Une coalition de 17 médias coordonnée par Forbidden Stories et Amnesty International ont révélé l’espionnage massif d’opposants politiques et de journalistes grâce au logiciel Pegasus par la société NSO. Samuel Woodhams, journaliste et chercheur pour le cabinet d’études indépendant anglais Top10VPN, spécialisé dans le droit numérique, a coécrit une étude en mai sur le marché de ces logiciels espions. Il répond à nos questions sur ce secteur qui, jusque-là, ne connaissait pas la crise.

RFI : Quelles sont ces firmes qui vendent des logiciels espions aux États ? D’où viennent-elles ?

Samuel Woodhams : Il y a beaucoup d’entreprises qui existent actuellement. J’ai l’impression que tous les deux mois, on apprend l'existence d'une nouvelle société produisant une technologie similaire à celle de Pegasus. Nos recherches ont montré que l'écrasante majorité des fabricants est basée dans des pays démocratiques, principalement en Europe, en Israël et aux États-Unis, alors qu'ils vendent leur technologie aux régimes les plus répressifs du globe.

Quels sont les noms de ces grandes entreprises ?

NSO Group est probablement l'une des sociétés les plus connues, et elle l’est encore plus maintenant qu’elle fait la Une des journaux. Mais il y a quelques années, en 2015 et 2016, c’était FinFisher qui était leader sur le marché. Cette filiale du groupe allemand Gamma compte encore aujourd’hui de nombreux clients dans le monde entier. Dans les grands noms du marché, on peut également citer l’entreprise italienne Hacking team.

Et qui sont les clients ?

Globalement, leurs clients semblent être des gouvernements qui cherchent à contrôler la libre circulation de l'information et la liberté d'expression. Aujourd’hui, le fait que ces gouvernements achètent ce genre de logiciel est quasiment devenu une norme. Or, ce sont rarement les démocraties qui s’intéressent à cette technologie... D’après notre dernier rapport sur le sujet publié en mai, nous savons que près de 80% de ces entreprises sont basées dans des démocraties et que plus de 50% des clients sont des régimes autoritaires ou hybrides [c'est-à-dire en transition vers des gouvernements oppressifs ndlr]. Je pense que les États répressifs, principalement au Moyen-Orient, sont les plus susceptibles de vouloir acheter cette technologie parce qu'ils sont aussi les plus susceptibles de vouloir traquer leurs opposants. Mais il n’y a pas que les États autoritaires qui le font.

Voulez-vous dire que les pays démocratiques se servent aussi de ces logiciels ?

Il y a eu divers rapports publiés sur l'utilisation d'une technologie similaire en Europe, et notamment en Espagne. Et même avant cela, les pays démocratiques utilisaient des technologies directement mises en place par l'État. Cela signifie qu'ils n’avaient pas nécessairement besoin de faire appel à des entreprises privées puisqu’ils fabriquaient eux-mêmes ces outils pour surveiller les gens. Donc, je pense que ce phénomène ne se passe pas uniquement dans les pays autoritaires, mais évidemment ces derniers représentent un risque plus important à cause du manque global de protection des droits des individus.

Quand est-ce que ces firmes ont commencé leur activité ? Est-ce un business récent ?

Non, elles existent depuis un certain temps, au moins depuis sept ou huit ans. Mais je pense que ce qui a changé, c'est que leurs produits sont devenus de plus en plus sophistiqués et de plus en plus invasifs. Problème : cela se fait de manière beaucoup plus rapide que ce que les fabricants de nos téléphones peuvent suivre. Donc, en conclusion, cette technologie existe sous diverses formes depuis assez longtemps maintenant, mais la vitesse à laquelle elles évoluent s'accélère nettement.

Et quand est-ce que ce business a commencé à alerter l’opinion publique ? Y a-t-il eu un élément déclencheur ?

De toute évidence, ces entreprises sont très secrètes et elles ont tout fait pour agir dans l’ombre. Elles ont très bien réussi cacher leurs agissements au début. Mais dès que les détails de ces technologies ont été divulgués, les gens se sont inquiétés. Il est impossible de ne pas se préoccuper du fait que cette technologie présente un risque pour la vie privée des personnes et leur sécurité. Les gens sont donc au courant depuis maintenant plusieurs années, et je pense que les médias ont joué un rôle actif pour rattraper le manque de connaissances sur ces sujets.

Ces technologies présentent donc un risque pour les individus ?

Il y a eu de nombreuses situations où cette technologie a pu avoir un impact sur la vie des gens. NSO Group a par exemple été accusé d’être lié au meurtre de Jamal Khashoggi. À maintes reprises, nous constatons que cette technologie est utilisée dans l’unique but de violer les droits de l'Homme, et cela se produit dans le monde entier.

Finalement, on peut dire que ces entreprises gagnent de l’argent principalement grâce aux États autoritaires ?

Mais il n’existe pas de règles pour réguler le marché et les contrats qui peuvent avoir une incidence sur les droits de l’Homme ? Ces firmes n’ont jamais été poursuivies en justice ?

Il y a eu de multiples tentatives pour freiner ces entreprises, mais ces dernières se sont avérées très inefficaces. Donc, ce que nous avons vu et ce que nous continuons actuellement de voir, c'est que le marché n’est en grande partie pas réglementé. Les entreprises sont libres de fabriquer puis de vendre leurs technologies aux gouvernements du monde entier, indépendamment de leurs impacts sur les droits humains, ce qui est évidemment très préoccupant.

Pensez-vous que le scandale Pegasus va permettre de changer les choses ?

Je l’espère. Mais ce n'est pas la première fois que nous entendons parler de ces technologies utilisées à mauvais escient. Et pour que ce soit le dernier scandale, il faudrait que beaucoup de changements aient lieu, à la fois du côté des entreprises, mais également du côté des gouvernements qui autorisent d’exporter ces technologies hors de leurs frontières.

Pegasus n’est-il pas que la partie visible de l’iceberg ? Doit-on s’attendre à de nouvelles révélations dans les mois à venir ?

Oui, absolument. Et je pense que cette histoire a montré que NSO Group n'est qu'une des sociétés impliquées dans ce business. Ils ne sont certainement pas les seuls à fabriquer cette technologie. Et je pense qu'il y a d'innombrables autres personnes dans le monde qui pourraient potentiellement être surveillées en ce moment-même, et qui ne le savent pas.

