La NSA peut bien aller se rhabiller. Le scandale Pegasus, du nom de ce logiciel espion utilisé par des États souverains pour cibler des milliers de personnalités, ouvre un abîme de questions. Dont celle-ci : en 2022, est-il encore possible d’échapper à la cybersurveillance ?
« Projet Pegasus ». Ce n’est pas le nom d’un vieux roman de John Le Carré, mais celui d’une enquête bigger than fiction, dévoilant possiblement le plus grand scandale de cyberespionnage moderne. Grâce au consortium de journalistes Forbidden Stories, on découvre avec stupeur comment des nations souveraines ont utilisé Pegasus, un logiciel espion de la société israélienne NSO, pour surveiller journalistes, avocats, activistes, opposants politiques, chefs d’États, etc. Mexique, Émirats arabes unis, Maroc… Selon les informations datant de juillet 2021, une dizaine d’États ont ainsi déterminé comme cibles possibles plus de 50 000 numéros de téléphone dans 20 pays, dont un millier de Français, parmi lesquels Emmanuel Macron.
Un passager clandestin dans votre smartphone
Vous n’êtes pas journaliste, avocat, activiste, encore moins chef d’État ? Il n’en demeure pas moins que Pegasus nous concerne tous au premier chef. Par son mode opératoire, d’une part, en visant les alter ego numériques que sont devenus nos smartphones. La technologie d’espionnage développée par NSO, qui soutient ne l’avoir fait qu’à des fins de lutte contre le terrorisme et la criminalité, est d’une efficacité proprement redoutable, pour ne pas dire glaçante. Non content d’enregistrer les conversations téléphoniques (la base), Pegasus peut aussi télécharger vos photos, activer votre micro ou votre caméra à distance, aspirer votre répertoire, votre calendrier, accéder à vos données de géolocalisation et même à vos messageries cryptées… Pegasus devient tout simplement le passager clandestin de votre propre téléphone.
Il n’est même plus nécessaire de cliquer sur un message malveillant pour être contaminé : Android ou iOS, les attaques zéro clic de Pegasus ont déjoué tous les systèmes.
Et ne pensez pas que vous pouvez y échapper par votre connaissance aiguë des techniques de phishing. Le temps des imitations grossières, avec une faute d’orthographe tous les deux mots, est derrière nous, et les pratiques de piratage sont de plus en plus sophistiquées. Il n’est même plus nécessaire que la cible clique sur un message malveillant pour être contaminée : Android ou iOS, les attaques « zéro clic » de Pegasus ont déjoué tous les systèmes, comme le relève Amnesty International, soutien technique de Forbidden Stories. Dans le cas d’Apple, une faille permettait l’installation du spyware via le simple affichage d’un SMS malveillant dans iMessage. Un couac fâcheux pour la firme de Cupertino, chantre de la protection de la vie privée, et qui se retrouve à se justifier sur la robustesse de l’iPhone.
« Une industrie qui ne devrait même pas exister »
Mais si le scandale Pegasus frappe les esprits, c’est aussi parce qu’il révèle au grand jour les méthodes de ces acteurs très discrets de la surveillance, ainsi que les dangers qu’ils représentent pour les populations et les démocraties. Le lanceur d’alerte Edward Snowden, interrogé par Projet Pegasus, pointe d’ailleurs les différences – et de fait la nouvelle étape franchie – avec la surveillance de masse opérée par la NSA qu’il avait révélée en 2013. Nous voici désormais face à des attaques qui visent directement les individus, permises par une « industrie des logiciels malveillants (qui) ne devrait même pas exister ».
Un marché nullement régulé, sur lequel des entreprises à but lucratif signent avec des clients sans se soucier de l’usage qui sera fait de leurs technologies – même quand il s’agit visiblement de « favoriser l’atteinte aux droits humains », selon les termes employés par Amnesty International. Jusqu’à présent, NSO Group « nie fermement » les accusations portées par l’enquête, dont les conséquences diplomatiques et autres ne font que commencer.
Tandis que nous apprenions à nous méfier des plateformes, d'autres acteurs invisibles œuvrent depuis longtemps à la marchandisation de nos données, à la frontière de l'illégalité.
Du soufre à la respectabilité
Avec l’affaire Pegasus, nous sommes catapultés dans un monde où notre smartphone peut être pris pour cible et surveillé, depuis n’importe quel endroit de la planète. Mais l’industrie de la surveillance tissait sa toile depuis quelques années déjà. Car, tandis que nous apprenions à nous méfier des plateformes, depuis longtemps d'autres acteurs invisibles œuvraient à la marchandisation de nos données, flirtant avec l’illégalité, à des degrés divers de malveillance.
Dans une interview à L’ADN en février 2021, le journaliste spécialisé Olivier Tesquet, auteur d’À la trace et d’État d’urgence technologique, racontait comment certaines de ces sociétés avaient basé leur développement sur « des marchés sécuritaires, discrétionnaires, voire opaques » – citant déjà NSO, à l’origine de Pegasus, mais aussi l’américain Palantir, dont la réputation sulfureuse et opaque s’est forgée au gré de ses liens étroits avec différentes officines de renseignements.
