Un employé d'une société de sécurité informatique a piraté le smartphone de son crush

Un employé de la société de sécurité informatique israélienne NSO Group a détourné le logiciel espion de son entreprise pour servir ses intérêts amoureux. « Il n'y a aucun moyen de prévenir ce genre d’incident. Le personnel technique aura toujours accès à ces produits », déclare un ancien employé. Un autre ancien employé nous a confirmé le récit du premier, et une troisième source proche de l’enquête nous a affirmé qu'un employé de NSO avait bel et bien abusé du système de la société. Les sources ont tenu à garder leur anonymat pour des raisons évidentes.

NSO fournit à plusieurs gouvernements un logiciel appelé Pegasus qui permet d’accéder à distance à n'importe quel smartphone Apple ou Android en obligeant la cible à cliquer sur un lien malveillant, voire à ne cliquer sur rien du tout. Pegasus exploite ce que l'on appelle une vulnérabilité « zero-day », à savoir une faille de sécurité n’ayant pas encore été signalée.

Une fois l’appareil infecté, il est possible de localiser la cible, de lire ses messages, ses mails, ses publications sur les réseaux sociaux ; de récupérer ses photos et ses vidéos ou encore d’activer l'appareil photo et le microphone. Le logiciel a déjà été installé dans de nombreux pays, dont l’Arabie saoudite, les Émirats arabes unis et le Mexique. NSO affirme que l’outil est exclusivement destiné à lutter contre le terrorisme ou les crimes graves, mais de nombreux enquêteurs et journalistes ont révélé des cas où il a servi à espionner des dissidents et des opposants politiques. Selon David Kaye, rapporteur spécial des Nations unies sur la promotion et la protection du droit à la liberté d'opinion et d'expression, Pegasus laisse derrière lui un « héritage du mal ».

Ce dernier incident est cependant différent. Cette fois, plutôt qu'un organisme d'application de la loi, une agence de renseignement ou un gouvernement, c’est un employé de l’entreprise elle-même qui a détourné le logiciel à des fins personnelles. C’était en 2016. L’employé en question se trouvait aux Émirats arabes unis pour une opération de maintenance et en aurait profité pour se connecter au système informatique du client – ce dernier a reçu une alerte disant que quelqu’un s’était connecté à Pegasus en dehors des horaires de travail – et pirater un appareil, selon une source proche de l’enquête. Il a été repéré rapidement et licencié dans l’avion de retour. « Le client était furieux », se souvient un ancien employé. « Il a utilisé le système quand tout le monde avait le dos tourné », ajoute un autre ancien employé. L’interface client de Pegasus est très simple d’utilisation : dans certains cas, il suffit de saisir le numéro de téléphone de la cible pour lancer le processus d’accès à son appareil. Et selon les sources, la cible était une femme que l'employé connaissait personnellement.

Plus tard, après que des rumeurs d'abus ont circulé au sein de NSO, la direction a organisé une réunion pour exposer les faits aux employés et s'assurer qu’un tel incident ne se reproduirait plus. « Ils sont très stricts en ce qui concerne les violations du système », nous assure l'un des anciens employés interrogés. Au moment de l’incident, en 2016, NSO était majoritairement détenue par la société d’investissement américaine Francisco Partners. Les fondateurs de NSO ont depuis racheté leurs parts en février 2019.

Aucune source n’a précisé de quelle installation de NSO aux EAU il s’agissait. Il existe trois agences de renseignement dans le pays : l’UAE State Security, la Signals Intelligence Agency et les services de renseignement de l’armée. Ni NSO ni l'ambassade des EAU à Washington n'ont souhaité répondre à nos questions concernant l'incident.

Bien que sa réputation ne soit plus à faire dans le monde de la sécurité depuis longtemps, NSO s’est fait connaître du grand public après avoir vendu ses solutions de piratage à l'Arabie Saoudite, qui s’en est servi pour s’introduire dans le téléphone du journaliste du Washington Post Jamal Khashoggi, assassiné en 2018 à Istanbul. Selon la CIA, son meurtre a été commandité par le prince héritier du pays.

