Auriez
cliqué
 vous ?

On retrouve plus de 200 messages de ce genre dans l’une des plus vastes affaires de piratage téléphonique jamais orchestrée par un État en Europe. Un simple clic sur le lien suffit à infecter un téléphone avec un logiciel espion des plus sophistiqués.

Nous allons vous raconter l’histoire de ces capacités secrètes de piratage, de la façon dont s’en est servi un gouvernement et de la menace que cela représente pour les droits fondamentaux et la démocratie.

Et si ce n’était pas le clic qui comptait ?

De nombreuses personnes ont été la cible d’un piratage silencieux, sans aucune action de leur part. Comment ? Par le biais de techniques dites de « zero click », qui opèrent sans lien malveillant, ni supercherie. En un instant, un téléphone jusque-là sûr commence à transmettre en silence des informations privées aux espions du gouvernement.

À partir de 2017, et peut-être dès 2015, les téléphones de citoyens catalans ont été la cible d’une opération à grande échelle utilisant des logiciels espions de la société mercenaire de surveillance NSO Group.

Mais l’affaire ne s’arrête pas là.

D’autres ordinateurs appartenant à des Catalans ont été infectés par un logiciel espion fabriqué par une autre entreprise de cyberespionnage : Candiru.

Ces deux compagnies affirment que leurs produits sont vendus exclusivement à des gouvernements, dans le seul but de lutter contre la grande criminalité et le terrorisme.

Le contexte

Les tensions politiques entre l’Espagne et la Catalogne durent depuis de nombreuses années. Un tournant a été atteint en 2017, lors de la tenue du référendum sur l’indépendance de la Catalogne, qui a été jugé inconstitutionnel par le Tribunal constitutionnel espagnol. Cela a abouti à la dissolution du parlement catalan, à l’exil de plusieurs personnalités politique et au jugement, puis à la condamnation par la Cour suprême, de neuf dirigeants catalans, qui ont ensuite été graciés.

65

Au moins 65 personnes ont été infectées ou ciblées par un logiciel espion sophistiqué. Elles ont accepté de nous livrer leur histoire.

Ce logiciel d’espionnage s’infiltre secrètement dans les smartphones, et d’autres appareils. Il peut lire des textes, écouter des appels, consigner des mots de passe, suivre des localisations, accéder au micro et à la caméra de l’appareil et récolter des données d’applications. Il opère aussi une surveillance des appels et des chats cryptés. Cette technologie et également capable de maintenir l’accès aux comptes cloud des victimes, même quand l’infection est terminée.

Son nom ?

Pegasus

Ce logiciel d’espionnage sophistiqué, réservé aux gouvernements, est lié à des centaines d’irrégularités dans le monde.

Le nom de Pegasus vous dit peut-être quelque chose. C’est un logiciel espion mercenaire sophistiqué, vendu aux gouvernements du monde entier. On le retrouve dans des centaines d’affaires frauduleuses. Certains des cas les plus graves ont été orchestrés par des régimes autoritaires en Arabie saoudite, aux Émirats arabes unis, au Togo, en Jordanie et dans bien d’autres pays.

Pegasus a notamment été utilisé contre les membres de la famille du journaliste saoudien Jamal Khashoggi, avant et après son assassinat en Turquie. Le logiciel a attaqué des journalistes du monde entier, tout comme des défenseurs des droits humains, des dissidents et des lanceurs d’alerte.

D’autres abus ont été commis par de supposées démocraties comme l’Inde, la Pologne, la Hongrie et le Salvador.

Infections suspectées par Pegasus

Les Catalans n’ont pas été seulement ciblés par Pegasus. Voici comment nous avons pris Candiru sur le fait.

