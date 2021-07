En 2019, WhatsApp a déposé plainte contre NSO, l'accusant d'avoir fourni la technologie pour infecter les smartphones d'une centaine de journalistes, défenseurs de droits humains et membres de la société civile. Pour le patron de WhatsApp, Will Cathcart, ce nouvel épisode montre que la sécurité doit être renforcée.

Pour le patron de WhatsApp, l’affaire Pegasus montre qu’il faut renforcer la sécurisation des échanges et des téléphones © Getty / SOPA Images / Contributeur

Par Stephanie Kirchgaessner (The Guardian), pour le consortium formé par Forbidden Stories dont la cellule investigation de Radio France est partenaire.

En mai 2019 déjà, le logiciel espion Pegasus, que la société israélienne NSO vend à des États, avait été critiqué pour avoir servi à l’attaque de téléphones de 1 400 utilisateurs de WhatsApp, la messagerie chiffrée appartenant à Facebook. Parmi les cibles figuraient déjà des défenseurs des droits de l’Homme ou des hauts fonctionnaires de gouvernements. Alors que certains États veulent affaiblir le niveau de sécurité des échanges chiffrés, au nom notamment de la lutte antiterroriste, le patron de WhatsApp, Will Cathcart, estime au contraire que l’affaire Pegasus montre qu’il faut renforcer la sécurisation des échanges et des téléphones. Précisons que WhatsApp est en procès, en Californie, contre la société NSO.

STEPHANIE KIRCHGAESSNER : Que pensez-vous des reportages sur Pegasus que vous avez vus ou lus cette semaine ?

WILL CATHCART : “Ces reportages correspondent à ce que nous avons vu lors de l'attaque que nous avons vaincue il y a deux ans. Et c'est très cohérent avec ce que nous avons appris à ce moment-là, lorsque nous avons dit avoir vu 1 400 victimes potentielles de l'attaque. Nous parlions aussi à l’époque de fonctionnaires gouvernementaux, de hauts fonctionnaires occupant des postes de haute importance pour la sécurité nationale et des alliés des États-Unis. Des gouvernements ont été pris pour cible dans cette attaque, en plus des journalistes, des militants des droits de l'Homme, ou de personnes qui n'avaient pas à être sous surveillance de quelque façon que ce soit.

L’affaire Pegasus devrait nous appeler à ouvrir les yeux sur la question de la sécurité. Soit les téléphones mobiles sont sûrs et les conversations privées sécurisées pour tous, soit ils ne le sont pour personne. Je pense que ce devrait être un moment où les gouvernements cessent de poser des questions sur l'affaiblissement de la sécurité, cessent d'essayer de faire des choses comme miner le chiffrement final. Comment pouvons-nous sécuriser le téléphone portable de tous ? Comment pouvons-nous sécuriser la communication privée de tous ? Parce que nous en avons besoin.”

Dans le cas des fonctionnaires gouvernementaux, pouvez-vous nous donner plus de détails sur ce que vous avez vu dans vos données sur les 1 400 personnes qui auraient été ciblées ?

“L'attaque que nous avons vue était celle de personnes du groupe NSO qui tentaient d'infecter les téléphones des gens par le biais de notre service. Et dans cette liste, nous avons vu, outre les journalistes et les défenseurs des droits humains, des fonctionnaires gouvernementaux dans des pays du monde entier. Nous avons alerté tous ceux qui ont été attaqués.”

Avez-vous eu des échanges avec les gouvernements à ce sujet ?

“Oui, en fait, j'ai eu cette conversation avec les gouvernements du monde entier qui ont été victimes de l’attaque. Nous devons nous souvenir que l'attaque que nous avons vue a été très brève, nous l’avons détectée et vaincue en quelques semaines. Nous avons donc recensé 1 400 victimes au cours de cette brève période, ce qui nous fait dire que, sur une période plus longue, de plusieurs années, le nombre de personnes attaquées est très élevé. Vous savez, beaucoup de gens se demandent pourquoi il était si important pour nous de communiquer sur notre inquiétude concernant ce sujet. C’est parce que même si nous avons vaincu l'attaque via WhatsApp, nous savions que le groupe NSO attaquait directement le système d'exploitation des téléphones mobile. Nous avons donc senti que nous devions faire tout ce que nous pouvions pour attirer l'attention sur cela et pour tenir le groupe NSO responsable.”

L'une des critiques faites aux journalistes qui ont enquêté sur le projet Pegasus, notamment par NSO, est de dire que ce chiffre que nous avons dans nos données, qui est d'environ 50 000 sélections (en vue d’une possible ciblage par Pegasus) est exagéré...

“Les faits sont cependant clairs. Puisque nous, nous avons vu que 1 400 personnes avaient été ciblées en seulement quelques semaines. Cela ne correspond pas à l'histoire qu'ils racontent comme quoi il n’y aurait qu’un tout petit nombre d’attaques chaque année...”

