Alors que les
cyber-entreprises israéliennes comme le créateur du logiciel espion Pegasus NSO
subissent un retour de bâton qui menace leur avenir, Intellexa – une entreprise
détenue par un ancien officier du renseignement israélien – a ouvert une officine
à Athènes, et ses affaires sont florissantes
Aéroport international de Larnaca à Chypre. Pendant plus d'un
semestre en 2019, WiSpear, la filiale d'Intellexa, a illégalement extrait des
informations personnelles de citoyens. Photo Kekyalyaynen/Shutterstock, traitée
par Shani Daniel
ATHÈNES – Dans une
banlieue paumée de la capitale grecque, dans un immeuble de bureaux tout aussi anonyme
surplombant un centre commercial générique, vous trouverez une entreprise
appelée Intellexa. Des sources qui ont été à l'intérieur disent que ses bureaux
tentaculaires occupent cinq étages et comprennent des chambres à coucher, un
centre de formation et même une zone avec des tapis de prière afin que ceux qui
viennent de pays musulmans comme le Bangladesh pour recevoir une formation
puissent prier, bien qu’il soit interdit aux entreprises israéliennes de faire
des affaires avec le Bangladesh.
Lorsque les journalistes
ont pour la première fois sonné à l'interphone devant la porte d'Intellexa il y
a quelques mois, la personne de l'autre côté a répondu en hébreu. Quand votre serviteur
était là cet été, personne n'a répondu.
Vers la fin du mois de
juillet, l'entreprise, selon des sources en Grèce, avait donné pour instruction
à son personnel de travailler de chez lui – y compris d'Israël – et avait
délocalisé ses activités dans une autre partie de la capitale grecque.
Ce n'est pas la première
fois qu'Intellexa est apparemment contraint de quitter ses bureaux. Il ne
s'agit pas vraiment d'une seule entreprise – bien qu'une entreprise sous ce nom
soit enregistrée en Irlande – mais plutôt d'un nom de marque pour un ensemble
de différentes entreprises offrant des technologies et des services de cyberattaque,
des logiciels espions aux renseignements extraits de sources ouvertes.
Tal Dilian, co-PDG d'Intellexa. Les liens de son entreprise avec le
marché israélien sont un secret de Polichinelle. Photo : Yiannis
Kourtoglou / REUTERS
Ces entreprises sont
dirigées -ou liées à lui - par Tal Dilian, autrefois chef du service de
renseignement militaire israélien connu sous le nom d'Unité 81, qui est chargé
du développement technologique. C'est un Israélien qui a également la
citoyenneté maltaise [un “passeport doré” qui peut s’obtenir moyennant 650 000
€, NdT]. Cependant, les différentes entreprises dans lesquelles il est impliqué
et qui forment ensemble Intellexa sont enregistrées dans de nombreux pays à
travers le monde, formant un réseau d'entreprises complexe qui est presque
impossible à démêler.
Ce que l'on sait, c'est
qu'à partir de 2019, Dilian opérait depuis Chypre, où son parapluie de firmes
Intellexa se surnommait l’ « alliance des étoiles » du cyber-renseignement
et du monde numérique.
Les entreprises au sein de
l'alliance comprennent WiSpear, une société de cybercattaque qui peut pirater
des téléphones et géolocaliser des cibles via des systèmes Wi-Fi, et que Dilian
a lui-même établie ; et Cytrox, une entreprise (créée par son prédécesseur
dans l'unité d'informations secrètes) dont le produit phare est Predator – un
logiciel espion similaire au désormais célèbre logiciel espion Pegasus fabriqué
par le groupe NSO. Predator est considéré comme le plus grand concurrent de
Pegasus après les logiciels espions produits par la firme israélienne Paragon.
Pubs pour certains
services informatiques d'Intellexa.
Cependant, alors que les
activités de NSO, Paragon et d'autres entreprises israéliennes de cyberguerre
sont de plus en plus strictement réglementées par les autorités de défense
israéliennes, des sources dans l'industrie affirment qu'Intellexa n'est pas
sous surveillance israélienne. Ils affirment qu'en conséquence, l'entreprise
peut fournir des services que les entreprises israéliennes ne peuvent pas
fournir officiellement, par crainte que du savoir-faire ou de secrets de la
défense ne fuient. Ces sources disent également qu’Intellexa peut aussi faire
des affaires avec des États auxquels les Israéliens ne peuvent pas vendre, pour
des raisons de sécurité ou de diplomatie.
