En 2019, l’entreprise avait découvert que NSO Group utilisait une faille dans son logiciel pour infecter des téléphones avec Pegasus. Son dirigeant a réagi vivement aux révélations du « Projet Pegasus » dans un entretien au « Guardian ».

Will Cathcart est le PDG de WhatsApp. En 2019, l’entreprise avait découvert que NSO Group utilisait une faille dans son logiciel pour infecter des téléphones avec Pegasus. WhatsApp avait alors colmaté la faille, porté plainte, et prévenu 1 400 victimes de cette attaque. Les observations de l’entreprise à l’époque corroborent celles du « Projet Pegasus ».

Quel regard portez-vous sur les révélations publiées cette semaine concernant Pegasus ?

Eh bien, tout d’abord, je peux dire que ces révélations correspondent à ce que nous avons vu lors de l’attaque que nous avons combattue il y a deux ans. Ces révélations sont parfaitement cohérentes avec ce que nous avons appris. Parmi les 1 400 victimes et victimes potentielles attaquées en 2019 à travers WhatsApp, il y avait aussi des responsables gouvernementaux, y compris à des postes de haute responsabilité, et des alliés des Etats-Unis, en plus de journalistes, de militants des droits de l’homme, et d’autres personnes qui n’avaient aucune raison d’être surveillées d’aucune manière.

Plus généralement, je pense qu’il s’agit aussi d’une alerte sur la sécurité sur Internet. Soit les téléphones sont sécurisés pour tout le monde, soit ils ne le sont pour personne. Soit nous pouvons tous avoir des discussions privées, soit personne ne le peut. Je pense que c’est le bon moment pour que les gouvernements cessent de nous demander d’affaiblir à dessein la sécurité [des messageries], et pour que nous ayons, à la place, une discussion à l’échelle de toute l’industrie sur la meilleure manière de rendre Internet et nos communications plus sûrs. Voilà ce dont nous avons besoin.

Vous évoquez des responsables gouvernementaux qui ont été attaqués. Pouvez-vous donner davantage de détails ? Ces personnes ont-elles été prévenues ?

Nous avons prévenu tout le monde, toutes les personnes qui ont été attaquées ont été notifiées. (…) Nous avons discuté de ces attaques avec certains gouvernements, nous leur avons décrit ce que nous avions découvert, en faisant bien sûr très attention à protéger la vie privée des victimes. Mais il faut se souvenir, et c’est aussi ce que montrent vos révélations, que l’attaque que nous avons déjouée n’a été active que pendant quelques semaines. Et sur cette brève période, nous avons dénombré 1 400 victimes ; sur une période plus longue, sur plusieurs années, le nombre de personnes attaquées est très élevé. Même si nous avons pu bloquer cette attaque par WhatsApp, nous savons que NSO s’en prend aussi directement aux systèmes d’exploitation des mobiles. Il fallait faire quelque chose pour attirer l’attention sur ce problème.

Justement, les analyses menées par le Security Lab d’Amnesty International ont montré que même les toutes dernières versions d’iOS, le logiciel central des iPhone, étaient vulnérables à Pegasus.

De notre point de vue, si vous voulez vraiment protéger la vie privée des utilisateurs de votre service, vous devez bien sûr faire tout ce qui est en votre pouvoir pour le sécuriser techniquement, mais vous devez aussi faire du bruit. Il faut parler de ce que vous voyez, porter plainte, vous assurer que les agresseurs soient tenus pour responsables, partager des informations avec les victimes, les chercheurs en sécurité informatique…

C’est pourquoi nous avons été très contents que Microsoft, Google et l’Internet Association [qui représente de nombreuses entreprises technologiques, mais pas Apple] déposent des motions écrites pour nous soutenir dans notre procès contre NSO. J’espère qu’Apple décidera aussi de suivre cette approche, de faire du bruit et de rejoindre les procédures.

