De la prolifération à la déstabilisation : l’industrie spyware, une spirale centrifuge

À l’occasion du sommet RightsCon sur les droits de l’homme dans l’espace numérique, qui s’est tenu entre le 5 et le 8 juin 2023 au Costa Rica, Amnesty International a appelé à une interdiction pure et simple, par tous les États, des logiciels d’espionnage informatique (spyware). Cette prise de parole s’inscrit dans un contexte récent de multiplication de révélations d’espionnage d’activistes, de journalistes ou d’hommes politiques par des spyware déployés par des entreprises privées.

Ces dernières années, l’industrie du spyware s’est développée à une vitesse galopante et de nombreuses mais discrètes sociétés proposent à des États des services d’infiltration et de pénétration des ordinateurs et smartphones. Cette absence de régulation, l’usage fréquent de spyware par des gouvernements contre leurs opposants et le transfert de technologies de "qualité militaire" dans le domaine privé soulèvent de nombreuses questions et appellent à une intervention étatique forte pour éviter une prolifération d’outils normalement réservés aux États, et susceptibles de modifier profondément le fonctionnement de nos sociétés. Le risque est de modifier durablement nos comportements collectifs à mesure que les citoyens entreront dans une logique de paranoïa et de confrontation devant l’impossibilité de préserver leur sphère privée.

En 2021, la plateforme médiatique Forbidden Stories et un consortium de 17 médias internationaux ont publié des enquêtes sur la base de fuite de données révélant plus de 50 000 numéros de téléphone ciblés par le spyware Pegasus. Ce logiciel espion a été développé par la société israélienne NSO, officiellement pour un usage exclusivement gouvernemental dans la lutte contre le terrorisme et la criminalité.

Cette affaire très médiatisée a crûment révélé aux opinions publiques l’utilisation fréquente par de nombreux États, démocratiques comme autocratiques, de ce logiciel pour surveiller des opposants politiques. Marketé comme un outil de surveillance des terroristes, ce logiciel a en réalité été fréquemment utilisé pour surveiller des opposants politiques, des journalistes ou des dirigeants politiques étrangers. Comme le dit Forbidden Stories : "La liste de numéros analysée par le consortium montre qu’au moins 180 journalistes ont été sélectionnés comme cibles avec ce logiciel dans le monde, particulièrement en Inde, au Mexique, au Maroc et en France. Parmi les numéros sélectionnés on trouve également ceux de militants des droits de l’homme, d’universitaires, de syndicalistes, de diplomates, d’hommes et de femmes politiques et de plusieurs chefs d'État". Ainsi, les investigations ont révélé un risque fort et persistant d’abus, hors de tout cadre juridique stabilisé, contrôlé et régulé.

À titre d’exemple, les proches du journaliste saoudien Jamal Khashoggi, assassiné dans le consulat saoudien d’Istanbul, auraient été surveillés de longue date par Riyad de cette manière. En France, ce sont des journalistes de Mediapart et de l’Humanité, mais aussi plusieurs membres du gouvernement qui auraient été espionnés via ce spyware, possiblement à la demande des autorités marocaines qui ont toujours nié en être responsables. À sa sortie, cette affaire a envenimé les relations entre la France et le Maroc, illustrant les risques diplomatiques posés par ce type de pratique. La liste est longue et concerne de nombreux pays.

OCCRP, un projet d’investigation sur les pratiques de corruption, indiquait qu’en 2016, date d’entrée de Pegasus sur le marché, un client pouvait acheter un déploiement du logiciel sur 10 téléphones pour un montant d’1 150 millions USD (650 000 USD pour l’exploitation + 500 000 USD pour l’installation). En 2020, NSO rapportait un chiffre d'affaires de 243 millions USD. Une prestation de service très rémunératrice, moteur d’une industrie en plein boom.

Suite à ce scandale qui a durablement entaché l’image de la société, NSO a été mise sur une liste noire américaine par l’administration Biden, ciblée par la justice américaine puis finalement rachetée par une société américaine.