Mais la pandémie a rebattu les cartes : en permettant à ces entreprises de sortir de l’ombre et de se positionner sur le marché infiniment plus respectable de la santé publique, la crise leur a carrément permis de gagner elles-mêmes en respectabilité. Pour reprendre les mêmes exemples, Palantir a aidé au déploiement de la vaccination aux États-Unis, tandis que NSO commercialisait des solutions de suivi de l’épidémie, comme le soulignait la BBC dès avril 2020. L’arrivée de Palantir à Wall Street à l’automne 2020, en pleine pandémie, offre une allégorie parfaite de cette nouvelle visibilité.
Boîtes de Pandore
Et de l’autre côté du spectre, l’urgence sanitaire désinhibe des puissances publiques de plus en plus tentées de gouverner par ces technologies biberonnées à nos données, et qui ressemblent chaque jour davantage à des boîtes de Pandore.
Car le nouveau coronavirus a à la fois accéléré et banalisé un usage des technologies qui jusqu’alors pouvaient relever d’une mauvaise science-fiction. Reconnaissance faciale, empreintes digitales, analyse vocale, caméras de surveillance intelligentes… On glose sur les pratiques autoritaires de la Chine, pour se retrouver en mars 2020 à Châtelet-Les Halles au beau milieu d’une expérimentation menée par la RATP et la startup Datakalab, visant à détecter le port du masque. Une initiative retoquée rapidement par la CNIL sur la question du consentement.
Mais qu’à cela ne tienne, le test peut reprendre : un décret du ministère des Transports du 10 mars 2021 autorise désormais, pour une durée d’un an, le recours à la vidéo intelligente pour mesurer le taux de port de masque dans les transports. Un objectif dont prend bonne note la CNIL dans un autre avis, considérant que « le dispositif n’a pas vocation à traiter des données biométriques et ne constitue pas davantage un dispositif de reconnaissance faciale ». Autre exemple illustrant la réalité tangible du sujet, à l’occasion des dernières élections régionales, Valérie Pécresse (Île-de-France) et Laurent Wauquiez (Auvergne-Rhône-Alpes) se sont déclarés en faveur de l’usage de l’intelligence artificielle et de la reconnaissance faciale pour repérer les terroristes dans les transports.
La biométrie de masse, et ses perspectives sur le contrôle des individus, relancent les débats sur les libertés publiques.
Biométrie de masse
Bref, la biométrie de masse, et ses perspectives sur le contrôle des individus, relancent les débats sur les libertés publiques. Aux États-Unis, des actions militantes avaient contribué à l’interdiction de la reconnaissance faciale à San Francisco et à Portland, dès 2019. Mais le sujet n’est évidemment pas réglé outre-Atlantique : un rapport récent révélait que 20 agences fédérales sur 42 utilisaient des technologies de ce type, dans un contexte devenu ultrasensible depuis le meurtre de George Floyd. En 2020, dans la foulée de Black Lives Matter, IBM, puis Amazon et Microsoft avaient annoncé leur retrait, temporaire ou définitif de ce marché.
En Europe, Reclaim Your Face milite pour faire « interdire la surveillance biométrique de masse » dans l’Union. Le collectif, qui réunit quarante associations, dont La Quadrature du Net en France, a lancé une initiative citoyenne européenne (ICE). Une pétition institutionnelle qui, si elle réunit un million de signatures, permet d’interpeller la Commission européenne afin de légiférer. Nous sommes encore loin du compte : à l’heure d’écrire ces lignes, le mouvement recueille moins de 60 000 signatures. En France, Claire Hédon, défenseure des droits, estime dans un rapport que les technologies biométriques font courir un grand danger à nos libertés et demande leur encadrement.
Non conforme aux valeurs de l’Union européenne
Le Contrôleur européen de la protection des données (CEPD) s’est aussi déclaré en faveur de l’interdiction pure et simple de ces technologies dans les lieux publics. Cette instance, qui regroupe les autorités de protection de données européennes, vise nommément les dispositifs de « reconnaissance des visages, de la démarche, des empreintes digitales, de l'ADN, de la voix, (…) et d'autres signaux biométriques ou comportementaux, quel que soit le contexte ».
Un avis consultatif, mais qui intervient dans un contexte précis : la Commission européenne travaille à poser un cadre aux usages de l’intelligence artificielle dans l’Union. Ce cadre distingue plusieurs types de risques, de minimes à élevés, voire inacceptables. Parmi ces derniers, les pratiques considérées comme non conformes aux valeurs de l’Union, tels le social scoring ou l’utilisation de la reconnaissance faciale à but répressif – sauf exceptions (disparition d’enfants, terrorisme, etc.). Mais pour certains, les exceptions sont si nombreuses que la proposition revient finalement à autoriser ces pratiques.
Comme souvent, la gageure consistera à trouver l’équilibre entre protection des individus et encouragement à l’innovation. En préparation depuis 2018, le texte doit ensuite faire l’objet de négociations entre la Commission, le Parlement et les États membres d’ici 2023. Alors même que la France prendra la présidence du Conseil en janvier 2022. Puisse notre pays saisir cette opportunité pour aider l'Union à accoucher d’un règlement qui pourrait s’avérer historique à bien des égards. Et tant qu’à faire, en profiter pour sanctuariser nos droits fondamentaux dans cette époque de grand chambardement technologique.
Avec l'aimable collaboration de Marine Protais, journaliste à L'ADN
À suivre, Et Demain Notre ADN L'Emission : Numérique, travail et vie privée, les nouvelles règles du jeu >
