Pegasus: comment contre-attaquer juridiquement face au cyber-espionnage?

L’enquête collaborative menée par un consortium international de journalistes a révélé en juillet 2021 le Projet Pegasus, un logiciel d’espionnage développé et commercialisé par l’entreprise israélienne NSO, dont certaines autorités étatiques, notamment marocaine et hongroise, auraient fait usage. 

Selon l’enquête, le logiciel aurait permis à des États de prendre le contrôle des téléphones d’un certain nombre de personnes, parmi lesquels des chefs d’États et des membres de gouvernements, mais aussi des journalistes, des avocats et diverses personnalités politiques ou de la société civile. 

L’affaire fait scandale, bien entendu, et d’une manière qui pourrait amuser, les États les plus dotés se formalisent (sans trop en faire cependant) de l’exploitation de failles dont on voudrait certainement faire croire qu’elles ne sont pas exploitées par ceux qui n’utilisent pas le logiciel développé par la société NSO. Cette affaire revêt en effet une dimension cybercriminelle du fait des intrusions dans la vie privée d’individus (journalistes, avocats, etc.) mais aussi un caractère d’espionnage puisque l’État français a été ciblé, à travers l’interception du téléphone du Président de la République, notamment. 

Il n’existe pas de cadre légal uniforme et contraignant permettant de réguler la conception et la commercialisation de tels logiciels.

Quelles réponses donnera la France à ce scandale, qui jette le trouble sur la sécurité de chacun, et inquiète sur la porosité de systèmes censés garantir notre sécurité nationale? Et surtout, qui poursuivre? L’utilisateur ou le concepteur de la technologie? Sinon les deux? 

L’affaire Amesys, un précédent en la matière  

Ce scandale fait écho à l’affaire Amesys, dans laquelle la société française éponyme a été mise en cause pour avoir vendu un dispositif de surveillance au régime libyen de Mouammar Kadhafi. Dans cette affaire, initiée sur une plainte de la Fédération internationale pour les droits humains (FIDH) et toujours en cours d’instruction, il a été envisagé que le système de surveillance vendu au régime libyen ait rendu possible des répressions ayant conduit à des tortures. C’est dans cette mesure que les personnes ayant permis cette vente, au nom du concepteur de ce logiciel de surveillance, ont été mises en cause comme complices de ces répressions. L’affaire n’a pas encore été jugée, et les cadres de la société sont présumés innocents. Leur mise en examen montre toutefois que le système juridique français permet la mise en cause du concepteur d’un logiciel d’espionnage, du fait des conséquences de cet espionnage sur la vie des personnes surveillées. 

Les droits des victimes d’espionnage et d’atteinte au droit à la vie privée 

La cybercriminalité comme l’espionnage constituent une violation du droit de chacun au respect de sa vie privée, érigé au rang de liberté fondamentale par le droit français. Cette liberté, consistant à pouvoir exiger une protection de nos intimités, explique sans nul doute l’émoi causé par les pratiques de la société NSO. Mais au-delà, le droit permet aux victimes de saisir la justice afin de voir sanctionnées ces intrusions. Et comme il est ici question d’une liberté parmi les plus importantes qui soient, les citoyennes et citoyens sauront que leurs actions en justice seront scrutées par la Cour européenne des droits de l’Homme, qui sait se montrer vigilante quand les États parties à la Convention européenne des droits de l’Homme ne protègent pas eux-mêmes ceux qui subissent une telle atteinte.

En France, l’utilisation comme la conception de logiciels à des fins de surveillance sont punies de peines d’emprisonnement et la conception de ces logiciels peut s’analyser en une forme d’intelligence avec une puissance étrangère. 

Quid de la responsabilité de NSO Group? 

Dans l’affaire Pegasus, il pourrait être décidé de poursuivre l’entreprise ayant développé la technologie en s’appuyant sur un arsenal juridique français qui réprime les concepteurs de logiciels de surveillance, qualifiés comme tel dès lors qu’ils permettent “d’accéder ou de maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données”. NSO étant une entreprise israélienne, quels sont les véritables moyens d’action des autorités françaises à son encontre? En droit international, les biens et technologies à double usage ne sont réglementés que par la Convention de Wassenaar de 1995, dont Israël n’est pas signataire. En l’état, les principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’Homme n’étant pas contraignants, aucune action ne pourra être envisagée pour avoir simplement et seulement conçu ou vendu le logiciel espion. En revanche, l’affaire pourra être considérée sous l’angle des conséquences de cette vente. C’est l’un des enseignements de l’affaire Amesys, qui pourrait se trouver dupliquée. Et s’il fallait transposer, il faudrait ici envisager la complicité de NSO pour tout crime ou délit commis en France, grâce à son logiciel. 

Vers une régulation du renseignement interétatique? 