Cette unité est notamment connue pour son rôle, supposé mais nié, dans l’attaque Stuxnet contre les centrifugeuses iraniennes. Une étude citée par Haaretz montre que 80 % des 2 300 personnes ayant fondé les 700 sociétés israéliennes de cyber sont issues des unités de renseignement militaires, et plus spécifiquement de l’unité 8200.

L’écosystème privé cyber était favorable à l’apparition de ce type de société, les entreprises israéliennes de la Tech et de la cybersécurité disposant d’une expertise reconnue et recherchée. Des sociétés ont fait florès, à l’image de Cytrox, Candiru, Black Cube ou Quadream. La société Cellebrite, spécialisée dans l’analyse physique des téléphones, peut être incluse dans ce recensement : si elle ne fournit par des services de piégeage informatique, elle propose des outils de déverrouillage ou de copie de données sur des appareils numériques de tout type. À noter que dans le cas d’Israël, le business de la désinformation est aussi investi par ce même type d’acteurs, dont plusieurs n’ont pas fait preuve d’une grande éthique morale (voir l’affaire Team Jorge).Les autres pays ne sont pas en reste avec des sociétés très importantes comme FinFisher (Allemagne), Hacking Team (Italie) ou Grayshift (États-Unis). D’autres sociétés continuent d’être créées, en Inde et ailleurs, en raison d’une demande croissante.

Selon certaines estimations, le marché des spywares pourrait valoir environ 12 milliards USD, une somme colossale qui explique la poursuite commerciale de ces activités malgré les controverses. Selon le think-tank Carnegie Endowment for International Peace, entre 2011 et 2023, au moins 74 gouvernements ont conclu des contrats avec des sociétés commerciales, dont la plupart sont basées en Israël, pour obtenir des logiciels espions ou des outils de criminalistique numérique. Sur ces 74 gouvernements, 44 ont été identifiés comme des autocraties et 30 comme des démocraties libérales.

Le contexte de tensions croissantes entre les grandes puissances, auxquelles s’ajoutent les ambitions des puissances régionales dans leurs zones d’intérêt, renforcent l’intérêt de ces pratiques et ne favorisent pas un consensus politique international pour les interdire.

La nature de l’espace numérique et le rôle prépondérant des entreprises dans sa conception, son déploiement et son extension ont permis le développement d’une industrie proposant des outils et services, normalement considérés comme des prérogatives des États : l’espionnage, notamment par moyens techniques et intrusifs, en fait partie. Si le renseignement et l’investigation privée, faites pour des personnes privées ou des États tiers, ne sont pas nouveaux, force est de constater que le degré de sophistication et d’intrusion de tels outils change considérablement la donne.

Si les entreprises réalisent des actions d’espionnage économique, celles-ci sont souvent interdites dans de nombreux pays, France y compris, et l’intelligence économique légale ne peut pas utiliser des moyens d’intrusion informatique.

Cette situation est permise par le coût très faible, bien qu’en croissance, des outils cyber et par une difficulté à imposer un ordre juridique stable dans l’espace numérique. Il est aussi permis par un double standard assez clair : quelle différence entre un groupe de cybercriminels russe qui vend des données sur le darkweb et une entreprise israélienne qui vend un accès aux données privées et une plateforme d’exploitation de ces données récupérées ? Il n’y en a quasiment aucune, si ce n’est la manière dont ces acteurs sont présentés. La seule différence, de taille, est que l’entreprise indique n’avoir que des clients étatiques : des listes qui seraient réduites et soi-disant démocratico-compatibles. Naturellement, le risque d’exploitation n’est pas le même que n’importe quel quidam obtenant des données confidentielles sur le Darknet, mais comme il est impossible de contrôler ni cette clientèle, ni ses finalités réelles, il serait bien naïf de penser qu’il existe une différence claire entre ces deux types d’entités.

L’industrie des spyware est porteuse de plusieurs risques importants à prendre en compte.

