L’Office fédéral de la police criminelle (BKA) et le Service fédéral de renseignement (BND) utilisent apparemment le logiciel de surveillance Pegasus. Ces informations sont rapportées par Zeit, Süddeutsche Zeitung, WDR et NDR. Dans le cas du BKA, le ministère fédéral de l’Intérieur aurait été informé de cette utilisation, mais pas le ministre de l’Intérieur Horst Seehofer lui-même. Dans le cas du BND, la Chancellerie fédérale aurait été dans le coup. La commission parlementaire de contrôle, qui est notamment chargée de surveiller le BND, n’aurait pas été informée.

Pegasus a été connu du grand public en juillet de cette année grâce aux publications de l’association de recherche « Pegasus Project ». Selon l’étude, Pegasus est utilisé par divers acteurs dans le monde entier, non seulement pour lutter contre la grande criminalité, mais aussi pour surveiller les hommes politiques, les figures de l’opposition, les militants des droits de l’homme et les journalistes.

Cela contraste fortement avec les assurances du fabricant israélien NSO Group : la société écrit qu’elle n’accorde des licences pour ses logiciels qu’à des « États et autorités étatiques sélectionnés, approuvés, confirmés et autorisés ». Pegasus ne peut être utilisé que pour la « sécurité nationale » et dans le cadre d' »enquêtes majeures » par les autorités chargées de la sécurité. D’autre part, le groupe NSO souligne également qu’il ne sait pas comment ses clients utilisent réellement Pegasus.

Pegasus trop puissant pour le BKA

Le groupe NSO voulait vendre son logiciel au BKA en 2017, rapporte Tagesschau.de. Cela ne s’est pas produit parce que le BKA avait des réserves : La loi allemande fait la distinction entre les recherches en ligne et la surveillance des télécommunications à la source (Q-TKÜ). Dans le premier cas, les données stockées sur un appareil sont extraites. Dans le cas de Q-TKÜ, en revanche, seules les communications sont mises sur écoute, à l’instar d’une ligne téléphonique sur écoute. Pegasus n’avait pas fait cette distinction et avait montré d’autres problèmes.

Selon un rapport de l’hebdomadaire Die Zeit, cela a changé en 2020 : le groupe NSO avait fourni au BKA une version adaptée de Pegasus, censée être compatible avec la loi allemande – du moins selon le BKA. On ne sait pas comment le BND utilise exactement Pegasus.

En faisant appel à Pegasus, les autorités allemandes se placent dans la lignée des acheteurs douteux, ce qui jette un doute considérable sur le fait que le groupe NSO examine ses clients avec suffisamment de soin. Début octobre, par exemple, un tribunal anglais a estimé que Muhammad bin Raschid Al Maktum, dirigeant de l’émirat de Dubaï, avait utilisé le logiciel pour surveiller son ex-femme et ses avocats.

Que sait le Groupe des OSN ?

Le soupçon que le groupe NSO pourrait avoir un aperçu des opérations de surveillance menées avec Pegasus est également inquiétant – contrairement à leurs déclarations. Le BND et le BKA ont déclaré au journal « Die Zeit » qu’ils pouvaient techniquement exclure cette possibilité. Le journal rapporte cependant que d’anciens employés du groupe NSO ont fait des déclarations contraires. Selon eux, les données exfiltrées passeraient par les serveurs de l’entreprise.

En outre, il existe un problème moral : pour pouvoir distribuer un logiciel comme Pegasus sur les appareils cibles, le groupe NSO doit connaître les graves lacunes de sécurité des versions actuelles d’iOS et d’Android et les garder secrètes. Le danger qui en résulte pour tous les propriétaires de smartphones est accepté. Les clients du groupe NSO financent ce modèle économique au lieu de protéger la grande masse de leurs citoyens.

Dans le cas d’Android, on ne sait pas par quelles brèches Pegasus arrive sur les appareils. Sur iOS, une passerelle était vraisemblablement un trou dans l’application iMessage. Pegasus pourrait être divulgué par ce biais sans que les utilisateurs d’iPhone n’aient à faire quoi que ce soit – ce que l’on appelle un écart zéro-clic. Entre-temps, Apple a comblé cette lacune, mais seul le groupe NSO sait quelles sont les autres lacunes.

Dans le c’t 23/21, vous apprendrez les astuces des hackers. Avec les bons outils, vous pouvez craquer des mots de passe oubliés, trouver des failles de sécurité dans votre réseau et décrypter des documents Word. Nous analysons également ce qui rend WordPress si unique et nous vous aidons à vous lancer et à trouver des thèmes et des plug-ins adaptés. Vous trouverez le c’t 23/21 à partir du 22 octobre dans la boutique et dans les kiosques à journaux bien achalandés.