Cette enquête menée
conjointement par Haaretz-TheMarker et la publication grecque de journalisme
d'investigation Inside
Story révèle maintenant la société complexe de cyberarmes et de
renseignement-à-louer dirigée par Dilian en Grèce depuis 2020.
Le groupe NSO,
fabricant du tristement célèbre logiciel espion Pegasus, licencie plus de 10 %
de ses employés, tandis que le PDG Shalev Hulio va se retirer et se concentrer
sur la recherche d'un acheteur pour la société.
Shalev Hulio (Haifa,
1979), le “S” de NSO (le “N” est pour Niv Karmi et le “O” pour Omri Lavie, les 2 cofondateurs)
NSO Group, la société israélienne de cyberguerre
connue pour son tristement célèbre logiciel espion Pegasus, licencie une
centaine de personnes et remplace son PDG, a confirmé un porte-parole de la
société.
Le PDG Shalev Hulio, l'un des trois cofondateurs de
NSO, quitte son poste et s'attachera désormais à trouver un acheteur pour la
société, après l'échec d'un accord visant à la vendre à l'entrepreneur de
défense usaméricain L3Harris, en raison de l'opposition des responsables usaméricains
et israéliens. Yaron Shohat, qui était directeur des opérations, prendra la
place de Hulio.
NSO a déclaré qu'elle allait également se séparer
d'une centaine de ses 750 employés, soit environ 13 % de son personnel.
La cyberentreprise affirme qu'elle prévoit de terminer
l'année en cours avec un chiffre d'affaires de 150 millions de dollars, mais
elle est en grande difficulté financière depuis que le ministère usaméricain du
commerce l'a placée sur sa liste noire en novembre dernier, après qu'il a été
révélé que certains États africains utilisaient le logiciel Pegasus pour
espionner les fonctionnaires du département d'État US en Afrique.
Cette décision avait été précédée par le Projet
Pegasus, un consortium de journalistes d'investigation dirigé par l'ONG
parisienne Forbidden Storieset comprenant Haaretz, qui a publié une
série de rapports alléguant l'utilisation abusive du logiciel d'espionnage
Pegasus par des régimes du monde entier.
Après la publication des recherches du Projet Pegasus,
le département de surveillance des exportations du ministère de la Défense
israélien a considérablement réduit la liste des États vers lesquels des
sociétés comme NSO peuvent commercialiser leurs produits. Un certain nombre de
cyber-entreprises israéliennes - parmi lesquelles des concurrents plus petits
de NSO comme Nemesis - ont commencé à fermer leurs portes après que le
département de surveillance a refusé d'approuver leurs nouveaux contrats en
Orient et en Afrique.
Les tentatives de NSO pour être retiré de la liste
noire usaméricaine sont restées vaines jusqu'à présent. Il y a quelques mois,
la société a commencé à rechercher un accord visant à vendre NSO à une société
de sécurité usaméricaine, ce qui en ferait une entité usaméricaine et lui
permettrait d'être retirée de la liste. L'accord avec L3Harris, une entreprise
sous-traitante du Pentagone, qui était soutenu par certains membres de la
communauté du renseignement usaméricain, a échoué en raison de l'opposition
d'Israël et de Washington.
Dans les mois qui ont suivi la tentative de vente, NSO
a continué à essayer de faire avancer l'affaire pour tenter de sauver ses
opérations. Les hauts responsables du secteur préviennent que si Israël ne
permet pas la conclusion de nouveaux accords, davantage d'entreprises fermeront
leurs portes, davantage d'employés seront licenciés et, selon eux, Israël
cessera d'être une force majeure sur le marché de la cyberguerre. [sniff
sniff, on est bien triste pour eux, NdT]
Omer
Benjakob est reporter et rédacteur sur les questions de technologie
et cybernétique pour Haaretz en anglais. Il couvre également Wikipédia
et la désinformation en hébreu. Il est né à New York et a grandi à Tel Aviv. Il
est titulaire d'une licence en sciences politiques et en philosophie et prépare
une maîtrise en philosophie des sciences. @omerbenj
Des membres de la commission d'enquête du
Parlement européen sont venus en Israël pour enquêter sur Pegasus, et ont été
surpris de découvrir des contrats avec leur pays d'origine. Sur le marché animé
des logiciels espions en Europe, voici les principaux concurrents de NSO
NSO et ses concurrents sur le marché européen des logiciels espions
Des représentants de la commission d'enquête du Parlement
européen sur le logiciel espion Pegasus se sont récemment rendus en Israël et
ont appris du personnel de NSO que la société a des contrats actifs dans 12 des
27 pays membres de l’UE. Les réponses de la société israélienne de cyberguerre
aux questions de la commission, qui ont été obtenues par Haaretz,
révèlent que la société travaille actuellement avec 22 organisations de
sécurité et de police dans l'UE.
