Inde. Une nouvelle enquête accablante révèle l’utilisation répétée du logiciel espion Pegasus contre des journalistes connus
Amnistie Internationale, en partenariat avec le Washington Post, a mis au jour de nouveaux éléments choquants concernant l’utilisation persistante du logiciel espion hautement invasif Pegasus, de l’entreprise NSO Group, afin de prendre pour cible des journalistes de premier plan en Inde, dont l’un avait déjà été victime d’une attaque utilisant le même logiciel espion.
Les enquêtes menées par le Security Lab d’Amnistie Internationale ont confirmé que Siddharth Varadarajan, rédacteur en chef et fondateur de The Wire, et Anand Mangnale, rédacteur en chef pour l’Asie du Sud de l’Organised crime and corruption report project (OCCRP), figuraient parmi les journalistes récemment visés par le logiciel espion Pegasus sur leurs iPhones, le dernier cas identifié ayant eu lieu en octobre 2023.
L’utilisation de Pegasus, un type de logiciel espion très invasif développé par la société de surveillance israélienne NSO Group, survient dans un contexte de répression sans précédent par les autorités indiennes contre la liberté d’expression et la liberté de réunion pacifiques, qui a eu un impact paralysant sur les organisations de la société civile, les journalistes et les militant·e·s.
« Nos conclusions les plus récentes montrent que les journalistes indiens sont de plus en plus souvent visés par des mesures de surveillance illégales pour avoir simplement fait leur travail, ainsi que par d’autres outils de répression, notamment le placement en détention en vertu de lois draconiennes, des campagnes de diffamation, des manœuvres de harcèlement et des actes d’intimidation », a déclaré Donncha Ó Cearbhaill, responsable du Security Lab d’Amnistie Internationale.
« En dépit de révélations récurrentes, il est choquant de constater que l’utilisation du logiciel espion Pegasus en Inde n’a pas débouché sur l’établissement des responsabilités, ce qui ne fait que renforcer l’impression que l’impunité règne face à ces violations des droits humains. »
Des enquêtes criminalistiques révèlent les activités de Pegasus
Le Security Lab d’Amnistie Internationale a observé pour la première fois des signes de nouvelles menaces de logiciels espions Pegasus contre des personnes en Inde lors d’un exercice de surveillance technique de routine en juin 2023, quelques mois après que les médias eurent rapporté que le gouvernement indien cherchait à se procurer un nouveau système commercial de logiciels espions.
En octobre 2023, Apple a émis une nouvelle série de notifications relatives à des menaces à l’échelle mondiale à l’intention des personnes utilisant un iPhone ayant pu avoir été visées par des « cyberattaquants soutenus par l’État ». Plus de 20 journalistes et personnalités politiques de l’opposition en Inde auraient reçu ces notifications.
Le Security Lab a donc procédé à une analyse criminalistique des téléphones de personnes ayant reçu ces notifications à travers le monde, comme Siddharth Varadarajan et Anand Mangnale. Il a trouvé des traces d’activité du logiciel espion Pegasus sur les appareils de ces deux journalistes indiens.
Le Security Lab a détecté sur l’appareil d’Anand Mangnale des traces d’un exploit de type « zéro clic » envoyé à son téléphone par iMessage le 23 août 2023 et conçu pour installer secrètement le logiciel espion Pegasus. Le téléphone fonctionnait sous iOS 16.6, la version a plus récente à l’époque.
Un exploit « zéro clic » désigne un programme malveillant permettant d’installer un logiciel espion sur un appareil sans nécessiter d’action de la part de l’utilisateur, par exemple le fait de cliquer sur un lien.
Le Security Lab a également identifié une adresse électronique contrôlée par l’attaquant et utilisée dans le cadre de l’attaque Pegasus sur son appareil. Les échantillons récupérés correspondent à l’exploit BLASTPASS de NSO Group, révélé publiquement par Citizen Lab en septembre 2021 et corrigé par Apple dans iOS 16.6.1 (CVE-2023-41064).
Le téléphone d’Anand Mangnale était vulnérable face à cet exploit « zéro-clic » au moment de l’attaque. On ne sait pas encore si cette tentative d’exploitation a compromis son appareil.
La tentative de ciblage du téléphone d’Anand Mangnale est survenue à un moment où il travaillait sur un article concernant une manipulation présumée d’actions par un grand conglomérat multinational en Inde.
Une analyse technique plus détaillée de l’exploit et des preuves associées sont disponibles sur le site Internet du Security Lab d’Amnesty Tech.
Historique de l’utilisation abusive de logiciels espions
Amnistie Internationale a déjà expliqué que le téléphone de Siddharth Varadarajan a été visé et infecté par le logiciel espion Pegasus en 2018. Ses appareils ont ensuite fait l’objet d’une analyse criminalistique effectuée par un comité technique mis en place par la Cour suprême de l’Inde en 2021 à la suite des révélations du projet Pegasus.