Si le Parlement israélien a mandaté une commission pour enquêter sur les allégations d’espionnage, le scandale ranime la question de la régulation du renseignement interétatique. Car chaque État dispose et use de son service de renseignement. Mais la frontière entre le renseignement et l’espionnage est ténue et la réalité est telle que les États ont intérêt à garder cette pratique secrète et non régulée. 

Parmi les États ayant prétendument eu recours au logiciel Pegasus, on compte la Hongrie. Les États membres de l’Union Européenne étant soumis au principe de confiance mutuelle, tout État membre pourrait envisager de traduire devant la Cour de Justice de l’Union Européenne un autre État membre qui, utilisant Pegasus, aurait manqué à ses obligations. 

Chaque État dispose de son service de renseignement. Mais la frontière entre le renseignement et l’espionnage est ténue et la réalité est telle que les États ont intérêt à garder cette pratique secrète et non régulée.

S’agissant du Maroc, la France ne disposera que de sanctions diplomatiques. Or, de telles sanctions interrogent sur leur efficacité à protéger les victimes et prévenir la récurrence de telles violations. Ce scandale pourrait aussi ressusciter d’anciennes tensions diplomatiques avec le Royaume, qui refuse toute coopération judiciaire, quand est invoquée à son encontre une violation des droits humains. En 2015 déjà, lorsqu’une enquête judiciaire menée en France avait conduit à seulement envisager l’interrogatoire d’un cadre du renseignement marocain, le Royaume avait immédiatement gelé ses relations diplomatiques avec la France.

C’est donc sans surprise que le Maroc a, dès le 20 juillet 2021, démenti toute relation contractuelle avec l’entreprise israélienne et nié toute implication dans cette affaire d’espionnage. Les autorités marocaines, ont entre autres condamné la “campagne médiatique mensongère, massive et malveillante” et assigné en justice Amnesty International et Forbidden Stories, pour diffamation, devant le tribunal correctionnel de Paris. Cette procédure pourrait toutefois ne pas aboutir, la Cour de cassation ayant jugé en 2019 qu’un État ne pouvait engager de telles poursuites. 

Le Maroc est aussi dans le viseur de son voisin algérien dont les responsables et citoyens auraient été espionnés. Le Ministre des affaires étrangères algérien a déclaré que “l’Algérie se réserve le droit de mettre en œuvre sa stratégie de riposte [...]”. De ce point de vue, le scandale pourrait prendre une dimension géopolitique et nourrir, si ce n’est raviver, les tensions observées souvent en Afrique du Nord.

Vers une régulation du secteur de la surveillance numérique? 

Bien qu’il existe, en France comme en Israël, des autorités de contrôle de l’exportation de biens à double usage qui peuvent être utilisés à des fins civile et militaire, il n’existe pas de cadre légal uniforme et contraignant permettant de réguler la conception et la commercialisation de tels logiciels. De ce fait, la mise en œuvre d’une réglementation érigeant des obligations contraignantes en la matière serait bienvenue. 

Au-delà, l’affaire Pegasus interroge sur la problématique incessante des failles des systèmes informatiques, que les sociétés comme NSO exploitent pour concevoir leurs cyber-armes. 

Cette affaire Pegasus révèle au grand public la fragilité des technologies auxquelles nous confions notre intimité et notre sécurité.

Selon les rapports 2021a et 2021b publiés le 9 février 2021 par l’OCDE, le marché de la faille informatique est favorisé par l’implication des services de renseignement étatiques qui utilisent ces failles pour renforcer leurs propres systèmes d’espionnage. Le rapport de l’OCDE appelle à un “effort collectif” et à une démarche coopérative et harmonisée. 

Cette affaire Pegasus révèle au grand public la fragilité des technologies auxquelles nous confions notre intimité et notre sécurité collective. Elle inquiétera donc les plus insouciants, tandis que les plus attentifs trouveront une raison supplémentaire de dénoncer la légèreté avec laquelle nous acceptons de nous en remettre à des systèmes dont il est démontré qu’ils sont poreux. Il est remarquable par ailleurs que la puissance d’un État puisse se mesurer aussi par sa capacité à autoriser la vente de moyens de surveillance à d’autres États officiellement moins soucieux du respect des libertés, mais dont les services de renseignements n’ont, eux, pas les moyens de les enfreindre sans recourir à la sous-traitance. L’intérêt principal de cette affaire pourrait être de permettre que chacun ouvre les yeux, et exprime son indignation face à de telles atteintes, et à un tel danger pour nos sécurités et libertés publiques, pour qu’enfin ce qui nous est fondamental soit préservé.

À voir également sur Le HuffPost: Aux Marquises, Macron renommé “Te Haka Iki Taaoa”

LIRE AUSSI

• Pegasus: le Maroc attaque Forbidden Stories et Amnesty international en diffamation à Paris
• BLOG - Pegasus, mode d’emploi d’un logiciel espion