Les parlementaires démocrates à Washington ont appelé l’administration Biden à envisager de placer NSO Group sur une liste noire d’exportation et ont déclaré que les récentes révélations d’abus ont renforcé leur conviction que « l’industrie du piratage doit être maîtrisée ».
La déclaration de quatre membres du Congrès faisait suite aux rapports du projet Pegasus, une collaboration de 17 organisations médiatiques dont The Guardian, qui a enquêté sur NSO, la société israélienne qui vend son puissant logiciel de surveillance aux clients gouvernementaux du monde entier.
La fuite au cœur du projet Pegasus contenait des dizaines de milliers de numéros de téléphone d’individus qui auraient été sélectionnés comme candidats à une éventuelle surveillance par les clients de NSO. Les chiffres comprenaient ceux de chefs d’État tels que le président français Emmanuel Macron, de ministres du gouvernement, de diplomates, de militants, de journalistes, de défenseurs des droits humains et d’avocats.
Il comprend certaines personnes dont les téléphones ont montré une infection ou des traces du logiciel espion Pegasus de NSO, selon les examens d’un échantillon d’appareils par le laboratoire de sécurité d’Amnesty International.
Que contiennent les données du projet Pegasus ?
« Les entreprises privées ne devraient pas vendre des outils sophistiqués de cyber-intrusion sur le marché libre, et les États-Unis devraient travailler avec leurs alliés pour réglementer ce commerce », ont déclaré les législateurs. « Les entreprises qui vendent des outils aussi incroyablement sensibles aux dictatures sont les AQ Khans du cybermonde. Elles devraient être sanctionnés et, si nécessaire, fermées. »
Ils ont ajouté que NSO avait fait preuve d’un « mépris arrogant pour les préoccupations que les élus, les activistes des droits de l’homme, les journalistes et les experts en cybersécurité ont soulevées à plusieurs reprises ».
La déclaration représentait une rare réprimande d’une entreprise israélienne par des membres américains du Congrès, qui ont suggéré que NSO Group rejoigne les rangs des entreprises sur liste noire comme Huawei et Hikvision de Chine. Toute décision d’ajouter NSO à ce que l’on appelle la liste des entités, l’obligeant à se conformer aux nouvelles règles d’exportation, serait prise par le département du commerce de l’administration Biden.
La déclaration a été publiée par quatre parlementaires influents : Tom Malinowski du New Jersey, Katie Porter, Anna Eshoo de Californie et Joaquin Castro du Texas.
Ils ont également distingué des gouvernements autoritaires comme l’Arabie saoudite, le Kazakhstan et le Rwanda, qui auraient utilisé des logiciels espions de NSO et « ne font aucune distinction entre le terrorisme et la dissidence pacifique ».
Vendre à ces gouvernements des logiciels espions sur la base de garanties d’utilisation responsable, ont ajouté les législateurs, revenait à « vendre des armes à feu à la mafia et à croire qu’elles ne seront utilisées que pour la pratique du tir ». NSO a déclaré qu’il examine les dossiers des droits de l’homme de ses clients avant de leur vendre des logiciels espions et qu’il n’a aucune visibilité sur la façon dont les clients utilisent ses produits après leur vente.
Lorsque le logiciel espion Pegasus de NSO infecte un téléphone, les clients du gouvernement peuvent accéder aux conversations téléphoniques, aux messages, aux photos et à l’emplacement d’un individu, ainsi que transformer le téléphone en un appareil d’écoute portable en manipulant son enregistreur.
La fuite contient une liste de plus de 50 000 numéros de téléphone qui, croit-on, ont été identifiés comme ceux de personnes d’intérêt par les clients de NSO depuis 2016.
Qu’est-ce que le projet Pegasus?
L’apparition d’un numéro sur la liste divulguée ne signifie pas qu’il a fait l’objet d’une tentative ou d’un piratage réussi. NSO a déclaré que Macron n’était une « cible » d’aucun de ses clients, ce qui signifie que la société nie qu’il y ait eu une tentative ou une infection réussie par Pegasus de son téléphone.
NSO a également déclaré que les données n’avaient « aucune pertinence » pour l’entreprise et a rejeté le rapport du projet Pegasus comme « plein d’hypothèses erronées et de théories non corroborées ». Il a nié que les données divulguées représentaient celles ciblées pour la surveillance par le logiciel Pegasus. NSO a déclaré que le nombre de 50 000 était exagéré et qu’il était trop important pour représenter les individus ciblés par Pegasus.
La société a également déclaré que ses clients gouvernementaux sont contractuellement mandatés pour utiliser Pegasus pour cibler des criminels et des terroristes présumés et a déclaré qu’elle enquêterait sur toute allégation d’abus.
Réponse de l’ONS et des gouvernements
La déclaration des membres américains du Congrès représente néanmoins une menace potentielle pour l’entreprise, y compris d’éventuelles enquêtes du Congrès ou des actions de l’administration Biden.
Se référant aux reportages des médias du projet Pegasus, les législateurs ont appelé les autorités à « enquêter et évaluer le ciblage possible des Américains », y compris les journalistes, les travailleurs humanitaires, les diplomates et autres, par les clients du gouvernement utilisant le logiciel Pegasus de NSO, et ont déclaré que le gouvernement fédéral devait déterminer si la sécurité nationale des États-Unis a pu être compromise par le déploiement du logiciel espion.
NSO a déclaré que ses logiciels espions ne pouvaient pas être utilisés par des clients gouvernementaux étrangers pour cibler des numéros de téléphone basés aux États-Unis, ce qui, selon la société, est « techniquement impossible ».
Dans une déclaration au Guardian, la société a déclaré qu’elle était « entièrement réglementée depuis le premier jour » et qu’elle suivait strictement la loi sur les exportations de défense « en plus de ses processus internes rigoureux de diligence raisonnable en matière de droits de l’homme ».
Il a ajouté : « NSO se félicite des discussions sur les réglementations pour son industrie, y compris celles qui incluent des obligations de respecter les droits de l’homme.