Candiru

Dans la belle ville de Gérone, Joan Matamala est à son bureau, au travail sur son ordinateur. Il ne le sait pas encore, mais nous venons de découvrir que son appareil est infecté. Il faut agir sans plus tarder. Après une longue liste d’appels, nous parvenons à joindre ses collègues. Sur un prétexte, ils le font sortir dans le couloir. Cette ruse est nécessaire. Car l’appareil infecté est peut-être sur écoute. Dès qu'on obtient son accord, on procède à l’emballage sécurisé de son ordinateur pour l’expédier dans la nuit, afin de le soumettre à une expertise judiciaire en informatique.

Voici comment nous avons saisi en direct une copie de Candiru.

Les logiciels espions comme Candiru sont conçus pour s’autodétruire sans laisser de trace. Il est donc très difficile de saisir une infection en direct. Or, pour la comprendre et la neutraliser, il est essentiel de disposer du code réel.

Avec l’échantillon ainsi récupéré, nous avons mené l’enquête aux côtés de Microsoft. Cela a permis d’identifier deux vulnérabilités zero-day, utilisées par Candiru pour infecter des appareils Windows avec un logiciel espion répondant au nom de code DevilsTongue.

Le 13 juillet 2021, Microsoft a mis à jour les 1,4 milliards d’appareils Windows avec un correctif empêchant toute nouvelle infection par Candiru au moyen de ces deux vulnérabilités.

Le piratage à grande échelle de la classe politique et de la société civile catalane était-il opportun ?

Les avis divergent au sujet de l’indépendance de la Catalogne. Mais ce piratage a ciblé des personnes n’ayant jamais fait l’objet d’accusations ou de sanctions pénales pour leur militantisme. Parmi ces victimes, on trouve des personnes se consacrant à la défense des droits humains ou à la politique, des dirigeants d’associations, des avocats, des journalistes, et même des développeurs de logiciels libres œuvrant pour la participation démocratique. Dans la liste figurent des présidents, des législateurs et des eurodéputés, tous Catalans. Dans certains cas, des membres de leur famille ont également été infectés.

Le ciblage a eu lieu pendant les négociations politiques et le débat sur l’indépendance de la Catalogne. Il va sans dire qu’espionner ses homologues lors d’un processus de négociation politique constitue un acte de mauvaise foi.

Cibles

Découvrez certaines des personnes ciblées

Pegasus et Candiru ont été utilisés pour pirater des Catalans de différents pans de la société.

Députés au Parlement européen

Quatre députés catalans au Parlement européen favorables à l’indépendance de la Catalogne ont été la cible de Pegasus, directement ou à travers leur entourage. Les appareils de deux eurodéputés ont été attaqués, l'un après leur entrée en fonction et l'autre peu avant d'être remplacés en fonction. Le personnel parlementaire, les membres de la famille ou les proches de deux autres eurodéputés ont également été visés par ce piratage.

Diana Riba

Infecté par Pegasus

Eurodéputée pour ERC (depuis 2019)

Jordi Solé

Infecté par Pegasus

Eurodéputé pour ERC (depuis 2020)

Ancien député du Parlement de Catalogne (2012 - 2015)

Infecté peu avant d’être démis de ses fonctions.

Clara Ponsatí

Ciblée à travers un membre du personnel du Parlement européen.

Eurodéputée pour JUNTS (depuis 2020)

Ancienne ministre de l’Education de Catalogne (2017 - 2017)

Carles Puigdemont

Ciblé à travers le personnel parlementaire, des membres de sa famille et des collaborateurs de confiance.

Eurodéputé pour JUNTS (depuis 2019)

Ancien président de la Catalogne (2016 - 2017)

Société civile catalane

Des membres de plusieurs organisations de la société civile catalane ont été ciblés par Pegasus ou Candiru. Deux organismes favorables à l’indépendance de la Catalogne ont notamment été touchés : Òmnium Cultural et Assemblea Nacional Catalana (ANC). C’est également le cas des avocats de certaines personnalités catalanes. Le piratage a aussi concerné des développeurs de logiciels libres liés à la participation démocratique et à la décentralisation.

