Le « projet Pegasus », dévoilé par Forbidden Stories, Amnesty International et 17 médias internationaux met au jour un nouveau scandale de surveillance mondiale. Éclairage d’Agnès Callamard, secrétaire générale d’Amnesty International.

NSO Group, la compagnie israélienne qui commercialise le logiciel espion Pegasus, le présente comme un outil utilisé pour la lutte contre le terrorisme et la criminalité. Pourtant, les révélations faites depuis le 18 juillet par le consortium Forbidden Stories et le Security Lab d’Amnesty International, en partenariat avec 17 médias internationaux, montrent une tout autre réalité, où tout le monde ne semble pas avoir la même définition des mots « terroriste » et « criminel ».

Du Maroc à l’Inde, en passant par le Mexique et la Hongrie, 11 pays utilisent Pegasus depuis plusieurs années, pour surveiller massivement des activistes, des journalistes – dont Mediapart, visé par le Maroc, des avocats et d’autres membres de la société civile. Au total, 50 000 numéros de téléphone, répartis dans 50 pays, ont été ciblés par ce logiciel espion. Dans le lot figurent aussi des membres du gouvernement français. 

Le logiciel espion permet de contrôler un smartphone à distance sans la moindre manipulation de l’utilisateur. Pour accéder au téléphone ciblé, nul besoin de cliquer sur un lien ou d’ouvrir un document, chose qui rend difficile toute suspicion d’infiltration. Une fois introduit, Pegasus permet un accès total au téléphone, des échanges de messages à l’activation à distance du microphone et de la caméra.

Une atteinte à la vie privée et aux libertés individuelles aux conséquences parfois tragiques. Les révélations du « Projet Pegasus » mettent, par exemple, en lumière, de potentiels liens entre l’utilisation du logiciel espion par l’Arabie saoudite et l’assassinat du journaliste Jamal Khashoggi en Turquie en 2018. Les téléphones de ses proches étaient infectés par le logiciel. Le journaliste mexicain Cecilio Pineda était lui aussi ciblé par Pegasus quelques jours avant son assassinat. 

Cette affaire n’a donc rien d’une simple écoute téléphonique ou d’un petit piratage de messagerie. Entretien avec Agnès Callamard, secrétaire générale d’Amnesty International et ancienne rapporteuse spéciale de l’Organisation des Nations unies. Elle a notamment enquêté sur l’assassinat du journaliste saoudien Jamal Khashoggi et a elle-même reçu des menaces des autorités d’Arabie saoudite. 

Huit ans après les révélations d’Edward Snowden sur les agissements de la NSA, le projet Pegasus dévoile un nouveau scandale mondial de surveillance. Onze États ont eu recours à ce logiciel israélien commercialisé par le groupe NSO, pour espionner une liste de 50 000 numéros de téléphone à travers le monde. Parmi les cibles, beaucoup d’activistes, de journalistes, de militants et même des figures politiques. Quelle est la réaction d’Amnesty face à ces révélations ?

Agnès Callamard : Bien sûr, on aurait préféré que ce scandale n’existe pas. Mais vu que cela fait plusieurs années qu’Amnesty et d’autres organisations dénoncent les agissements de NSO et d’autres acteurs de l’industrie de surveillance, pour nous, un tel scandale, d’une échelle planétaire, est le bienvenu. Parce qu’il permet d’attirer l’attention sur ce problème et démontre vraiment l’étendue des dommages, des violations et des risques auxquels nous faisons face. Mais aussi à quel point personne n’est à l’abri de cette surveillance. 

Ce qui est aussi intéressant dans ces révélations, c’est que les personnes touchées ont des profils très variés. On a au moins 180 journalistes, des défenseurs, des activistes, des politiciens eux-mêmes, des membres du gouvernement, dont dix premiers ministres, deux présidents et un roi, qui ont été mis sous surveillance. Et ça s’étend aussi aux proches de ces cibles, aux membres de leurs familles.

La surveillance est une violation du droit à la vie privée. Mais dans le cas de Pegasus, ça ne s’arrête pas là. Vu les profils des personnes espionnées, il s’agit aussi de violations de la liberté d’expression, de la liberté de la presse, de la liberté d’informer et de violation potentielle de l’État de droit. Finalement, le projet Pegasus trahit une violation des principes démocratiques. Parce que quand des membres de l’opposition sont placés sous surveillance, quand même, ça questionne.

