Espionnage des journalistes mexicains : enquête sur le marché très rentable de la cyber surveillance

Malgré des scandales à répétition, l’industrie mondiale de la cyber surveillance, aidée par quelques intermédiaires bien connectés, continue de fournir au Mexique des technologies toujours plus invasives. Plusieurs journalistes ont été pris pour cible par ces outils sans qu’aucun responsable mexicain ne soit jamais inquiété. Le Veracruz, État qui dénombre le plus de journalistes assassinés dont Regina Martínez, est allé jusqu’à mettre en place une unité d’espionnage suréquipée qui gardait un œil sur la profession.

Illustration : Sébastien Bianco

POINTS CLEFS

  • Une analyse technique du Security Lab d’Amnesty International montre que le rédacteur-en-chef du magazine mexicain Proceso, Jorge Carrasco, a été visé en 2016 par une tentative d’infection par le logiciel espion Pegasus, vendu par la société israélienne NSO, alors qu’il travaillait sur les Panama Papers. Il est le dixième journaliste identifié parmi les cibles de cette technologie au Mexique.
  • Dans le Veracruz, l’État mexicain qui dénombre le plus de journalistes assassinés, une unité d’espionnage de pointe a été créée à la fin des années 1990. Des analystes tenaient entre autres des fiches sur les journalistes, les militants et les opposants politiques, détaillant leurs relations professionnelles, leurs affiliations politiques et leurs orientations sexuelles, en utilisant un vaste réseau d’informateurs et des technologies de surveillance.
  • Des anciens employés de l’entreprise italienne Hacking Team racontent pour la première fois comment leur technologie de cyber surveillance a été utilisée abusivement à plusieurs reprises au Mexique, y compris contre des journalistes.
  • Selon les autorités américaines, les cartels de la drogue auraient eux-mêmes eu accès à des outils de cyber surveillance par l’intermédiaire de fonctionnaires corrompus.
  • Le Mexique reste aujourd’hui un importateur important de matériel de cyber surveillance auprès d’entreprises étrangères, notamment israéliennes.

C’est un message qui était passé inaperçu mais qui cache une opération de surveillance à la pointe de la technologie. Ou du moins il aurait dû. Au printemps 2016, le journaliste mexicain Jorge Carrasco vient de passer plusieurs mois à enquêter sur les Panama Papers pour le magazine Proceso. Alors qu’il poursuit ses recherches sur les clients mexicains du tristement célèbre cabinet d’affaires panaméen Mossack Fonseca, il reçoit un SMS d’un numéro inconnu : « Bonjour Jorge, je vais te partager la note qu’Animal Politico a publiée aujourd’hui et qu’il me semble important de reprendre. » Le tout assorti d’un lien. « Qui est-ce ? », s’enquiert le journaliste. L’expéditeur ne répondra jamais. 

Derrière ce correspondant mystère : une tentative d’intrusion du logiciel espion Pegasus, vendu par la société israélienne NSO Group à plusieurs clients gouvernementaux mexicains. C’est la conclusion d’une analyse technique réalisée par l’équipe de spécialistes de la sécurité numérique d’Amnesty International en collaboration avec Forbidden Stories. Le lien, une fois cliqué, a le pouvoir d’installer un logiciel invisible qui aspire toutes les données du téléphone, notamment les SMS, et permet d’en activer le microphone et la caméra à distance. Une menace redoutable pour un journaliste.  

« J’avais remarqué ce message à l’époque mais j’en recevais beaucoup de ce genre-là », se rappelle aujourd’hui le journaliste qui est désormais rédacteur en chef du magazine Proceso

Jorge Carrasco, rédacteur en chef du magazine Proceso a été la cible d’un logiciel espion en 2016.

« Le message faisait probablement partie d’une campagne en cours au Mexique pendant cette période », selon Claudio Guarnieri d’Amnesty Security Lab. A l’époque, le logiciel est utilisé à tout va par les clients mexicains. D’après Amnesty, le numéro de téléphone qui a ciblé Jorge Carrasco a également envoyé à la même période plusieurs SMS avec des liens malveillants à la journaliste Carmen Aristegui, l’une des journalistes d’investigation les plus célèbres du Mexique. Derrière le lien, un nom de domaine qui sera également utilisé en 2017 pour cibler avec le même logiciel plusieurs défenseurs d’une taxe sur les boissons sucrées. 

« Le ciblage était non seulement étendu, mais il était souvent fait de manière assez imprudente, avec des messages alarmants et dérangeants utilisés pour essayer de provoquer le clic des cibles du logiciel malveillant », explique John Scott-Railton de Citizen Lab, une organisation qui enquête depuis plusieurs années sur les attaques de ce logiciel. 