Assemblea Nacional Catalana, ANC

Elisenda Paluzie

Infecté par Pegasus

Présidente de l’ANC (depuis 2018)

Jordi Sànchez

Infecté par Pegasus

Ancien président de l’ANC (2015 - 2017)

Òmnium Cultural

Txell Bonet

Infecté par Pegasus

Journaliste. Épouse de l’ancien président d’Òmnium, Jordi Cuixart.

Marcel Mauri

Infecté par Pegasus

Ancien vice-président d’Òmnium (2017 - 2022)

Des avocats représentant des personnalités catalanes

Andreu Van den Eynde

Infecté par Pegasus

Avocat de plusieurs leaders politiques catalans

Jaume Alonso-Cuevillas

Infecté par Pegasus

Avocat de plusieurs leaders politiques catalans

Gonzalo Boye

Infecté par Pegasus

Avocat de plusieurs leaders politiques catalans

Anonyme

Infecté par Pegasus

Avocat de plusieurs leaders politiques catalans

Développeurs de logiciels libres

Jordi Baylina

Infecté par Pegasus

Responsable de la technologie, Polygon

Pau Escrich

Ciblé par Pegasus et Candiru

CTO Aragon Labs. Cofondateur de Vocdoni

Xavier Vives

Ciblé par Candiru

Co-fondateur de Vocdoni

Figures politiques catalanes

Tous les présidents catalans depuis 2010 ont été ciblés par Pegasus, avant, pendant ou après leur mandat. Par ailleurs, des dirigeants politiques et des députés catalans ont été largement pris pour cible. C’est le cas de plusieurs présidents du parlement catalan, que ce soit pendant leur mandat ou avant leur entrée en fonction. De nombreux législateurs des partis politiques catalans ont également été visés.

Tous les présidents catalans depuis 2010

Pere Aragonès

Infecté par Pegasus

(infecté alors qu’il était vice-président, sous la présidence de Torra)

Mandat : depuis 2021

Joaquim Torra

Infecté par Pegasus

(infecté pendant son mandat)

Mandat : 2018 - 2020

Carles Puigdemont

Ciblé à travers son entourage.

(ciblé à travers son entourage)

Mandat : 2016 - 2017

Artur Mas

Infecté par Pegasus

(infecté après avoir quitté ses fonctions)

Mandat : 2010 - 2015

Présidents du parlement de Catalogne

Roger Torrent

Ciblé avec Pegasus

(Ciblé pendant son mandat)

Ancien président du parlement catalan

Laura Borràs

Ciblé avec Pegasus

(Ciblée alors qu’elle siégeait au congrès espagnol)

Présidente du parlement catalan

Partis politiques catalans

Ensemble pour la Catalogne

Ciblé avec Pegasus

(Junts per Catalunya, JUNTS) - (11 membres ciblés)

Gauche républicaine de Catalogne

Infecté par Pegasus

(Esquerra Republicana de Catalunya, ERC) - (12 membres ciblés)

Candidature d’Unité Populaire

Ciblé avec Pegasus

(Candidatura d'Unitat Popular, CUP) - (4 membres ciblés)

Parti démocratique européen catalan

Infecté par Pegasus

(Partit Demòcrata Europeu Català, PDeCAT) - (3 membres ciblés)

Parti nationaliste catalan

Ciblé avec Pegasus

(Partit Nacionalista Català, PNC) - (1 membre ciblé)

Une attaque expansive

Pour chaque personne piratée, c’est la vie privée de dizaines, voire de centaines d’autres qui est compromise : celle des personnes ayant communiqué avec la victime, ou s’étant simplement assise à ses côtés.

Dans certains cas, c’est l’entourage de la cible qui a été infecté (proches, membres de la famille ou collaborateurs). Le gouvernement exploitant le logiciel espion a sans doute jugé que leurs téléphones étaient une fenêtre sur la vie de leurs cibles principales.

