Les gens paniquent à l'idée que l'outil de surveillance Pegasus du groupe NSO soit utilisé pour espionner des journalistes, des dissidents politiques et d'autres opposants aux régimes du monde entier. C'est décourageant et mérite d'être discuté. Mais pourquoi sommes-nous choqués ?
Je suis un réaliste de la sécurité de l'information. Avec des trucs de grande ligue comme la surveillance de l'État-nation, cela signifie analyser les incitations de l'État-nation. En d'autres termes, j'applique la théorie des jeux (certes en amateur). Dans le cas de Pegasus, la théorie du jeu est claire : une entreprise devait développer un logiciel de surveillance, un gouvernement peu scrupuleux devait l'acheter, et ils finiraient par se faire prendre.
Une grande partie des médias que j'ai lus ont réfléchi aux implications sociétales de l'espionnage sur les smartphones de personnes dont la plupart d'entre nous conviennent qu'elles ne le méritent pas. Pour moi, cet exercice de réflexion fait un bon entraînement. Mais un exercice sain nécessite une bonne forme. Pour toucher tous les groupes musculaires, considérons le fabricant, le porteur et la cible de Pegasus.
Une bête mythique élevée pour la cyberguerre
Pegasus a déjà été entraîné dans la lumière brûlante de l'examen public. Indépendamment de la capacité unique de NSO à vous dire que Pegasus est, sa classe de logiciels est bien établie. En 2015, la société italienne de technologie de surveillance Hacking Team, assez ironiquement, s'est fait pirater et a vu son code source divulgué en ligne pour que le monde entier puisse le bifurquer. Un an auparavant, le code source FinFisher de Gamma avait également été vidé.
Un regard dans la bouche de ce cheval volant révèle qu'il peut faire tout ce qu'un gouvernement gardant un œil sur les «menaces» pourrait espérer. Pegasus peut capturer des photos, des messages, des enregistrements audio et vidéo, des listes de contacts et des mots de passe à partir d'appareils infectés. Il s'installe sur les appareils via un message texte contenant un lien de charge utile. Le vrai truc, cependant, est que l'utilisateur peut même ne pas le voir, car il peut esquiver le plateau de notification et l'application SMS.
Vous pouvez probablement deviner pourquoi ce logiciel existe. Il est impossible de trouver une agence gouvernementale qui ne pourrait pas profiter de l'enracinement des téléphones de ses cibles pour repérer les menaces à la sécurité nationale. Cependant, toutes les nations ne peuvent pas développer des outils d'espionnage en interne. Entrez le groupe NSO et ses amis.
Le problème est que tous les pays ne définissent pas la « menace » de manière raisonnable. Même les régimes tyranniques doivent protéger leurs citoyens – ils sont simplement plus désireux de se protéger eux-mêmes.
NSO avait clairement prévu la mauvaise publicité qu'elle subirait si un homme fort faisait tomber ses produits sur des manifestants pacifiques. Pour éviter cela, NSO jure qu'il ne vend pas aux gouvernements oppressifs. Amnesty International prétend avoir une liste de 50 000 numéros de téléphone ciblés par Pegasus prouvant que NSO le fait.
Cela pourrait certainement être vrai, mais aucune des parties n'a présenté de preuves pour prouver définitivement son cas. D'une part, comment pouvons-nous être sûrs que les régimes figurant sur la liste d'interdiction du NSO ont acquis le logiciel légalement (c'est-à-dire l'ont acheté) ? Le piratage ou l'ingénierie inverse des outils est certainement possible. Est-ce que quelqu'un dans l'entreprise aurait pu sortir des copies en douce et les vendre illégalement ?
Qu'une liste de 50 000 numéros ait été soi-disant obtenue suggère que NSO n'est pas hermétique. On ignore actuellement comment la liste d'Amnesty a été compilée. L'organisation pourrait couvrir le dénonciateur ou le pirate informatique qui a arraché la liste, mais nous ne pouvons pas assumer cette justification.
Une théorie est que chaque module de commande Pegasus renvoie sa liste cible à NSO, et que quelqu'un a simplement divulgué ou volé la liste cible composite de NSO. NSO a toutes les raisons de concevoir Pegasus pour le faire.
- Cela permettrait l'application de leur interdiction gouvernementale répressive. Sinon, comment vous assureriez-vous que votre logiciel ne cible pas les mauvaises personnes qu'en voyant les cibles ? Le ton d'Amnesty implique que NSO ne s'en soucie pas sincèrement, mais il est difficile d'affirmer que NSO pourrait même faire preuve de diligence raisonnable sans une telle fonctionnalité.
- Si les documents Snowden nous ont appris quelque chose, c'est que les puissances de renseignement les plus capables du XXIe siècle sont celles qui exploitent leur secteur privé national. La NSA a volé et contraint légalement des entreprises américaines ayant une portée mondiale pour obtenir leurs données.