Notre consortium de journalistes s’est intéressé à Apple. Nous avons mis en évidence le fossé entre le succès de leur marketing, basé sur la sécurité, et ce que nous observons dans nos données. Lorsqu’Amnesty international a examiné certains iPhone, des modèles récents avec le dernier système d’exploitation, nous avons vu qu’ils étaient totalement vulnérables aux logiciels malveillants !

“Selon moi, si vous vous souciez fondamentalement de la protection de la vie privée des personnes qui utilisent votre service, alors vous devez faire tout ce qui est en votre pouvoir pour vous sécuriser davantage, mais aussi pour dénoncer les attaques que vous avez détectées, aller en justice pour demander des comptes aux auteurs de ces attaques, et partager des informations auprès des chercheurs et des victimes. Nous avons été très reconnaissants que Microsoft, Google et un groupe d'autres entreprises technologiques, se soient joints à notre poursuite en justice contre NSO. J'espère qu'Apple commencera également à adopter cette approche. Il ne suffit pas de dire que la plupart de nos utilisateurs n'ont pas à s'inquiéter de cela. Il ne suffit pas de dire, : 'oh, ce ne sont que quelques milliers ou dizaines de milliers de victimes'. Si cela touche les journalistes du monde entier, si cela touche les défenseurs des droits humains dans le monde entier, cela nous touche tous. Nous avons besoin que tous les membres de l'industrie prennent des mesures et fassent non seulement tout ce qui est en notre pouvoir pour sécuriser nos logiciels, mais aussi tout ce qui est en notre pouvoir pour mettre fin aux logiciels espions.

Vous avez attaqué en justice NSO. Mais doit-on aussi se focaliser sur les pays qui sont clients de NSO ?

“À l'échelle mondiale, l'industrie des logiciels espions est hors de contrôle et elle doit cesser. Tous les abus doivent être dévoilés. Et les gouvernements du monde entier, je pense, devraient intervenir et demander des comptes au groupe NSO pour voir comment on en est arrivé là. (…) Nous verrons si les gouvernements prennent vraiment conscience de la menace sur la sécurité nationale et sur la liberté que votre enquête a démontrée.”

Aujourd’hui, où en est votre procès contre NSO ?

“Le groupe NSO a soutenu devant le tribunal qu'il croyait devoir bénéficier de l'immunité aux États-Unis parce que ses clients sont des gouvernements. Nous pensons que c'est mal. Le tribunal a statué en notre faveur. Nous considérons que ce n’est pas normal que des entreprises privées soient à l'abri de la loi simplement parce qu'elles prétendent travailler pour des gouvernements.”

Pouvez-vous nous parler des pressions que vous subissez, notamment de la part du Royaume-Uni, en ce qui concerne le chiffrement des messages de bout en bout ?

“Nous avons vu un certain nombre de gouvernements, comme le Royaume-Uni, réclamer publiquement un affaiblissement du chiffrement. Nous pensons simplement que c'est mal. Nous continuerons à faire valoir que l'affaiblissement de la sécurité des communications privées des gens entraînera des abus. Imaginez, si nous affaiblissons la sécurité des communications de telle sorte qu'un attaquant puisse accéder à toutes les communications via une seule vulnérabilité, pas sur une seule personne, pas sur un seul téléphone, mais sur toutes ces communications en même temps. Ce serait un désastre. J'espère donc que les gens vont se réveiller et dire : 'attendez une minute, nous ne devrions pas parler d'affaiblissement de la sécurité. Nous devrions complètement renverser la question et parler au contraire de ce que nous devons faire pour accroître la sécurité. Et les gouvernements devraient pousser les entreprises à accroître la sécurité'.”

Parce que le risque pour vous, en affaiblissant la sécurité et le chiffrement, c’est qu’il y ait de la surveillance de masse ?

“Oui. La proposition d'ajouter une vulnérabilité de sécurité dans les communications vise à créer une faiblesse. Les gens peuvent lire les messages d'autres personnes. Et nous le disons depuis des années. Si vous créez une porte dérobée, elle ne sera pas utilisée seulement par les gentils. Cette vulnérabilité de sécurité sera aussi utilisée par les 'méchants'. Et votre enquête sur Pegasus montre que, même avec la sécurité dont nous disposons aujourd'hui, il ne suffit pas d'avoir un chiffrement de bout en bout. Nous réfléchissons donc à la façon de construire nos produits de manière à ce que les messages des gens disparaissent au fil du temps afin que vous ne les gardiez pas toujours sur votre téléphone.”

Y a-t-il réellement une solution technique même au-delà de WhatsApp ? Envisagez-vous un téléphone qui pourrait vraiment être impénétrable ?

“Oui. Nous devons absolument renforcer et améliorer la sécurité sur les téléphones et les systèmes d'exploitation mobiles. Et si c'est le cas, nous rendrons ces attaques plus difficiles. C'est comme pour votre maison, avec des serrures ajoutées aux portes, on ajoute un système antivol. Je pense qu'il y a toute une série de couches de défense que vous pouvez additionner.”