(Crédit: DR)

Nicolas Arpagian sur Radio J: « Il y a un appétit pour le renseignement économique, diplomatique et technologique »

Nicolas Arpagian, enseignant à l’école de guerre économique et expert en cybersécurité, était l’invité de Cyrielle Cohen ce jeudi matin sur Radio J, à 7h45. Il est revenu sur l’affaire Pegasus.

Pegasus, ce logiciel espion appartenant à la société israélienne NSO et vendu par celle-ci par des États tiers comme le Maroc, le Mexique, les Emirats arabes unis, la Hongrie et l’Arabie saoudite, fait encore couler beaucoup d’encre. Il y a quelques jours, un consortium de journalistes internationaux, qui eux-mêmes tenaient ces informations d’ONG, a révélé 50 000 contacts, personnalités du monde entier potentiellement ciblés. Parmi elles, se trouvent au moins 180 journalistes, 85 militants des droits humains ou encore 14 chefs de l’État. En France plus de 1 000 contacts dont plusieurs membres du gouvernement français et le président de la République seraient visés. Benny Gantz a toutefois démenti cette information ce mercredi auprès de Florence Parly. 

Nicolas Arpagian explique que cette affaire illustre le « phénomène de l’importance du renseignement numérique dans les relations internationales, même entre pays alliés. Il y a un appétit pour le renseignement économique, diplomatique et technologique. Mais, on manque de preuves car ce sont des modes opérateurs diffus, numérisés et donc difficilement démontrables. […] C’est ce que n’apprécient pas les diplomates : la mise sur la place publique de pratiques qui d’habitude sont réservées aux arrière-cours et doivent être dissimulées ».

Pegasus est par ailleurs connu pour être intraçable. Pourtant, dans le cadre de cette affaire, il a été plus ou moins tracé. Nous savons aussi qu’il a été retrouvé dans des affaires extrêmement sensibles. « Avec l’arrivée de la numérisation et l’intensification des usages numériques, on va arriver avec des prestataires privés qui vont pouvoir élaborer des technologies et faire en sorte de trouver des débouchés et des clients », détaille l’expert en cybersécurité. « Il va falloir maintenant démontrer ce qui est arrivé. […] C’est une logique de diplomatie qui se met en œuvre pour tenter de minimiser les actions des uns et la faiblesse numérique des autres ».

Comment Benny Gantz peut-il savoir que le téléphone d’Emmanuel Macron n’a pas été traqué ? Pour Nicolas Arpagian, toute la complexité est là. NSO a par ailleurs rapidement publié un communiqué sur son site internet en disant qu’il ne répondra plus aux journalistes. « On peut penser que l’entreprise, les entités cibles et les entités comme le ministère israélien de la Défense tiennent toutes à ce que l’actualité passe et qu’on vienne à d’autres sujets de préoccupation ».

Rappelons aussi que NSO est une société israélienne privée. Mais, le logiciel Pegasus est considéré comme un produit de cybersécurité offensif. Afin d’être vendu à des pays tiers au même titre qu’une arme, il doit donc obtenir le feu vert de l’agence de contrôle des exportations militaires qui dépend du ministère israélien de la Défense. L’État d’Israël était-il obligatoirement au courant de toute cette manœuvre ou cela a pu lui échapper ? « C’est vraisemblable qu’il y a forcément une information préalable, une logique d’accord. C’est toute la difficulté des technologies à double usage. On voit que ce n’est pas la technologie qui est en cause mais le contexte d’utilisation et le maillage qui va être fait ».

Lorsque la France vend des armes à des pays étrangers, est-ce qu’on lui demande comment elle va les utiliser et surtout contre qui ? « C’est là toute la difficulté de vendre un outil avec un contexte. D’habitude, dans l’armement conventionnel, on a fait une traçabilité avec des engagements juridiques. Là, il y a des éléments physiques, des équipements dont l’usage ne se mesure pas de manière concrète et physique. La capacité à vérifier les fonctionnalités, les cibles envisagées, est beaucoup plus difficile. C’est pour cela que la réglementation dans ce domaine tâtonne un peu. […] Il faut aussi que les  États se mettent aussi en position d’être le moins écoutables possible en utilisant des moyens de protection. La chasse au renseignement est aussi vieille que l’humanité ».

Pour Nicolas Arpagian, le renseignement est naturel. « On commence à flécher des pratiques. Les États sont inconfortables. C’est pour ça que le ministre de la Défense s’est déplacé. Il faut maintenant cicatriser puisque la vie, les échanges diplomatiques et politiques doivent reprendre. On doit revenir à des relations apaisées et renforcer la capacité de protection ».

Le logiciel Pegasus semble alors particulièrement exceptionnel. L’expert en cybersécurité explique que NSO a réussi à récupérer des adresses mails, des éléments de connexion, des réseaux sociaux, des SMS ou encore des métadonnées du téléphone. « L’intrusion dans le téléphone se fait avec des zero-days, soit en ayant l’appareil de sa cible entre les mains, soit en envoyant un message anodin pour que le destinataire clique sur un lien pour télécharger un logiciel. Là où NSO franchit une étape, c’est dans l’expertise, dans ce que l’on appelle les zero-days, des failles qui sont dans le programme intrinsèque du téléphone ».

L’entreprise risque finalement un blâme ou bien une mise en cause commerciale. « Mais, on imagine mal des procédures judiciaires. Quelles vont être les entités visées ? Le prestataire technique ? NSO pourrait se justifier en disant qu’il a vendu sa solution à des tiers. Mais, c’est plus par des particuliers ou des entreprises que par des éclaircissements sur les parties prenantes et les intentions des uns et des autres que des plaintes vont être déposées ».

Dans le même temps, l’ONG Reporters sans frontière a réclamé un moratoire sur ses ventes et Angela Merkel a demandé plus de restrictions. Est-ce logique d’être autant victime d’autant de succès ? « Le succès qui triomphe est celui du téléphone portable. Il y a un tel condensé d’informations dans ce petit équipement ». Mais, cet appareil électronique présente aussi des failles, notamment quand le « dirigeant se trouve seul. On se rappelle que le président Trump avait dû céder à la demande du secret de service de bloquer la géolocalisation de son téléphone puisqu’il l’utilisait réellement pour envoyer ses tweets. Et cela limite les capacités de certains services à pouvoir suivre au quotidien et vérifier ces pratiques », conclut Nicolas Arpagian.

Cécile Breton