- Pourquoi devrait-on penser qu'Israël, avec l'un des appareils de renseignement de défense les plus agressifs au monde, ne ferait pas la même chose ? Les services de renseignement israéliens bénéficieraient grandement du trésor de NSO. Soit le NSO a déjà reçu ces données et les services secrets israéliens les ont demandées ou volées, soit les services secrets israéliens ont inséré un code qui les a collectées.
L'assurance de NSO qu'il « n'a aucune idée » des spécificités des opérations de surveillance des clients complique cette théorie, contredisant l'idée que NSO garde un œil sur les clients.
Cependant, une autre leçon de Snowed a montré que le monde du renseignement aime les jeux de mots qui lui permettent de faire des déclarations techniquement vraies à la lumière des redéfinitions internes et torturées des termes courants.
Par exemple, la NSA affirme qu'elle ne « collecte » pas de données sur les Américains simplement en les balayant parce que, dans le langage de la NSA, « collecte » signifie qu'un analyste humain de la NSA examine les données. Pourquoi un fournisseur de produits de surveillance privé ne ferait-il pas de même ?
Les cyber suspects habituels
Comme tous les produits, des outils comme Pegasus existent parce qu'ils ont des acheteurs. Plus précisément, Pegasus est suffisamment robuste pour fournir des capacités de renseignement nationales respectables à des clients disposant de budgets hégémoniques sous-régionaux. Les nations qui ne peuvent pas égaler les ressources des États-Unis ou de la Chine veulent toujours courir avec les gros chiens sur la surveillance.
Comme mentionné précédemment, les régimes moins que démocratiques ont aussi des citoyens à protéger. Il n'y a rien de faux dans cette observation, alors les gouvernements s'appuient dessus pour donner à leurs activités un air de légitimité.
Quel fournisseur de surveillance entreprenant dirait non à cela ? Les fournisseurs de technologies de surveillance ne sont pas des experts géopolitiques, donc ce qui pourrait ressembler à une faction politique banale pour les observateurs extérieurs pourrait être une menace existentielle pour une nation, ou vice versa ; et, bien sûr, les acheteurs d'armes nourrissant une intention malveillante ne l'annoncent généralement pas.
C'est une affaire délicate parce que le mètre traditionnel de « vendre à ce client enfreint-il la loi » devient trouble lorsque les gouvernements sont les clients – comme le juge Dredd, ils sont la loi.
Les États autoritaires imposent des définitions plus permissives de ce qui constitue une menace pour la sécurité que les États démocratiques.
De nombreuses entreprises technologiques américaines n'opèrent pas en Chine parce qu'elles refusent de collaborer avec les demandes du gouvernement chinois pour leurs données, malgré leur légalité totale en vertu de la loi chinoise. Ce n'est pas parce que les entreprises américaines ne veulent pas aider les citoyens chinois à rester à l'abri des attaques violentes, mais parce que le gouvernement chinois classe tout critique ouvert du gouvernement comme une menace pour la sécurité.
Une fois qu'un pays dont l'engagement en matière de droits de l'homme est douteux obtient son logiciel d'espionnage, le spectre radio est la limite. Ils commenceront probablement par repérer les méchants domestiques, comme promis. Mais finalement, ils voudront former leurs vues à l'étranger comme tout le monde.
Telle a été l'essence de l'espionnage à travers l'histoire : voyez ce que l'autre gars, bon ou mauvais, fait pour les déjouer. Traditionnellement, tout étranger ayant un pouvoir politique ou financier est une cible de renseignement valable.
Le fait que Macron figure sur la liste d'Amnesty suggère que les outils NSO ont été utilisés pour le renseignement électromagnétique étranger. Il est, dirons-nous, extrêmement improbable que la France ait espionné Macron. Cependant, d'autres pays seraient certainement intéressés à savoir ce que fait le chef d'une nation occidentale modérément puissante.
Vous arrêteriez-vous aux criminels violents domestiques si vous pouviez espionner n'importe qui, n'importe où ?
Alors que les nations déplacent de plus en plus leurs infrastructures critiques de communication, commerciales et civiles en ligne, cette conjoncture était inévitable. L'économie du numérique n'a fait qu'accélérer cette inévitabilité.
Pegasus marque le point indubitable où les fournisseurs de surveillance privés permettent aux nations d'espionner ce qui autrement ne le pourrait pas. C'est un exemple parfait d'une dynamique distincte de la sécurité de l'information que Bruce Schneier illustre dans son dernier livre, « Cliquez ici pour tuer tout le monde ».
Pour adapter son exemple, si un pays a un espion d'élite qui peut extraire des renseignements de n'importe où, cette personne ne peut toujours espionner qu'un seul pays à la fois et ne peut pas transmettre rapidement ses compétences aux autres. Mais les exploits logiciels peuvent être regroupés dans un outil d'espionnage et distribués à n'importe qui, puis déployés simultanément contre les cibles de chaque utilisateur.
Au début, seules les nations militairement sophistiquées pouvaient développer des capacités de surveillance numérique. Désormais, un pirate informatique motivé peut transformer son savoir-faire en outils point-and-shoot, offrant à toute nation qui l'utilise une surveillance de haut niveau pour une fraction du coût. Ces réalités économiques se sont manifestées de manière constante – ce n'est que maintenant que nous le remarquons.