Des représentants du comité se sont rendus en Israël ces
dernières semaines pour s'informer en profondeur sur l'industrie locale de la
cyberguerre, et ont eu des discussions avec des employés de NSO, des
représentants du ministère de la Défense et des experts locaux. Parmi les
membres du comité figurait un député catalan dont le téléphone portable a été
piraté par un client de NSO.
Le comité a été créé après la publication du Projet
Pegasus l'année dernière, et son objectif est de créer une réglementation
paneuropéenne pour l'acquisition, l'importation et l'utilisation de logiciels
de cyberguerre tels que Pegasus. Mais pendant que les membres du comité étaient
en Israël, et surtout depuis leur retour à Bruxelles, il a été révélé qu'en
Europe, il existe également une industrie de la cyberguerre bien développée -
et que nombre de ses clients sont des pays européens.
Le logiciel espion Pegasus de la société israélienne et les
produits concurrents permettent d'infecter le téléphone portable de la victime
de la surveillance, puis de permettre à l'opérateur d'écouter les
conversations, de lire les applications contenant des messages cryptés et de
fournir un accès total aux contacts et aux fichiers de l'appareil, ainsi que la
possibilité d'écouter en temps réel ce qui se passe autour du téléphone
portable, en actionnant la caméra et le microphone.
Lors de leur visite en Israël, les eurodéputés ont voulu
connaître l'identité des clients actuels de NSO en Europe et ont été surpris de
découvrir que la plupart des pays de l'UE avaient des contrats avec la société
: 14 pays ont fait affaire avec NSO dans le passé et au moins 12 utilisent
encore Pegasus pour l'interception légale des appels mobiles, selon la réponse
de NSO aux questions de la commission.
En réponse aux questions des députés, la société a expliqué
qu'à l'heure actuelle, NSO travaille avec 22 « utilisateurs finaux »
- des organisations de sécurité et de renseignement et des autorités chargées
de faire respecter la loi - dans 12 pays européens. Dans certains de ces pays,
il y a plus d'un client. (Le contrat n'est pas conclu avec le pays, mais avec
l'organisation exploitante). Dans le passé, comme NSO l'a écrit au comité, la
société a travaillé avec deux autres pays - mais les liens avec eux ont été
rompus. NSO n'a pas révélé quels pays sont des clients actifs et avec quels
deux pays le contrat a été gelé. Des sources dans le domaine de la cybernétique
indiquent que ces pays sont la Pologne et la Hongrie, qui ont été retirées
l'année dernière de la liste des pays auxquels Israël autorise la vente de
cybernétique offensive.
Certains membres de la commission pensaient que l'Espagne
avait pu être gelée après la révélation de la surveillance des dirigeants des
séparatistes catalans, mais des sources sur le terrain ont expliqué que
l'Espagne, qui est considérée comme un pays respectueux de la loi, figure
toujours sur la liste des pays approuvés par le ministère israélien de la Défense.
Les sources ont ajouté qu'après l'éclatement de l'affaire, Israël, NSO et une
autre entreprise israélienne travaillant en Espagne ont exigé des explications
de Madrid - et se sont vu assurer que l'utilisation des dispositifs israéliens
était légale. Les sources affirment que le contrat entre les sociétés
israéliennes et le gouvernement espagnol n'a pas été interrompu. Pendant ce
temps, en Espagne, il a été révélé que les opérations de piratage - aussi
problématiques soient-elles en termes politiques - ont été effectuées
légalement.