Tout d’abord, il y a un risque majeur pour la protection des droits de l’homme et de la vie privée. Si les États sont souverains pour mener les politiques de surveillance permises par leurs institutions, on observe une utilisation très importante de ces prestataires de service pour surveiller des journalistes et des opposants politiques. Dans un grand nombre de régimes contractant ces services, qui ne sont pas des démocraties, les mécanismes d’équilibre des pouvoirs ne fonctionnent pas. Ainsi, un principe de responsabilité s’applique : des outils de surveillance informatique ne devraient pas pouvoir être utilisés aussi facilement par des régimes autoritaires contre leurs opposants ou contribuer à normaliser cette pratique dans des régimes démocratiques, bien que ces derniers soient plus contrôlés en interne.

Ce type d’outils et la généralisation de pratiques de surveillance informatique par les États, sans régulation par un contrôle interne et transparent, tend à accroître la défiance des citoyens à l’égard d’Internet, des responsables et des régimes politiques. La rupture progressive du contrat social libéral, qui promet l’égalité devant la loi et la protection des droits fondamentaux des citoyens vis-à-vis de l’État, de l’arbitraire et des autres citoyens, peut-être la source d’une déstabilisation démocratique importante. Ce modèle de valeurs est encore plus fragilisé quand aucun mécanisme n’est mis en place pour limiter le renforcement des régimes autoritaires par ce biais.

Le développement d’une industrie accroît la conception, l’utilisation et la prolifération dans différents pays de ces "armes cyber". Ce risque de prolifération est même accru par le fait qu’il est tout à fait possible de mener des cyberattaques contre ces entreprises, comme cela est arrivé avec la société Hacking Team. Il y a aussi un risque de course à l’armement, qui rejoint le risque de prolifération, dès lors que les États seront touchés et chercheront à développer le même type de capacités.

Des mécanismes de régulation et de contrôle à l’export existent dans nos démocraties pour limiter le transfert de technologies sensibles et d’armement. Or, dans le cas des spyware, ces contrôles n’existent pas vraiment et quand bien même ceux-ci sont intégrés dans des mécanismes existants en Europe ou aux États-Unis, cela ne changera rien s’ils ne sont pas implémentés à l’échelle globale.

Ainsi, à moyen-terme, il y a un risque de déstabilisation, interne ou diplomatique, qui se trouve posé par l’usage récurrent et tout azimut de ces logiciels. Le scandale en Grèce autour de l’utilisation du logiciel Predator ou en Espagne autour de l’usage de Pegasus, chaque fois contre des opposants, a généré des crises politiques de grande ampleur. Les révélations sur un usage par des États contre d’autres États ont entraîné des crises diplomatiques parfois durables.

L’espionnage n’est pas nouveau. En revanche, il s’est toujours opéré dans un cadre contrôlé par les États, basé sur des équilibres entre les gains recherchés et les risques anticipés. Dès lors que des États ont été pris la main dans le sac, les règlements ont eu lieu de différentes manières mais toujours dans un cadre bilatéral. Ces risques ont incité les États à la prudence. Or, l’apparition et la prolifération d’outils si simples d’utilisation accroît la prise de risque des États, et ce alors même que les risques de compromission augmentent, des sociétés devenant détentrices du "secret d’État".

Les compromissions d’opérations d’espionnage laissent des traces entre les nations, tout comme les opérations militaires, même ponctuelles, et il ne faut pas sous-estimer les confrontations et emballements qui peuvent naître de confiances brisées.

Ce sujet est susceptible de rester dans les coulisses car il est à la fois trop technique (sur le plan informatique), plutôt périphérique (il concerne l’espionnage et les relations internationales) et, à l’inverse, porteur de gains financiers gigantesques. Il est toutefois primordial que les États s’en saisissent. Comme le note Winnona DeSombre-Bernsen pour l’Atlantic Council : "Because all players are operating in a space full of secrecy and information asymmetry, each part of the system can and will be abused".

