• « On voyait bien toutes les dérives possibles » de Pegasus : un ex-conseiller NSO témoigne
    https://www.sudouest.fr/international/on-voyait-bien-toutes-les-derives-possibles-de-pegasus-un-ex-conseiller-nso

    #Gérard_Araud, ancien ambassadeur de France, a été consultant auprès de NSO Group en 2019. Aujourd’hui retraité, il témoigne de cette entreprise aux allures de « start-up technologique » qui a conçu le logiciel espion Pegasus

    Peu de personnes extérieures ont accès au monde ultra-secret de NSO Group, le fabricant israélien du logiciel espion Pegasus, au cœur d’un scandale mondial de piratage téléphonique. Gérard Araud, ancien ambassadeur de France, est l’une d’entre elles.

    Le diplomate récemment retraité a pris un poste de consultant auprès de NSO en 2019, pour conseiller sur les questions liées aux droits humains, peu après avoir quitté son poste d’ambassadeur de France à Washington pendant les années tumultueuses de la présidence de Donald Trump. « J’y suis allé parce que ça m’intéressait. C’était un monde nouveau (pour moi) », a expliqué par téléphone Gérard Araud, qui a également été ambassadeur de France en Israël au début des années 2000.

    « Ils votent tous à gauche naturellement… »
    Dans les bureaux de NSO, il découvre l’environnement typique d’une start-up technologique : des équipes de programmeurs « tous âgés de 25 à 30 ans, en tongs, en t-shirts noirs, tous titulaires d’un doctorat en computer science (sciences informatiques). Ils votent tous à gauche naturellement… »

    Sa mission d’un an à partir de septembre 2019, en compagnie de deux autres consultants externes américains, consistait à examiner comment l’entreprise pouvait améliorer son bilan en matière de droits humains après une série de faits divers négatifs. Plus tôt cette année-là, la technologie du groupe avait été liée à l’espionnage ou à la tentative d’espionnage du journaliste saoudien Jamal Khashoggi, assassiné par les forces de sécurité saoudiennes, ce que NSO a démenti.

    L’entreprise a été rachetée en 2019 par un groupe de capital-investissement basé à Londres, Novalpina, qui a engagé Gérard Araud pour qu’il émette des recommandations visant à rendre les procédures de sécurité « plus rigoureuses et un peu plus systématiques », selon lui.

    « Comme une vente d’armes »
    Depuis lundi, un consortium de médias, dont Le Monde et Franceinfo, a révélé des failles présumées dans ces procédures. Les organisations Forbidden Stories et Amnesty International ont obtenu une liste de 50 000 numéros de téléphone, sélectionnés par les clients de NSO depuis 2016 pour être potentiellement surveillés, et l’ont partagée avec ce consortium de 17 médias. NSO Group a nié l’existence d’une telle liste, qui comprendraient militants des droits de l’homme, journalistes, politiciens d’opposition et même dirigeants mondiaux.

    Pegasus est considéré comme l’un des plus puissants outils de piratage de téléphones portables disponibles, permettant aux clients de lire secrètement tous les messages d’une cible, de suivre sa localisation et même d’utiliser sa caméra et son microphone à distance.

    Son exportation est réglementée « comme une vente d’armes », explique Gérard Araud. NSO doit donc demander l’approbation du gouvernement israélien pour le vendre, et les États clients signer un long contrat commercial stipulant comment le produit sera utilisé. Ils sont censés ne déployer Pegasus que pour lutter contre le crime organisé ou le terrorisme -argument commercial de la société- mais « on voyait bien toutes les dérives possibles d’ailleurs dont l’entreprise n’était pas toujours responsable », souligne l’ancien diplomate.

    Backdoor ?
    L’entreprise disposait-elle d’un moyen de vérifier le déploiement réel de son programme que certains souhaitent voir interdit ? Gérard Araud ne le croit pas. Pour lui, le seul levier dont dispose l’entreprise après avoir vendu Pegasus est de cesser de proposer des mises à jour logicielles aux clients s’il est prouvé qu’ils violent les termes du contrat. « C’est une petite entreprise privée, il doit y avoir quelques dizaines d’employés. Je ne pense pas qu’il puisse y avoir de suivi. »

    Dans une entreprise qui pratique « une forme de secret extrême », il dit avoir néanmoins acquis la conviction que NSO Group travaillait avec les services secrets israéliens du Mossad, et peut-être avec la CIA. Selon lui, trois Américains siégeant au conseil consultatif du groupe avaient des liens avec l’agence de renseignement américaine, et la société a déclaré que sa technologie ne pouvait pas être utilisée pour cibler des numéros basés aux États-Unis.

    « Il y avait ce point d’interrogation de la présence du Mossad ou de la CIA. Je pensais que c’était les deux, mais je n’avais aucune preuve, aucune preuve. Mais je pense que le Mossad et le CIA sont derrière, avec ce que l’on appelle ‘un backdoor’ » -terme signifiant que les services de sécurité seraient en mesure de surveiller le déploiement de Pegasus et éventuellement les renseignements recueillis en conséquence. Israël a nié avoir accès aux informations de Pegasus.