L'exposition de l'ampleur de l'activité de NSO en Europe
met en lumière le côté moins sombre de l'industrie cybernétique offensive : Les
pays occidentaux qui opèrent selon la loi et le contrôle judiciaire des écoutes
de civils, par opposition aux dictatures qui utilisent ces services secrètement
contre les dissidents. NSO, d'autres sociétés israéliennes et de nouveaux
fournisseurs européens sont en concurrence pour un marché de clients légitimes
- un travail qui n'implique généralement pas de publicité négative.
Ce domaine, appelé interception légale, a suscité ces
dernières années la colère d'entreprises technologiques telles qu'Apple
(fabricant de l'iPhone) et Meta (Facebook est le propriétaire de WhatsApp, via
lequel le logiciel espion a été installé). Ces deux entreprises ont intenté un
procès à NSO pour avoir piraté des téléphones via leurs plateformes et mènent
la bataille contre ce secteur. Le domaine suscite également un grand malaise en
Europe, qui a mené une législation complète sur la question de la
confidentialité de l'internet, mais cela ne signifie pas qu'il n'y a aucun
intérêt pour ces technologies ou leur utilisation sur le continent.
La semaine dernière encore, il a été révélé que la Grèce
utilisait un logiciel similaire à Pegasus, appelé Predator, contre un
journaliste d'investigation et contre le chef du parti socialiste. Le Premier
ministre a affirmé que les écoutes étaient légales et fondées sur une
injonction. Predator est fabriqué par la société cybernétique Cytrox, qui est
enregistrée dans le nord de la Macédoine et opère depuis la Grèce. Cytrox
appartient au groupe Intellexa, détenu par Tal Dilian, un ancien membre haut
placé des services de renseignement israéliens. Intellexa était auparavant
situé à Chypre, mais après une série d'incidents embarrassants, il a transféré
son activité en Grèce. Alors que l'exportation du Pegasus de NSO est supervisée
par le ministère israélien de la Défense, l'activité d'Intellexa et de Cytrox
ne l'est pas.
L’ex-chef du renseignement grec Panagiotis Kontoleon, qui a
démissionné dans le cadre d'un scandale lié à l'espionnage présumé d'un
politicien de l'opposition, à Athènes en juillet. Photo : YIANNIS PANAGOPOULOS -
AFP
Aux Pays-Bas également, un débat public a récemment eu lieu
après qu'il a été révélé que les services secrets ont utilisé Pegasus pour capturer
Ridouan Taghi, un baron de la drogue arrêté à Dubaï et accusé de 10 meurtres
choquants. Bien que l'utilisation ait été légale et activée contre un élément
criminel, aux Pays-Bas, on a voulu savoir pourquoi les services secrets étaient
impliqués dans une enquête interne de la police néerlandaise, et après le
rapport, il y a eu des demandes pour un auto- examen concernant la manière dont
le logiciel espion a été utilisé aux Pays-Bas.
Outre les sociétés israéliennes actives sur le continent,
il s'avère que l'Europe compte un certain nombre de fabricants de logiciels
espions. La semaine dernière, Microsoft a révélé un nouveau logiciel espion
appelé Subzero, qui est fabriqué par une société autrichienne située au
Lichtenstein, appelée DSIRF. Ce logiciel espion exploite une faiblesse
sophistiquée de type « zero-day » pour pirater les ordinateurs.
Contrairement à NSO, qui a attendu plusieurs années avant d'admettre qu'elle
travaille avec des clients en Europe, les Autrichiens se sont défendus. Deux
jours après la révélation de Microsoft, ils ont réagi durement et expliqué que
leur logiciel espion « a été développé uniquement pour un usage officiel
dans les pays de l'UE, et que le logiciel n'a jamais été utilisé à mauvais
escient ».
En Europe, les entreprises de logiciels espions sont plus
expérimentées : il y a quelques semaines, les enquêteurs de sécurité de Google
ont révélé un nouveau logiciel espion nommé Hermit, fabriqué par une société
italienne appelée RSC Labs, un successeur de Hacking Team, un concurrent ancien
et familier, dont la correspondance interne a été rendue publique par une
énorme fuite à Wikileaks en 2015. Hermit a également exploité une faiblesse de
sécurité peu connue pour permettre le piratage d'iPhones et d'appareils
Android, et a été trouvé sur des appareils au Kazakhstan, en Syrie et en
Italie.
