ARAB NEWS JP. 
ARAB NEWS PK. 
PARIS: Le logiciel Pegasus de la société israélienne NSO, accusé d'avoir servi à espionner des militants, journalistes et opposants du monde entier, est un système très sophistiqué, qui exploite en permanence de nouvelles vulnérabilités dans les smartphones.
Comment fonctionne le logiciel espion de NSO?
Pegasus, une fois introduit dans le smartphone, exporte les données de celui-ci (courriers électroniques, contenu des messageries comme Whatsapp ou Signal, photos...) vers des sites internet mis en place par NSO ou ses clients, et constamment renouvelés pour échapper à la détection.
C'est "comme si vous mettiez votre téléphone dans les mains de quelqu'un d'autre", souligne Alan Woodward, professeur en cybersécurité à l'université du Surrey.
Ces communications secrètes ne sont pas visibles par l'utilisateur. Et il est extrêmement difficile d'en retrouver la trace sur des smartphones Android, raison pour laquelle l'enquête d'Amnesty International, à l'origine des révélations, se concentre sur les smartphones d'Apple.
L'ONU veut une meilleure réglementation des technologies de surveillance
La Haute-commissaire aux droits de l'homme de l'ONU a réclamé lundi une meilleure "réglementation" du transfert et des technologies de surveillance, à l'instar de Pegasus utilisé pour espionner journalistes et défenseurs des droits.
Les révélations parues dans la presse sur le détournement du logiciel Pegasus, de l'entreprise israélienne NSO Group, "confirment le besoin urgent de mieux réglementer la vente, le transfert et l'utilisation" de ces technologies de surveillance "et d'en assurer un strict contrôle et autorisation".
"Sans cadre règlementaire respectueux des droits de l'homme, il y a tout simplement trop de risques que ces outils soient détournés pour intimider les critiques et réduire au silence ceux qui contestent", a souligné Mme Bachelet.
"Les gouvernements devraient cesser immédiatement d’utiliser ces techniques de surveillance pour violer les droits humains, et doivent prendre des mesures concrètes pour protéger contre ces intrusions dans la vie privée en règlementant la distribution, l’utilisation et l'exportation de ces technologies de surveillance créées par d'autres", a-t-elle ajouté.
Les révélations sur l'usage de Pegasus par plusieurs pays pour espionner journalistes ou défenseurs des droits sont "extrêmement inquiétantes et semblent confirmer les pires craintes sur la potentielle perversion de l'usage de ces technologies de surveillance pour illégalement miner les droits humains des gens", a encore affirmé l’ancienne présidente du Chili.
Ces méthodes poussent aussi à l'autocensure en imposant un climat de peur, et "nous souffrons tous quand les journalistes et les défenseurs des droits, qui jouent un rôle indispensable dans nos sociétés, sont réduits au silence", a martelé la Haute-commissaire, rappelant aux Etats que les mesures de surveillances ne sont "justifiées que des circonstances limitées et clairement définies".
Comment le code malveillant est-il introduit sur le smartphone de la victime?
Dans son histoire, déjà longue et bien documentée, notamment par Amnesty, NSO a utilisé des SMS piégés, des bugs dans Whatsapp, iMessage, Apple Music...
Au début, un geste de l'utilisateur était requis pour déclencher l'injection du code piégé: cliquer sur un lien par exemple.
Mais les dernières attaques n'avaient plus besoin d'un geste actif du propriétaire du smartphone pour réussir.
Comment NSO trouve des failles pour introduire son logiciel?
Au moins autant, sinon plus, que le logiciel espion lui-même, c'est la capacité de NSO à trouver sans relâche de nouvelles portes d'entrées dans les smartphones et à les exploiter qui fait son savoir-faire.
NSO est une grosse entreprise (un millier d'employés), qui a recruté des hackers d'élite pour rechercher elle-même les failles.
Selon les experts, elle a aussi certainement recours au "marché gris", sur lequel des chercheurs en cybersécurité au comportement plus ou moins éthique monnayent les failles qu'ils ont trouvées. Les attaquants - qu'il s'agisse d'Etats, de sociétés privées comme NSO, ou de criminels - payent toujours beaucoup plus que les éditeurs de logiciels pour chaque vulnérabilité découverte.
Les failles les plus prisées sont les "zero days", les failles que personne n'a encore détectées et qui sont donc imparables.