Ce comité a conclu son enquête en 2022, mais la Cour suprême n’a pas rendu publiques les conclusions de son rapport technique. La Cour a par ailleurs noté que les autorités indiennes « n’avaient pas coopéré » dans le cadre de l’enquête du comité technique.
Siddharth Varadarajan a de nouveau été visé par Pegasus le 16 octobre 2023. L’adresse électronique contrôlée par le cyberattaquant et utilisée dans l’attaque Pegasus contre Anand Mangnale a également été retrouvée sur le téléphone de Siddharth Varadarajan, ce qui confirme que les deux journalistes ont été visés par le même client Pegasus.
Rien n’indique que l’attaque Pegasus ait réussi dans ce cas.
« Le fait de s’en prendre à des journalistes uniquement parce qu’ils font leur travail constitue une atteinte illégale à leur vie privée et une violation de leur droit à la liberté d’expression. Tous les États, y compris l’Inde, sont tenus de défendre les droits humains, en protégeant leur population contre la surveillance illégale », a déclaré Donncha Ó Cearbhaill.
Des journalistes du Washington Post ont contacté NSO Group pour obtenir sa réponse à ces dernières conclusions.
La société a déclaré : « Bien que NSO ne puisse faire de commentaires sur des clients spécifiques, nous soulignons une nouvelle fois qu‘il s’agit d’organes chargés de l’application de la loi et de services de renseignement, tous soumis à une évaluation, et qui accordent des licences pour nos technologies dans le seul but de lutter contre le terrorisme et la grande délinquance. Les lignes directrices et contrats de notre entreprise prévoient des mécanismes visant à empêcher que des journalistes, des avocat·e·s, des défenseur·e·s des droits humains ou des dissident·e·s politiques qui ne sont pas impliqués dans des actes de terrorisme ou des infractions graves soient pris pour cible. L’entreprise n’a aucune visibilité concernant les cibles, ni sur les renseignements recueillis. »
NSO Group affirme vendre ses logiciels uniquement à des services de renseignement gouvernementaux et des organes chargés du maintien de l’ordre public. Jusqu’à présent, les autorités indiennes n’ont pas fait preuve de clarté ni de transparence concernant l’acquisition ou l’utilisation du logiciel espion Pegasus en Inde.
« Amnistie Internationale appelle tous les gouvernements, notamment l’Inde, à interdire l’utilisation et l’exportation de logiciels espions hautement intrusifs, qui ne peuvent pas être contrôlés de façon indépendante et dont les fonctionnalités ne peuvent pas être limitées », a déclaré Donncha Ó Cearbhaill.
L’organisation demande également que les conclusions du rapport du comité technique de la Cour suprême sur l’utilisation de Pegasus en Inde soient immédiatement rendues publiques. Le gouvernement indien doit également mener une enquête indépendante, transparente et impartiale dans les plus brefs délais sur tous les cas de surveillance ciblée, notamment sur ces dernières révélations.
Dans un souci de transparence, les autorités indiennes devraient également rendre publiques les informations afférentes aux contrats qui ont été, sont ou seront conclus avec des entreprises de surveillance privées, y compris ceux qui ont été signés avec NSO Group. »
Contexte
En octobre 2022, l’OCCRP a signalé, après analyse de bases de données commerciales, que la principale agence de renseignement nationale de l’Inde, le Bureau du renseignement, avait reçu une livraison de matériel de NSO Group correspondant à la description d’équipements utilisés pour faire fonctionner le système Pegasus, en avril 2017. Les premières attaques Pegasus identifiées par Amnistie Internationale en Inde ont eu lieu au début du mois de juillet 2017.
En 2020, Amnistie Internationale et Citizen Lab ont mis au jour une opération de surveillance coordonnée visant des défenseur·e·s des droits humains en Inde à l’aide de logiciels malveillants prêts à l’emploi.
En 2021, dans le cadre du Projet Pegasus, Amnistie Internationale a révélé, en partenariat avec Forbidden Stories, que de nombreux acteurs de la société civile et de journalistes du pays, notamment Siddharth Varadarajan, avaient été la cible d’un piratage par le logiciel espion Pegasus de NSO Group.
Le Security Lab continuera de suivre et de soutenir les organisations de la société civile qui, à travers le monde, sont préoccupées par les attaques de logiciels espions et la surveillance numérique illégale.
Amnistie Internationale tient à remercier le laboratoire sur la sécurité numérique de Reporters sans frontières pour son aide dans la collecte d’informations scientifiques durant cette enquête.
Si vous êtes un défenseur·e des droits humains, un militant·e ou un·e journaliste qui avez reçu une alerte émanant d’Apple ou d’autres plateformes, contactez-nous pour bénéficier de l’assistance de nos expert·e·s en informatique.