Dans ce cas également, il y a une indication que les
clients de RCS Labs, qui est situé à Milan avec des succursales en France et en
Espagne, comprennent des organisations européennes officielles d'application de
la loi. Sur son site web, elle fait fièrement état de plus de « 10 000
piratages réussis et légaux en Europe ».
D'autres logiciels espions pour téléphones portables et
ordinateurs ont été révélés par le passé sous les noms de FinFisher et FinSpy.
En 2012, le New York Times a rapporté comment le gouvernement égyptien a
utilisé ce dispositif, initialement conçu pour lutter contre la criminalité,
contre des militants politiques. En 2014, le logiciel espion a été trouvé sur
l'appareil d'un USAméricain d'origine éthiopienne, ce qui a éveillé les
soupçons selon lesquels les autorités d'Addis-Abeba sont clientes du fabricant
britannico- allemand, une société appelée Lench IT Solutions.
L'eurodéputée néerlandaise Sophie in 't Veld [groupe Renew Europe, NdT], qui est membre de
la commission d'enquête Pegasus, a déclaré à Haaretz : « Si une
seule entreprise a pour clients 14 États membres, vous pouvez imaginer
l'ampleur du secteur dans son ensemble. Il semble y avoir un énorme marché pour
les logiciels espions commerciaux, et les gouvernements de l'UE sont des
acheteurs très enthousiastes. Mais ils sont très discrets à ce sujet, en le
gardant à l'abri des regards du public ».
Les entreprises comme NSO sont confrontées à un dilemme :
révéler l'identité des gouvernements clients qui utilisent légalement ses
outils permettra de faire face aux critiques publiques d'organisations telles
que Citizen Lab, des médias et des élus, mais mettra en péril les accords
futurs, compte tenu des clauses sur l'abus de confiance et des contrats de
confidentialité conclus avec ses clients.
« Nous savons que des logiciels espions sont
développés dans plusieurs pays de l'UE. L'Italie, l'Allemagne et la France ne
sont pas les moindres », a déclaré in 't Veld. « Même s'ils
l'utilisent à des fins légitimes, ils n'ont aucun appétit pour plus de
transparence, de surveillance et de garanties. Les services secrets ont leur
propre univers, où les lois normales ne s'appliquent pas. Dans une certaine
mesure, cela a toujours été le cas, mais à l'ère numérique, ils sont devenus
tout-puissants, et pratiquement invisibles et totalement insaisissables ».
NSO n'a pas répondu à la demande de commentaire de Haaretz.
L'époque où NSO travaillait en secret avec l'encouragement actif du
Premier ministre Netanyahou et de la communauté du renseignement est révolue et
ne reviendra jamais.
L'entreprise israélienne NSO
Group, près de la ville de Sapir, dans le sud d'Israël, en août. Photo :
Sebastian Scheiner / AP
Comme plusieurs autres choses de l'ère Netanyahou qui ne sont plus, la diplomatie cybernétique de l'ancien premier ministre est aujourd'hui confrontée à une situation désespérée. Au cours des dernières années de son mandat, Netanyahou s'est vanté de la triple réussite de sa politique : le renouvellement de la pression économique sur l'Iran grâce à son ami le président usaméricain Donald Trump ; une percée significative dans les relations avec les pays arabes et musulmans ; et un élargissement du cercle d'amis d'Israël dans le monde, en grande partie grâce au secteur de pointe de la haute technologie israélienne.
Lorsque Netanyahou a bénéficié d'un traitement royal en Extrême-Orient, en Europe de l'Est ou même lors d'un rassemblement de dirigeants d'Afrique de l'Est, il l'a attribué à la puissance technologique et économique d'Israël. Partout dans le monde, des pays voulaient être les meilleurs amis d'Israël parce qu'ils voulaient bénéficier du progrès technologique, affirmait-il. Son public aurait eu l'impression qu'Israël apportait le progrès et le bien-être au monde, tout comme il partageait les techniques d'irrigation avancées avec les pays d'Afrique il y a cinq décennies.
La réalité est moins réjouissante. Dans plus d'un cas, ce que Netanyahou a offert à ses nouveaux amis, dont beaucoup étaient des autocrates qui cherchaient à accroître leur pouvoir aux dépens de leurs citoyens, était une cybertechnologie offensive leur permettant de s'immiscer dans la vie privée des gens et de surveiller et espionner les journalistes et les opposants à leur régime.
