Le 18 juillet, 17 médias internationaux regroupés au sein de «Forbidden Stories», en collaboration avec Amnesty International, ont révélé comment Pegasus, un logiciel commercialisé par la société israélienne NSO Group permettant d’espionner n’importe quel téléphone, a visé partout dans le monde des journalistes, des militants des droits de l’homme, des syndicalistes, des avocats et des personnalités politiques, entre autres, pour le compte de plusieurs États. Une affaire retentissante dont les répercussions se sont fait ressentir jusqu’au Grand-Duché et qui ont fait réagir plusieurs acteurs du secteur des nouvelles technologies.

Dans un communiqué de presse, le ministre luxembourgeois des Affaires étrangères et européennes, Jean Asselborn, a indiqué que le groupe NSO, basé à Tel Aviv en Israël, est présent au Luxembourg, outre les deux entités OSY Technologies SARL et Q Cyber Technologies SARL, également par les sept entités Triangle Holdings SA, Square 2 SARL, Novalpina Capital Partners SARL, Novalpina Capital Group SARL, NorthPole Holdco SARL, NorthPole Bidco SARL et NorthPole Newco SARL. «Aucune demande des entités liées au groupe NSO au Luxembourg pour une licence d'exportation de produits de cyber-surveillance n'a été reçue à ce jour. Toutes les entreprises au Luxembourg ont un devoir de diligence qui les oblige à prendre contact avec les autorités compétentes pour des transactions qui tombent ou pourraient tomber sous les règles en vigueur concernant l'exportation de produits liés à la défense et de biens à double usage et à demander le cas échéant une licence d'exportation. Le transfert intangible de technologies à double usage est également couvert par ces règles», indique le communiqué.

Le ministre Jean Assemborn a dans la foulée transmis une lettre «aux dirigeants des sociétés affiliées à NSO Group pour leur rappeler que le Luxembourg applique à la lettre toutes les obligations en matière de contrôle des exportations et ne tolérerait pas que des opérations de ces entités à partir du Luxembourg contribuent à des violations des droits de l'Homme dans des pays tiers».

[Les biens et technologies à double usage (ou biens à double usage ou encore technologies à double usage ou technologies duales) sont des produits et technologies, y compris les logiciels, initialement conçus pour un usage civil et susceptible d'être détourné par leur utilisateur à des fins militaires, terroristes, ou d'abus des droits de l'Homme.]

AWS ferme les serveurs de NSO Group

Par ailleurs, au-delà des conséquences politiques et diplomatiques des révélations de «Forbidden Stories», certains acteurs économiques du secteur des technologies de l’information et de la communication ont également réagi au scandale Pegasus. Ainsi, le spécialiste du cloud computing Amazon Web Services (AWS) a fermé les serveurs de NSO Group, qui commercialise le logiciel espion. "Lorsque nous avons appris cette activité, nous avons rapidement agi pour fermer l'infrastructure et les comptes concernés", a déclaré un porte-parole du géant américain au média Vice.

Amnesty International et Citizen Lab, un laboratoire de recherche rattaché à l'université de Toronto, ont découvert au fil de leurs travaux que NSO Group utilisait «largement» les services d'Amazon pour infecter les téléphones des victimes, en particulier CloudFront. Il s'agit d'un CDN (content delivery network), c'est-à-dire un ensemble de serveurs permettant de réduire les temps de chargement du contenu des pages web en réduisant la distance physique entre le serveur et l'utilisateur. Pour ses activités, NSO Group s'appuierait également sur l'infrastructure du français OVH ainsi que celle des américains Linode et Digital Ocean, d'après Amnesty International.

Une faille dans WhatsApp utilisée pour infecter les téléphones en 2018

Le directeur général de la plateforme de messagerie WhatsApp, Will Cathcart, a affirmé que le mode opératoire du logiciel espion Pegasus est similaire à celui du piratage de 1400 utilisateurs subi en 2018 et découvert en 2019, rapportent les médias Presse-Citron et L’Usine digitale. Facebook, maison mère de WhatsApp, avait d’ailleurs porté plainte en octobre 2019 contre NSO Group.

Will Cathcart a révélé dans une interview au journal britannique The Guardian de nouveaux détails concernant la cyberattaque de 2018, qui proviendrait de logiciels espions du groupe NSO. «Les rapports correspondent à ce que nous avons vu lors de l’attaque que nous avons vaincue il y a deux ans, ils sont très cohérents avec ce que nous révélions», souligne-t-il. Selon le directeur général de l’application de messagerie, de hauts responsables gouvernementaux du monde entier – y compris des personnes occupant des postes de haute sécurité nationale qui sont des «alliés des États-Unis» – ont été la cible de gouvernements avec des logiciels de NSO lors de l’attaque de 2018.

Le CEO de WhatsApp met en cause la sécurité des smartphones 

Selon Will Cathcart, les marques de smartphones sont responsables de ces failles de sécurité. «Cela devrait être un signal d’alarme pour la sécurité sur internet», a indiqué le directeur général. «Soit les téléphones portables sont sûrs pour tout le monde, soit ils ne le sont pour personne», a-t-il ajouté.