Selon Bastien Bote, directeur technique pour l'Europe du sud de Lookout, éditeur d'un logiciel de protection des smartphones, les "zero days" les plus performants peuvent se monnayer jusqu'à 2 millions de dollars pour iOS (le système d'exploitation des smartphones Apple) et 2,5 millions de dollars pour Android. Pour des applications comme Whatsapp ou iMessage, la valeur peut atteindre 1,5 million de dollars.
Espionnés par le Maroc, des médias français déposent plainte
Le site d'information Mediapart et l'hebdomadaire satirique Le Canard Enchaîné ont annoncé lundi qu'ils allaient déposer des plaintes à Paris, après des informations indiquant que les téléphones de certains de leurs journalistes ont été espionnés par un service marocain, à l'aide du logiciel israélien Pegasus.
"Les numéros des téléphones portables de Lénaïg Bredoux et d'Edwy Plenel (cofondateur du site) figurent parmi les 10 000 que les services secrets du Maroc ont ciblés en utilisant le logiciel espion fourni par la société israélienne NSO", a confirmé Mediapart dans un article publié lundi, après la publication des révélations sur Pegasus par un consortium de médias (dont Le Monde, le Guardian et le Washington Post).
"Pendant plusieurs mois, l’appareil répressif du royaume chérifien a ainsi violé l’intimité privée de deux journalistes, porté atteinte au métier d’informer et à la liberté de la presse, volé et exploité des données personnelles et professionnelles. Aucun autre téléphone d’un membre de l’équipe de Mediapart n’a été espionné", a précisé le journal en ligne.
Dans son article, le média d'investigation explique que le but était d'essayer de "faire taire les journalistes indépendants au Maroc, en cherchant à savoir comment nous enquêtions dans ce domaine".
C'est pourquoi il indique avoir décidé de déposer plainte dès ce lundi au nom de ses deux journalistes, auprès du procureur de la République à Paris, pour que la justice puisse "mener une enquête indépendante sur cet espionnage d'ampleur organisé en France par le Maroc".
Peut-on se protéger contre ces logiciels espion?
Oui, et non.
Certaines précautions simples permettent de limiter les risques, comme tout simplement éteindre son smartphone au moins une fois par jour: ce simple geste peut suffire à contrecarrer le fonctionnement de bon nombre de programmes espions.
Ou encore conserver les logiciels de son smartphone à jour. Dans le cas contraire, souligne M. Woodward, "certaines des anciennes failles qu'Apple a réparées, et que Google a réparées sur Android - elles peuvent toujours être là".
Le Maroc rejette les accusations d'espionnage
Le Maroc a catégoriquement démenti lundi le recours par ses services de sécurité au logiciel israélien Pegasus pour espionner journalistes ou personnalités nationales ou étrangères, comme l'en accusent plusieurs médias internationaux.
Le gouvernement marocain a, dans un communiqué, dénoncé comme "mensongères" les informations selon lesquelles les services de sécurité du royaume "ont infiltré les téléphones de plusieurs personnalités publiques nationales et étrangères et de responsables d'organisations internationales à travers un logiciel informatique".
Selon une enquête publiée dimanche par un consortium de 17 médias internationaux, dont les quotidiens Le Monde, The Guardian et The Washington Post, des militants, journalistes et opposants du monde entier ont été espionnés grâce au logiciel Pegasus élaboré par l'entreprise israélienne NSO Group.
L'enquête se fonde sur une liste obtenue par le réseau basé en France Forbidden Stories et Amnesty International, comptant selon eux 50 000 numéros de téléphone sélectionnés par les clients de NSO depuis 2016 pour une surveillance potentielle.
Le marché offre également des solutions de protection des smartphones, mais celles-ci sont encore peu utilisées car "les gens se sentent plus en confiance sur leur mobile que sur leur PC", regrette Bastien Bote.
Mais le spécialiste reconnaît aussi qu'il n'est pas possible de garantir une protection totale: "Si quelqu'un veut cibler un smartphone bien particulier, et s'en donne les moyens" -- qu'il chiffre à "7 ou 8 chiffres", donc des millions ou des dizaines de millions de dollars --, "il y arrivera."
Pour les personnes gérant des informations très sensibles, il peut être utile d'utiliser un appareil non relié à internet - un vieux téléphone portable, ou un smartphone dont l'accès aux données est coupé.