L’Union européenne, les États-Unis ou le Royaume-Uni l’évoquent désormais ouvertement : il y a un besoin de régulation strict. Sans celle-ci, l’alternative semble être l’interdiction pure et simple de ces outils, via une combinaison de réglementations, de négociations, de pression politique et de régimes de sanctions comme cela existe pour d’autres types d'armements et de technologies proliférantes. Dans sa stratégie de sécurité nationale d’octobre 2022, l’administration Biden note ce risque et évoque des efforts pour lutter contre l’usage illégitime de ces logiciels, position qui est réaffirmée dans la stratégie nationale cyber de mars 2023 et dans la signature d’un décret présidentiel, le 27 mars 2023, interdisant l’usage des spyware commerciaux par des entités gouvernementales américaines.

La décision du président Biden a déjà envoyé un signal important. Ce n’est pas suffisant. Le Conseil de l’Europe a travaillé sur le sujet. Les dernières affaires européennes ont accéléré ce processus, le Parlement européen ayant fait une déclaration, le 8 mai 2023, pour demander aux institutions européennes d’agir et de réformer ce secteur. En parallèle, dans le cadre de la négociation du Media Freedom Act, un projet de règlement qui vise à lutter contre la concentration des médias et à protéger leur indépendance, une disposition autorisant l’utilisation de spyware par les États pour surveiller les journalistes réveille le débat. Si les États rappellent que les enjeux de sécurité nationale sont de la compétence des États et que les spyware sont, à ce jour, parfaitement légaux, la proposition fait un mauvais écho avec les dérives anti-démocratiques évoquées ci-dessus. Les débats sont loin d’être clos : ainsi, dans le cadre du projet de loi justice, voté par le Sénat et désormais examiné par l’Assemblée nationale, un article qui prévoit l’activation à distance des téléphones et ordinateurs par les services de renseignement dans le cadre d’enquêtes vient d’être adopté. Le rapporteur du texte souhaitait introduire un amendement pour exclure les journalistes, ce qui a été fait pour les détenteurs d’une carte de presse.

Deux choix philosophiques sont susceptibles d’apparaître :
- réguler fortement en contrôlant activement, via des licences et des mécanismes de contrôle régulier et transparent, le développement (interdiction par nature sauf autorisation) et l’utilisation de spywares dans un cadre strictement régalien. La capacité devient un outil supplémentaire dans une boîte à outils étatique contrôlée. Cela n’empêche pas les abus des régimes démocratiques, mais au moins ils sont soumis à un contrôle plus fort. Quant au développement par des acteurs non-autorisés ou dans des régimes autoritaires, il convient d’employer une combinaison de pression politique (régime de contrôle multilatéral), d’étouffement du pouvoir de marché (non accès aux marchés européens, américains et japonais pour commencer) et de répression juridique/militaire (mises en examen, sanctions et usage de la force dans l’espace numérique pour détruire ces capacités) ;
- interdire complètement via des réglementations nationales, un régime de contrôle fort et une répression judiciaire/politique.

Dès lors qu’on parle d’une industrie, ces mesures sont susceptibles d’assécher durablement un marché. Elles n’empêcheront pas des États de développer ces capacités ou de se faire aider ponctuellement par des entreprises, mais cela étouffera le risque de prolifération par le marché légal au profit d’un marché noir, plus difficile à contrôler mais moins efficient pour une large prolifération. C’est un choix qui n’est pas anodin, mais qui demande du courage politique, une fine coordination en coalition d’États et des ressources budgétaires dédiées.

Copyright Image : JOEL SAGET / AFP

Cette illustration photographique de studio montre un smartphone avec le site web du groupe israélien NSO qui présente le logiciel espion "Pegasus", exposé à Paris le 21 juillet 2021. La société privée israélienne NSO Group a démenti les informations diffusées par les médias selon lesquelles son logiciel Pegasus serait lié à la surveillance de masse de journalistes et de défenseurs des droits, et a insisté sur le fait que toutes les ventes de sa technologie étaient approuvées par le ministère israélien de la défense.