Eva Galperin est directrice de la cybersécurité à l’Electronic Frontier Foundation, une ONG de protection des libertés sur Internet. Elle a mené des recherches sur les campagnes de piratage du gouvernement, mais aussi sur les cas de personnes jalouses utilisant des logiciels malveillants pour espionner leur partenaire. « C'est une bonne chose que NSO s’engage à prévenir l'utilisation non autorisée de ses produits de surveillance. Et par "non autorisée", j’entends "non achetée". J’ai l’impression que la société ne fait pas les mêmes efforts lorsque ses produits sont utilisés pour violer les droits de l'homme », dit-elle.

« Il faut se demander qui d'autre a pu en être victime, s’interroge John Scott Railton, chercheur au Citizen Lab de l'université de Toronto. Cela montre aussi que NSO, comme toute autre entreprise, a des employés non professionnels. Il est terrifiant de penser que ce type de personnes a accès aux outils de piratage de l'Agence de sécurité nationale (NSA). »

À plusieurs reprises, NSO a rejeté son implication dans ces infractions, affirmant qu'elle ne fait que développer des solutions informatiques. Mais cette affaire « ne rend pas service à NSO, qui a laissé ses employés mener des actions illégales et non supervisées », selon Railton. Nous avions déjà découvert que NSO aide ses clients à élaborer des messages de phishing efficaces et adaptés à leurs cibles afin d'augmenter les chances de succès de l'infection.

Selon David Kaye, le rapporteur spécial des Nations Unies, cet incident soulève un certain nombre de questions concernant NSO : « Comment un employé peut-il faire quelque chose comme ça en premier lieu ? Combien d’abus ont été commis ? »

À la suite de cet incident, NSO a mis en place « une sélection plus rigoureuse des personnes en contact avec les clients », selon un des anciens employés. Il s'agit notamment d'examens biométriques visant à garantir que seul le personnel autorisé peut utiliser le système, précise une source bien informée. Bien que dans ce cas, l'employé ait été pris la main dans le sac, sur un plan plus technique, « rien ne m'empêchait […] d'utiliser le système contre qui je voulais », poursuit un ancien employé.

L’entreprise NSO est actuellement engagée dans un procès avec Facebook, qui l’accuse d’avoir exploité une vulnérabilité de WhatsApp permettant de pirater des téléphones à distance via un simple appel. Elle a également développé une technologie conçue pour suivre la propagation du coronavirus, mais les experts en matière de protection de la vie privée ont exprimé des inquiétudes quant à la conception du système.

Des employés d'agences gouvernementales ayant accès à des fonctions de surveillance ont également abusé de leur position. En 2013, le Wall Street Journal a rapporté que plusieurs responsables de la National Security Agency (NSA) avaient utilisé les services d'espionnage de l'agence pour servir leurs intérêts amoureux.

Les Émirats arabes unis ont également fait l'objet de controverses concernant l’utilisation de leur puissante technologie de piratage. Reuters a publié plusieurs articles d'investigation sur le Project Raven, une opération dans laquelle d'anciens employés de la NSA ont immigré aux EAU et ont formé un groupe de hacking d'élite pour servir le pays. Selon le rapport, plusieurs membres du groupe ont fini par utiliser leur logiciel contre des cibles américaines. Reuters a également signalé que le FBI envisageait d'utiliser les logiciels malveillants de NSO pour espionner les citoyens et les entreprises américaines depuis au moins 2017.

L’utilisation abusive des données ou des outils internes par les employés est un problème apllicable à tous les types d'entreprises. Facebook a déjà licencié des employés ayant espionné des utilisateurs, les employés de MySpace utilisaient un outil appelé Overlord pour leur propre bénéfice, et Snapchat a eu son propre lot d’abus en interne.

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.