PARIS : La société israélienne NSO et son logiciel controversé Pegasus, au coeur d'un scandale mondial d'espionnage, incarnent l'émergence d'entreprises spécialisées dans la production d'armes informatiques, une tendance qui inquiète de nombreux experts et organisations internationales.
Pegasus permet "de s'acheter sa propre NSA", ironise, en référence à l'agence américaine de renseigments, Ron Deibert, directeur de Citizen Lab. Ce laboratoire de l'Université de Toronto a joué un rôle clef dans l'exposition au grand jour de Pegasus.
"Vous n'avez pas vos capacités maison? Grâce à des entreprises comme NSO, vous pouvez simplement aller les acheter!", insiste-t-il.
En mars dernier, le centre de réflexion américain Atlantic Council avait déjà tiré la sonnette d'alarme sur le rôle dangereux joué par NSO et d'autres sociétés spécialisées dans la vente d'outils d'intrusion dans les smartphones et autres systèmes informatiques.
Ces firmes "d'intrusion à la demande (AaaS, Access as a service) créent et vendent des capacités cyber offensives à un rythme alarmant", notait le rapport, décrivant en particulier le rôle joué par trois entreprises: NSO, une société russe dont Atlantic Council préférait taire le nom, et DarkMatter, basée aux Emirats Arabes Unis et créée avec le soutien d'experts américains.
Selon le rapport, l'émergence de ces sociétés "a contribué à la compromission d'infrastructures nationales critiques, et permis le développement de nouveaux outils offensifs par des Etats" qui auparavant étaient dans l'incapacité technique de le faire.
Pour les experts de l'Atlantic Council, il est temps que les Etats régulent de façon plus contraignante ces sociétés privées. Ils recommandent notamment de leur imposer des obligations de transparence sur leurs clients et leurs fournisseurs, mais aussi de restreindre leurs capacités à recruter des spécialistes ayant travaillé pour des agences étatiques.
La chancelière allemande Angela Merkel a tenu la même ligne mercredi, en demandant plus de restrictions sur la vente de logiciels type Pegasus. "Il est important" que de tels logiciels "n'arrivent pas entre de mauvaises mains", a-t-elle notamment déclaré.
Interrogé avant la déclaration de Mme Merkel, Ron Deibert ne cachait pas cependant son scepticisme sur la volonté des Etats d'agir réellement pour contrer la prolifération du cyber-espionnage.
"La réalité est que presque tous les gouvernements ont un intérêt à garder cette industrie comme elle est: secrète, non-régulée", a-t-il dit à l'AFP.
Pourtant, estime-t-il, "nous avons besoin d'une législation qui permettrait aux victimes de poursuivre les entreprises et les gouvernements responsables" de leur piratage.
L'affaire Pegasus met également en lumière un problème récurrent: comment déceler et réparer les failles et vulnérabilités dans les systèmes informatiques ?
Ces dernières sont le carburant dont se nourrissent les sociétés comme NSO pour construire leurs cyber-armes.
Un rapport de l'OCDE pointait en février les efforts insuffisants des Etats en la matière.
Il soulignait notamment le rôle parfois néfaste joué par des agences étatiques: les services de renseignement ou de police notamment achètent les informations sur ces vulnérabilités pour leurs propres outils d'espionnage, et entretiennent ainsi un véritable marché de la faille informatique.
L'OCDE préconisait "un effort collectif", suggérant notamment le développement et le partage à grande échelle de bases de données internationales sur les failles repérées.
Faute d'une telle approche coordonnée, certaines sociétés se sont fait une spécialité d'acheter des informations aux hackers qui découvrent des failles, et de les revendre à des services étatiques ou à des sociétés comme NSO.
L'américaine Zerodium, une des stars de ce marché du courtage, n'hésite pas à publier sur Twitter et sur son site internet le type de vulnérabilités qu'elle recherche, et le prix qu'elle est prête à les payer.