Et comme si tout cela ne suffisait pas, nous avons aussi potentiellement une menace à la paix. Lorsqu’un État, n’importe lequel, surveille un individu aussi haut placé qu’un premier ministre d’un autre État, on entre quand même dans des dynamiques assez agressives. Ce logiciel espion est une menace à grande échelle. 

Le Security Lab d’Amnesty International a joué un rôle essentiel dans cette enquête. Pouvez-vous nous en dire plus sur la manière dont vous avez travaillé ?

Mes collègues qui travaillent depuis plusieurs années sur les logiciels espions ont développé une méthodologie et une connaissance approfondies. Ça leur a permis de faire des études poussées sur des téléphones et de déterminer si l’appareil a été compromis ou pas. Ils savent maintenant quelles sont les preuves.

Le rôle de mes collègues a été, dans la mesure du possible, et en partenariat avec les journalistes du consortium, de se mettre en contact avec les cibles potentielles dont les numéros étaient sur cette liste de 50 000 numéros, et d’examiner leurs téléphones. Ensuite, l’équipe est capable de déterminer les moments du piratage d’une manière assez précise. 

La société NSO affirme vendre son logiciel uniquement dans le cadre de la lutte contre le terrorisme et le crime organisé. Que révèle un nombre aussi élevé de journalistes espionnés par ce même logiciel ? 

Ce que ça met en valeur, c’est le fonctionnement du pouvoir et ses dérives. Le fait que des individus qui ont accès à cette arme peuvent la mettre en œuvre à tout moment trahit aussi l’absence de régulation de ces technologies de surveillance. 

Des centaines de personnes peuvent utiliser cette arme sans qu’il y ait eu un accord de principe d’un juge, ou d’une autre institution qui scrute. Par exemple, quand des policiers veulent mettre un individu sous surveillance, il y a un processus à suivre, ça ne se fait pas du jour au lendemain. Là, ce que l’on découvre, c’est qu’en termes de législation, dans la plupart des pays, y compris les pays démocratiques, la surveillance est très mal encadrée. Il y a encore beaucoup à faire dans ce domaine. 

Ce sont des logiciels très mal encadrés. Très mal connus par le grand public mais aussi très mal connus par les parlementaires. J’espère au moins que ce scandale apportera une meilleure compréhension de la façon dont ils fonctionnent et démontrera que personne n’est à l’abri.

Selon vous, cette surveillance massive, dont les cibles sont aussi issues de la société civile, représente-t-elle aujourd’hui l’une des plus grandes menaces à travers le monde en matière d’atteinte aux libertés ? 

La surveillance est une arme, et pas seulement pour les États répressifs. Dans la mesure où elle est utilisée pour déterminer les faits et gestes des journalistes et que, dans certains cas, les journalistes peuvent être assassinés, la surveillance n’est pas une chose anodine. En elle-même, c’est une violation de la vie privée, mais elle préfigure d’autres violations, y compris potentiellement celle d’ôter la vie. 

J’ai beaucoup travaillé sur l’assassinat de Khashoggi. Lui, personnellement, on n’a jamais été en mesure de voir son téléphone, resté entre les mains des autorités turques, qui n’ont rien dit à ce sujet. En revanche, on sait que des proches de Jamal ont fait l’objet de surveillance et donc, ses communications à lui avec ces gens-là ont fait l’objet de surveillance, et il a été assassiné. On n’a pas les preuves de cause à effet entre la surveillance et le meurtre, mais il est possible tout de même de faire des liens. Les écoutes font partie de l’environnement de ce meurtre et en sont un aspect très important.

On sait aussi que le journaliste mexicain, Cecilio Pineda, était ciblé quelques semaines seulement avant son assassinat. Donc oui, pour moi, c’est une arme et une grande menace qui peut avoir de lourdes conséquences, dans la mesure où elle est utilisée contre la dignité, les droits humains, la démocratie. Elle peut être vraiment dangereuse. 

Parmi les 11 pays clients de NSO, avez-vous été surprise par la présence de certains États ?  