On ne peut pas simplement se dire que ces problèmes ne concernent qu’une infime minorité de nos utilisateurs. Ce sont des sujets qui touchent des journalistes, des défenseurs des droits de l’homme dans le monde entier, et donc ça nous affecte tous. Toute faille de sécurité est un problème pour tout le monde. C’est pourquoi toute l’industrie doit s’allier pour mettre fin aux logiciels espions et changer la manière dont les gouvernements réfléchissent à ces sujets.

Où en est votre procès contre NSO ?

Je ne peux pas rentrer dans les détails, mais globalement, NSO a affirmé lors de la dernière audience aux Etats-Unis qu’ils pouvaient être immunisés contre les poursuites parce que leurs clients sont des gouvernements. Nous ne sommes pas d’accord, et le tribunal a tranché en notre faveur. NSO a fait appel de cette décision, et nous attendons la décision de la cour d’appel.

De nombreux gouvernements, et notamment celui du Royaume-Uni, vous demandent d’introduire des failles de sécurité dans le chiffrement…

Oui, plusieurs gouvernements appellent publiquement à ce qu’on affaiblisse le chiffrement des communications, et nous pensons que c’est une erreur. Nous l’avons dit et répété, et nous continuerons de le faire : si l’on affaiblit la sécurité des communications, il y aura des abus. [Pegasus] permet d’accéder à des téléphones un par un ; imaginez ce qui se passerait si un attaquant pouvait, simultanément, attaquer tous les téléphones en même temps. Ce serait une catastrophe. Ce qu’il faudrait, c’est au contraire inverser totalement ce débat : la question la plus importante, c’est de savoir ce que nous pouvons faire pour améliorer la sécurité et la confidentialité des discussions. C’est cela que les gouvernements devraient nous demander à nous, les entreprises privées.

Mais y a-t-il une solution ? Est-il possible d’imaginer un téléphone qui serait totalement sûr ?

Ce n’est pas parce que les choses ne peuvent jamais être parfaites qu’il ne faut pas en parler. Nous devrions être capables de rendre les téléphones et leurs logiciels plus sûrs – tout ce qui peut compliquer la tâche des attaquants est utile. Si, dans votre maison, vous installez une serrure renforcée et un système d’alarme, et que la police patrouille dans votre quartier, vous compliquez grandement la tâche d’un cambrioleur. Sur un téléphone, et en informatique, c’est un peu la même chose : la sécurité, c’est une série de couches de protection. Mais il faut aussi, bien sûr, que les coupables soient poursuivis et tenus pour responsables – sinon, vous donnez l’impression que ce qu’ils ont fait n’était pas un problème.

L’administration Biden a mis en place une doctrine, en partie inspirée par l’assassinat du journaliste Jamal Khashoggi, qui prévoit des sanctions pour les gouvernements qui harcèlent ou surveillent illégalement des opposants. Nos révélations montrent que c’est le cas dans de nombreux pays, comme le Rwanda…

Oui, et c’est le rôle de tous les gouvernements d’aider à mettre les mauvais acteurs face à leurs responsabilités. NSO dit que de nombreux pays ont acheté son logiciel. Cela signifie que de nombreux pays, même ceux qui contrôlent plus attentivement leur utilisation de Pegasus, financent cet outil. Devraient-ils arrêter ? Devraient-ils poser des questions sur les autres clients ?

NSO affirme que son logiciel ne marche pas sur les téléphones américains. Est-ce que cela est cohérent avec ce que vous avez constaté en 2019 ?

NSO dit beaucoup de choses (…). Et un code informatique peut facilement être changé. C’est un peu comme de dire que vous construisez des missiles, mais que vous promettez qu’ils n’exploseront que dans certaines parties du monde. Les missiles ne marchent pas comme ça. Les failles de sécurité exploitées par NSO existent sur les téléphones américains comme elles existent partout ailleurs dans le monde.


Propos recueillis par Stephanie Kirchgaessner« The Guardian »