Un collectif de médias coordonné par Forbidden Stories avec l'appui d'Amnesty International a révélé les noms de personnalités espionnées par un logiciel développé par NSO, une entreprise israélienne.
Les révélations du collectif se fondent sur une liste de 50 000 noms présélectionnés par des clients de NSO. "L’authenticité de cette liste a été corroborée par plusieurs sources, notamment par croisement avec les numéros de victimes déjà identifiées, publiquement ou non, de Pegasus. Surtout, les experts en sécurité informatique du Security Lab d’Amnesty International ont analysé des téléphones dont les numéros figurent dans cette liste, qui n’avaient jamais été identifiés comme cibles de Pegasus, et y ont détecté dans une majorité de cas des traces d’attaque ou d’infection" indique le journal Le Monde, membre de ce collectif.
Le logiciel permet d'espionner les téléphones des cibles et de récupérer quasiment l'ensemble des données présentes sur le terminal. Le logiciel utilise des attaques "zero days" inconnues même des fournisseurs des OS du téléphone comme Apple ou Android de Google. Le logiciel avait été déjà repéré sur une attaque des téléphones de journalistes de la Chaîne Al-Jazeera au Qatar en 2019 et des utilisateurs de WhatsApp en Inde avaient été espionnés par ce logiciel.
NSO, une société créée en 2010, ne vend ses produits qu'à des gouvernements ou des agences gouvernementales sous licence du gouvernement israélien et propose logiciels et autres drones. En Europe la Hongrie utilise le logiciel Candiru plus connu sous le nom de DevilsTongue. Au total, la solution a été vendue dans 55 pays. A cette heure NSO nie toute implication, jure de sa bonne foi et envisage de porter plainte en diffamation. La société revendique son rôle contre la criminalité organisée et le terrorisme. 1000 numéros français seraient présents sur la liste dont celui de plusieurs personnalités comme Edwy Plenel ou Eric Zemmour. L'utilisation de Pegasus semble avoir été réalisée hors de tout cadre légal.
Au bilan, Apple et Google ont du pain sur la planche pour combler les différentes failles certainement encore présentes. Le côté spectaculaire de l'affaire ne doit pas occulter les autres logiciels espions comme DevilsTongue utilisé en Inde. Le Figaro indique de plus que "NICE Systems et Verint ont fourni des technologies aux polices secrètes de l'Ouzbékistan et du Kazakhstan, ainsi qu'aux forces de sécurité de Colombie, avait estimé en 2016 l'ONG Privacy International". Plus proche de nous des dirigeants de la société Amesys (Nexa Technologies) avaient été impliqués dans la vente de solutions permettant d'intercepter le trafic Internet à la Lybie et à l'Egypte. La procédure a été étendue à l'Arabie Saoudite. Il est clair que ce type de logiciel fait flores et que de plus en plus de gouvernements souhaitent contrôler ce qui se dit, s'écrit, s'échange au mépris des droits de tout-un-chacun. Dans le domaine les journalistes, les avocats, les défenseurs des droits sont particulièrement ciblés.