Pas de convention de Genève dans le cyberespace
Le fait que ces dures réalités soient rationnelles ne les rend pas plus douces pour personne. L'examen des conséquences des logiciels omniprésents de type Pegasus montre un monde moins choquant que ne le pensent les consommateurs d'informations occasionnels.
Certains articles d'analyse Pegasus que j'ai lus estiment que les lecteurs sont impatients de renforcer leur sécurité, comme ils l'ont conclu en distribuant les «meilleures pratiques» comme la définition de mots de passe uniques à haute entropie, l'utilisation d'applications de messagerie cryptées et l'évitement des liens suspects. Malheureusement, ceux-ci négligent la capacité précédemment déclarée de Pegasus de compromettre les systèmes d'exploitation entièrement corrigés sans interaction de l'utilisateur.
Plus important encore, comme je l'ai noté dans le passé, la plupart des utilisateurs ne seront jamais ciblés par Pegasus, donc s'inquiéter est une perte de temps.
Basé sur le modèle de tarification de NSO, Pegasus n'est pas bien adapté à la surveillance de masse. À des dizaines de milliers de dollars par cible, il serait exorbitant de surveiller une population de millions de personnes, mais abordable pour suivre une liste de cibles hautement prioritaires de quelques centaines. Si vous vous conformez et vous soumettez – la plupart des gens le font – tout ira bien.
L'autre raison pour laquelle je pense que nous voyons des rapports explosifs est que compromettre un appareil est plus flashy que de regarder passivement la dorsale Internet ou les commutateurs de télécommunications.
Les agences de renseignement du monde entier sont passées de la collecte de données en transit à la collecte de données au repos, car l'adoption du chiffrement a rendu la première moins fructueuse. Renifler des paquets dans les airs ou sur le fil a traditionnellement été le premier choix des agences de renseignement uniquement parce que c'était le plus simple. Les agences de renseignement ciblaient également les appareils, mais généralement uniquement pour leurs principales cibles.
Mais maintenant qu'une telle quantité de trafic est chiffrée, il est plus logique de se concentrer sur ses terminaux. Toutes les données de ces discussions cryptées de bout en bout se trouvent sur les appareils de l'expéditeur et du destinataire, décryptées pendant que l'appareil est en cours d'exécution et mûres pour la prise. Il y a une raison pour laquelle on l'appelle cryptage « de bout en bout » et non « de bout en bout ».
Donner une chance à la cyber-paix ?
Mon objectif ici n'est pas d'arrêter de m'inquiéter et d'aimer la bombe numérique, mais de m'inquiéter de manière productive. NSO devrait probablement choisir ses clients avec plus de soin, mais nous ne pouvons pas compter là-dessus. Soyez trop dégoûté de savoir à qui les e-mails sont lus et les clients iront faire leurs affaires ailleurs.
Que devons-nous faire, nous les plébéiens ? Moins qu'on ne le voudrait, mais pas rien. Si cela nous apprend quelque chose, c'est que nous devons comprendre les limites de nos appareils. Les applications de messagerie cryptées protègent les données qui transitent sur Internet, mais ce n'est pas ce que ciblent les outils d'espionnage sophistiqués. Il existe des exceptions comme les raies pastenagues, mais vous avez peut-être remarqué que les gros titres sur les raies pastenagues ne sont pas trop courants de nos jours.
Votre téléphone ne mérite pas votre confiance pour les choses vraiment sensibles. Par exemple, aucun professionnel de la sécurité de l'information que je connais n'effectue de transactions bancaires sur son téléphone, et moi non plus.
Si vous pensez que l'OSN d'espionnage permet à ses clients de faire n'est pas cool, ce n'est pas suffisant pour les joueurs avec un carton rouge – les règles du jeu doivent changer. Encore une fois, fermez NSO et les acheteurs trouveront de nouveaux vendeurs. Alors qu'Internet traverse les frontières, les lois ne le peuvent pas. Les fournisseurs de surveillance s'installeront simplement là où les affaires sont légales.
Pour reprendre une autre page (littérale) de « Cliquez ici pour tuer tout le monde », les attitudes envers la recherche et la divulgation des vulnérabilités doivent changer. Si les gouvernements divulguaient les vulnérabilités au lieu de les accumuler, elles pourraient être corrigées, empêchant tout le monde de les utiliser (ou d'en abuser) ; et si les lois protégeaient les chercheurs de bonne foi, nous aurions des limiers reniflant les failles de sécurité.
Jusque-là, tant qu'il y a de l'argent à gagner et que les pouvoirs qui le réglementent peuvent en tirer une certaine récompense, une entité vendra des outils de surveillance, une autre achètera et une troisième laissera faire.
Les opinions exprimées dans cet article sont celles de l'auteur et ne reflètent pas nécessairement les vues d'ECT News Network.
Laisser un commentaire