L’Inde, le Mexique et la Hongrie sont des États nominalement démocratiques. Mais en même temps, cela fait des années que l’on dénonce les débordements. Donc ce n’était pas énormément surprenant. La surveillance des journalistes en Hongrie est une source d’inquiétude qui s’ajoute à toutes les autres craintes que l’on a par rapport à ce régime et au fait que l’Union européenne n’a toujours pas agi pour régler cela. Le Rwanda est pays où la liberté de parole est extrêmement encadrée et où de nombreux activistes ont été réprimés. C’est un gouvernement qui met beaucoup l’accent sur le contrôle. Et dans le cas de l’Arabie saoudite, j’ai moi-même fait l’objet de menaces de la part des autorités saoudiennes quand j’enquêtais sur le meurtre de Jamal Khashoggi, même si mon téléphone n’a pas été ciblé. Voir que l’Arabie saoudite figurait parmi les clients de NSO ne m’a absolument pas surprise. C’est plutôt l’inverse qui m’aurait étonnée.

Le Maroc a, dans ses cibles, 10 000 numéros de téléphone à lui seul, dont ceux de journalistes et d’activistes. Comment est la relation entre Amnesty International, qui défend les droits humains, et le royaume chérifien ? 

Le nombre de personnes ciblées par le Maroc est édifiant. Mais c’est un peu difficile d’en parler parce que nos collègues au Maroc pourraient avoir des soucis. Ce que je peux dire, c’est qu’il y a quelques années déjà, Amnesty avait dénoncé le piratage du journaliste Omar Radi, qui a d’ailleurs été puni de six ans d’emprisonnement cette semaine. On en avait fait part à NSO, qui n’avait pas accordé d’attention à nos allégations puisque, de toute évidence, le Maroc fait partie de ses clients.

Qu’est-ce qui pourrait mettre fin à ces dérives de la part de ces États répressifs ? 

Ce qu’il faudrait, c’est un moratoire. Parce que cette industrie est incontrôlable et qu’on n’a pas encore les outils pour l’encadrer. La première chose à faire est donc d’interdire qu’elle soit exportée. Je veux bien reconnaître que cela risque de poser problème dans la lutte contre la criminalité, mais je pense que c’est un problème qui peut être pris en charge rapidement. Si on développe les méthodes qui permettent de s’assurer que la vente et l’exportation de ces outils deviennent soumises à des critères suffisamment forts, avec une surveillance juridique de la part des États qui exportent, le souci peut se régler.

On devrait aussi mettre en place des mécanismes qui permettent de démontrer que le logiciel, s’il est acquis, c’est pour la surveillance des criminels et des actes terroristes, et non pas à d’autres fins. Il y a urgence. Il faut s’équiper au plus vite de ces outils qui permettent de surveiller de près la mise en œuvre de ces logiciels. Je ne dis pas que c’est super facile. Mais on a quand même, au niveau de la communauté internationale, des règles pour la vente d’armes, pour les opérations de groupes privés de sécurité… Ce n’est pas la première fois qu’on doit faire face à quelque chose de ce type. On ne s’est juste pas donné les moyens d’encadrer cette industrie de la surveillance. 

Les révélations internationales sur l’usage par 11 États du logiciel israélien Pegasus n’ont pas suscité de vives condamnations de la classe politique française. Bien que le pays soit directement visé, peu de voix se sont élevées pour réclamer des sanctions à l’égard des États mis en cause. Vous attendiez-vous à cela ? 

La réponse du gouvernement français a été assez timide. D’un autre côté, ce n’est pas tellement en son honneur. Étant donné qu’ils ont été piratés de cette façon, ils ne vont pas s’en vanter. Par contre, j’espère qu’ils vont être prêts à prendre les initiatives demandées à l’échelle internationale pour que cette industrie fasse l’objet de contraintes, et que ce ne soit plus le Far West où rien n’est interdit. 

Concernant NSO, quelles réponses attendez-vous ?

Les onze clients sont des pays qui ont violé les termes d’exploitation de ce logiciel espion. NSO devrait donc mettre fin immédiatement à l’utilisation. Elle a les moyens d’arrêter les services qu’elle apporte à ses clients, elle devrait le faire de manière immédiate.

NSO devrait aussi indemniser les victimes car cette société est complice des agissements des États. Elle ne pouvait pas nier et dire qu’elle ne savait pas. 

Par ailleurs, de toute évidence, le gouvernement israélien a échoué car c’est lui qui a accordé une licence d’exportation pour la technologie de cybersurveillance au groupe NSO. De toute évidence, il a manqué à ses obligations parce que les risques potentiels liés à l’utilisation de ce logiciel étaient importants. Il est bizarre qu’ils n’aient pas réalisé ça avant. Le gouvernement israélien se doit de revoir en profondeur son système de licences d’importation à cette industrie.