stocké sur le téléphone alors qu’il se déroulait sur les grands écrans des ordinateurs Pegasus : chaque e-mail, chaque photo, chaque fil de texte, chaque contact personnel. Ils pouvaient également voir l’emplacement du téléphone et même prendre le contrôle de sa caméra et de son microphone. Les agents du FBI utilisant Pegasus pourraient, en théorie, transformer presque instantanément les téléphones du monde entier en puissants outils de surveillance, partout sauf aux États-Unis.

JForum – Source New York Times