Parallèlement au resserrement des relations, des liens ont été tissés entre les services de renseignement israéliens et de hauts responsables de ces pays, jetant les bases de l'achat de Pegasus, le logiciel d'espionnage avancé de la société israélienne NSO. Haaretz a détaillé cette méthode dans un reportage sur les coulisses d'un accord conclu avec l'Arabie saoudite il y a plus de trois ans.
Mais l'époque où cette société d'Herzliya travaillait en secret avec l'encouragement actif du Premier ministre et de la communauté du renseignement est révolue, pour ne plus jamais revenir. NSO est maintenant pris dans d'énormes problèmes, suite à la série de révélations sur ses activités et aux sanctions que l'administration Biden lui a imposées le mois dernier.
Le logiciel malveillant très
ciblé est vendu par l'entreprise israélienne à des clients qui l'utilisent pour
espionner des journalistes, des dissidents et d'autres personnes, indique la
société de cybersécurité ESET dans un nouveau rapport.
Un logiciel espion fabriqué
par Candiru, une société d'outils de piratage basée à Tel-Aviv, a été découvert
sur plusieurs ordinateurs en Europe et au Moyen-Orient, a indiqué la société de
cybersécurité ESET.
L'entrée du bureau de Candiru à
Tel Aviv, en 2018. Photo
: Ofer Vaknin
Dans son rapport de septembre, ESET écrit que selon les
recherches publiées par Citizen Lab et le Microsoft Threat Intelligence Center
en juillet au sujet du maliciel Devils Tongue de
Candiru, celui-ci est
"vendu à des tiers, qui peuvent en abuserpour espionner diverses victimes,
notamment des défenseurs des droits humains, des dissidents, des journalistes,
des militants et des politiciens".
Selon le rapport, les chercheurs d'ESET ont
"découvert des indications du maliciel DevilsTongue dans nos données de
télémétrie, affectant environ 10 ordinateurs" en Albanie, en Russie et au
Moyen-Orient. Le malware a été trouvé en Israël, dans les territoires
palestiniens, en Turquie et dans d'autres parties de la région.
Il indique également que "le maliciel est
très ciblé : chaque victime de DevilsTongue que nous avons identifiée disposait
d'un échantillon personnalisé avec des ressources PE uniques pour cette victime".
La mention de l’"obscure firme d'espionnage mercenaire israélienne",
comme Candiruest surnommée dans le rapport, est susceptible de perturber les
Israéliens.
En juillet,
Microsoft et Google ont signalé un certain nombre de vulnérabilités de type
"zero-day" découvertes dans le système d'exploitation Windows et dans
le populaire navigateur ouèbe Chrome. Candiru avait exploité ces
vulnérabilitésafin d'attaquer des cibles dans une centaine de pays, de l'Iran et du
Liban à l'Espagne et au Royaume-Uni.
Quadream,
dirigée par un ancien responsable du renseignement militaire israélien, a vendu
une technologie de piratage à l'Arabie saoudite. Elle permet aux clients de
pirater l'iPhone d'une cible sans un seul clic.
Il n'y a pas de
panneau sur la porte, pas de logo indiquant que ce bureau abrite une cyber-entreprise
réalisant des offensives en ligne. Mais si vous êtes parvenu au 19e
étage de cet immeuble de bureaux anodin de Ramat Gan, soit vous savez où vous
allez, soit vous êtes au mauvais endroit et vous n'êtes pas le bienvenu. Même
les coursiers ne sont pas autorisés à entrer et il y a une boîte spéciale où la
nourriture commandée par les travailleurs peut être déposée et récupérée par
ceux qui sont autorisés à entrer.
Bienvenue dans
les bureaux de Quadream. Une recherche en ligne sur le nom de la cyber-entreprise
israélienne ne donne que peu ou pas de résultats. Quelques infos relient son
nom à une opération d’intrusion dans le système électoral au Ghana, mais pas
grand-chose d'autre.
Cet immeuble de bureaux insignifiant à Ramat Gan, connu sous
le nom de Shushan Hugi, abrite Quadream. Ses bureaux n'ont pas de logo et se
trouvent au 19e étage. Photo Rakoon