Faites défiler pour voir quelques exemples

Elisenda Paluzie

Name
Nouveau projet de l’ANC [lien malveillant] 06/05/2020 [SenderID : europress]
SenderID: Twitter @cronicaglobal Elections à l’ANC [lien malveillant] 10/06/2020 [SenderID : Twitter]

Ancienne présidente de l’ANC (2018-2022)

Elisenda Paluzie est une éminente économiste, universitaire et militante catalane. C’est pendant le confinement du COVID, alors qu’elle télé-travaillait à domicile, qu’elle a été victime d’une première tentative d’infection. Il s’agissait d'un soi-disant reportage sur l’association ANC.

Le 10 juin, elle se représentait à la présidence de l’ANC. Le vote en ligne venait de commencer quand a eu lieu une seconde tentative d’infection. Il s’agissait dans ce cas d’une fausse publication Twitter d’un journal catalan.

Une expertise judiciaire a démontré que Mme Paluzie a également été infectée par Pegasus aux alentours du 29 octobre 2019. Le ciblage a eu lieu pendant une vague de protestations ayant suivi la condamnation de plusieurs personnalités politiques catalanes.

Carles Puigdemont

Name

Ancien président de la Catalogne (2016-2017)

Faute de preuves d’expertise judiciaire disponibles, nous n’avons pas pu confirmer que l’ancien président catalan ait été infecté par Pegasus. Cependant, il pourrait avoir été la cible d’une surveillance étendue à travers le ciblage de son entourage.

Nous avons en effet détecté un arc de ciblage autour de l’ancien président. Au moins onze personnes de son entourage ont été visées par Pegasus, depuis son épouse jusqu’à ses confidents, en passant par ses employés domestiques, son avocat et ses amis. La surveillance de leurs appareils respectifs aurait fourni une image détaillée de la vie de l’ancien président, ses mouvements et ses pensées.

Ciblage de l’entourage

Attaques du cercle professionnel et personnel de Carles Puigdemont.

Gonzalo Boye

Name
@CJR Répression mondiale de la liberté de la presse [lien malveillant] 21/04/2020 [SenderID : Twitter]
SenderID : Twitter @hrw Une idée radicale pour l’Europe [lien malveillant] 09/05/2020 [SenderID : Twitter]

L’avocat de Puigdemont

Gonzalo Boye est un avocat qui a représenté de nombreuses personnalités politiques catalanes, en particulier les présidents Puigdemont et Torra. Son ciblage suscite des préoccupations quant à une possible violation délibérée du secret professionnel de l’avocat.

Entre janvier et mai 2020, M. Boye a fait l’objet d’au moins 18 tentatives d’infection par Pegasus via SMS. Certains de ces messages se faisaient passer pour des tweets d’organisations comme Human Rights Watch, The Guardian, Columbia Journalism Review et Politico.

D’après les preuves d’expertise judiciaire, le téléphone de Boye a été activement infecté par Pegasus à partir du 30 octobre 2020. Une date curieuse, quand on sait que l’un de ses clients avait été arrêté à peine 48 heures avant.

Image: “Declaració de Quim Torra al TSJC” © Òmnium Cultural. Source Wikimedia Commons.

La fraude comme principe

On a tendance à croire que le problème des logiciels espions mercenaires, comme Pegasus, est qu’ils sont vendus à des dictateurs qui en abusent. Certes.

Mais les démocraties ne sont pas à l’abri des pratiques frauduleuses avec ce genre de logiciels : des États démocratiques comme la Pologne, le Mexique, le Salvador et l’Inde ont tous été touchés par des scandales. Étonnamment, on constate que ces affaires coïncident souvent avec un recul de la démocratie.

Quand un État acquiert un logiciel espion, la question n’est pas de savoir si des abus se produiront, mais quand. Et ce, même au sein d’une démocratie.

L’Espagne est-elle concernée ?