Des hauts fonctionnaires de l'UE attaqués par des logiciels espions

iPhone
Les attaques auraient été menées via une faille de sécurité iOS, aujourd’hui comblée, qui a également été exploitée par le logiciel espion controversé Pegasus. (Source : Unsplash)

Des hauts fonctionnaires de la Commission européenne ont été attaqués l’année dernière par des logiciels espions. C’est ce qu’a rapporté l’agence de presse Reuters ce lundi. Jusqu’à présent, on ne sait pas qui est responsable de ces attaques.

Selon le rapport, l’une des cibles de l’espionnage était le smartphone de Didier Reynders. L’homme politique belge est commissaire européen à la justice et à l’État de droit depuis 2019. Les téléphones d’au moins quatre autres collaborateurs de la Commission européenne, dont les noms n’ont pas été révélés, auraient également été attaqués. Reuters se base sur les déclarations de fonctionnaires européens familiers de l’affaire et sur des documents internes de l’UE concernant les incidents.

La Commission européenne aurait été alertée de ces attaques par des avertissements d’Apple. Depuis la fin de l’année dernière, le groupe informe les utilisateurs lorsqu’il découvre des indices d’« attaques d’espionnage parrainées par l’Etat ». La Commission aurait alors averti ses collaborateurs qu’ils pourraient eux aussi être la cible d’une attaque avec des logiciels espions.

Attaques en « zero-click »

Selon Reuters, certains des smartphones concernés ont été examinés par des chercheurs en sécurité. Ils auraient pu constater que les attaques ont eu lieu entre février et septembre 2021. Les experts ont également pu retracer le mode d’attaque : ainsi, une faille de sécurité du système d’exploitation iOS de l’iPhone a été exploitée, permettant des attaques dites « zero-click ». Le programme d’espionnage est installé à distance, sans que les personnes concernées n’aient à intervenir ou à se rendre compte de l’attaque. Il n’est toutefois pas clair si les smartphones ont ensuite été effectivement espionnés.

Des chercheurs en sécurité du Citizen Lab de l’université de Toronto avaient découvert la faille de sécurité en septembre 2021 et démontré que le logiciel espion controversé Pegasus du développeur israélien NSO était installé de cette manière. Apple avait encore comblé cette faille de sécurité en septembre avec une mise à jour.

Qu’est-ce que Pegasus ?

Pegasus est un logiciel d’espionnage de l’entreprise israélienne NSO Group. Le logiciel espion peut prendre le contrôle complet d’un appareil infiltré et allumer par exemple la caméra et le microphone sans que l’on s’en aperçoive – ou copier toutes les données. Il est également possible d’accéder aux données de localisation et de lire les mots de passe. Le programme de surveillance est critiqué depuis des années en rapport avec des violations des droits de l’homme.

En février, Reuters avait en outre rapporté que le logiciel espion Reign de l’entreprise israélienne Quadream avait également infecté des smartphones par ce biais d’attaque. Le logiciel serait capable, comme Pegasus, de prendre le contrôle complet des smartphones.

En juin 2021 déjà, le journal israélien Haaretz avait rapporté que, comme NSO, Quadream vendait ses propres logiciels d’espionnage aux gouvernements. Parmi les clients de l’entreprise figurerait notamment l’Arabie saoudite.

La commission veut enquêter sur les incidents

On ne sait pas encore exactement quel logiciel espion a été utilisé contre les collaborateurs de l’UE. NSO a déclaré à Reuters ne pas être responsable de ces attaques. Quadream n’a pas répondu aux questions des journalistes. On ne sait pas non plus qui est à l’origine de ces attaques.

Reuters écrit en outre que la Commission européenne n’a pas répondu à la question de savoir si les cas étaient encore en cours d’examen. Lors d’une conférence de presse lundi, un porte-parole de l’UE n’a pas non plus voulu commenter les cas actuels.

L’eurodéputée néerlandaise Sophie in ‘t Veld a qualifié ces révélations de « dynamite » auprès de Reuters. Sur Twitter, elle a exigé que la Commission européenne mène une enquête interne et informe le Parlement européen : les attaques toucheraient « à l’intégrité de la démocratie européenne ».

Elle a également annoncé que la commission d’enquête du Parlement européen sur l’utilisation abusive de Pegasus se pencherait sur ces attaques. Le Parlement européen avait voté en mars pour la création de cette commission. Elle doit examiner si Pegasus a été utilisé dans l’UE, par exemple contre des journalistes et des hommes politiques. L’enquête portera également sur l’utilisation illégale de « logiciels de surveillance et d’espionnage similaires ».

Déploiement de Pegasus dans l’UE

Des députés ont demandé la création de cette commission, car des gouvernements de l’UE auraient également utilisé Pegasus de manière illégale : Des journalistes ont par exemple été espionnés en Hongrie et des membres de l’opposition en Pologne. Les deux gouvernements avaient reconnu avoir acheté le logiciel d’espionnage, mais avaient démenti son utilisation illégale.

Auparavant, l’été dernier, les organisations Forbidden Stories et Amnesty International ainsi que plusieurs médias internationaux avaient révélé comment des professionnels des médias, des défenseurs des droits de l’homme et des opposants étaient surveillés par Pegasus dans le monde entier. Ils avaient analysé un ensemble de données comprenant plus de 50.000 numéros de téléphone qui avaient apparemment été sélectionnés par les utilisateurs de Pegasus comme cibles potentielles d’espionnage. La liste comprenait également des hommes politiques de haut rang comme le président du Conseil européen, Charles Michel, et le président français Emmanuel Macron.

Amnesty International a fait savoir que les cas actuels montraient à quel point la diffusion des logiciels espions était déjà avancée. Les gouvernements n’auraient pas fait assez d’efforts pour enquêter et prévenir les violations des droits humains causées par l’industrie des logiciels espions. Amnesty International et d’autres organisations demandent un moratoire mondial sur la vente et la transmission de technologies de surveillance.

Mi-février, le contrôleur européen de la protection des données, Wojciech Wiewiórowski, s’était en outre prononcé pour une interdiction des logiciels d’espionnage ayant les capacités de Pegasus dans l’UE. De tels programmes menaceraient les droits et libertés fondamentaux des personnes, mais aussi la démocratie et l’État de droit. Leur utilisation serait donc incompatible avec les valeurs démocratiques de l’UE. (js)