Il semble que presque toutes les technologies disponibles ont à un moment donné été présentées au Mexique, y ont fait l’objet de démo ou y ont été utilisées

Jorge Carrasco s’ajoute à la liste de neufs journalistes dont les téléphones ont montré des traces d’une attaque du logiciel espion Pegasus au Mexique. Depuis dix ans, le pays est un gros importateur de technologies de surveillance malgré des scandales répétés autour de l’utilisation de ces outils contre des journalistes et des activistes. En dépit des promesses du gouvernement, rien n’a été mis en place pour réglementer l’usage de ces outils, aucun des précédents opérateurs n’est passé devant la justice et le pays continue d’importer du matériel intrusif auprès d’entreprises étrangères. 

Un attrait pour la technologie israélienne

Selon un haut responsable de la DEA, l’agence américaine anti-drogue, une vingtaine de sociétés privées de logiciels espions ont vendu leurs logiciels à plusieurs services de police fédéraux et d’État mexicains. « Il semble que presque toutes les technologies disponibles ont à un moment donné été présentées au Mexique, y ont fait l’objet de démo ou y ont été utilisées », explique John Scott-Railton. 

Les technologies israéliennes ont particulièrement bonne réputation auprès des responsables mexicains. « Au Mexique, il est courant dans la communauté de la sécurité et du renseignement de considérer qu’Israël possède les technologies les plus avancées et les meilleures techniques pour la formation civile et militaire », explique Paloma Mendoza Cortés, analyste et consultante sur les questions de sécurité nationale.

Le SMS malveillant reçu par Jorge Carrasco en 2016.

Le logiciel espion de NSO peut aspirer toutes les données d’un téléphone (Source : Hacking Team Leak)

Le Mexique a d’ailleurs longtemps été l’un des plus gros clients de NSO Group. Après un premier contrat mitigé avec le secrétariat à la Défense nationale, l’entreprise israélienne s’implante définitivement sur le marché en 2014 en signant un contrat de 32 millions de dollars avec le bureau du procureur général. Dans les mails du concurrent italien Hacking Team, qui ont été massivement piratés et diffusés en 2015, on lit au détour de quelques phrases la montée en puissance de NSO à l’époque. Pour les vendeurs italiens il s’agit alors de « déboulonner le mythe NSO » auprès des clients mexicains qui s’enthousiasment pour cette technologie qui promet un accès total aux téléphones ciblés.

Nous sommes comme un fantôme. Nous sommes totalement transparents pour la cible, et nous ne laissons aucune trace.

 


 

Selon un expert en sécurité, Gadi Evron, les entreprises israéliennes offrent une palette d’outils allant de vulnérabilités dans les logiciels jusqu’à un service clef en main où le client transmet simplement un numéro de téléphone ou une adresse mail et obtient en retour tout ce dont il a besoin sur la cible.

Sur ce marché, NSO s’est imposé comme leader. « Nous sommes comme un fantôme », se vantait le cofondateur Omri Lavie en 2013. « Nous sommes totalement transparents pour la cible, et nous ne laissons aucune trace. » La solution phare de l’entreprise, Pegasus, infecte les téléphones mobiles ciblés par l’intermédiaire de SMS malveillants comme celui reçu par Jorge Carrasco. Mais autour de 2018 l’entreprise cherche des modes d’infection plus discrets. « Les SMS sont très visibles et laissent derrière eux beaucoup de traces qui ont été utilisées à maintes reprises par des enquêteurs pour confirmer un ciblage NSO », explique Claudio Guarnieri. En 2019, on apprend que l’entreprise israélienne utilise désormais une faille de l’application WhatsApp. Aujourd’hui, plus aucune action de l’utilisateur n’est nécessaire grâce à des redirections presque invisibles du trafic internet. Une fois l’attaque réussie, le client peut tout voir du téléphone ciblé.

« Je pense que les problèmes d’abus ont probablement augmenté dans le monde entier, mais il est plus difficile de les trouver », déplore John Scott-Railton. « Comme NSO et d’autres s’orientent vers la vente de technologies « zéro-clic » qui ne reposent pas sur un SMS, nous sommes dans une situation plus difficile en termes d’investigation. »

Grâce au développement de cette technologie, ils sont capables, dans de nombreux endroits, d’identifier le prochain Nelson Mandela avant qu’il ne sache lui-même qu’il est le prochain Nelson Mandela

L’outil très puissant, censé combattre le terrorisme et le crime organisé, peut s’avérer très dangereux s’il est utilisé contre des journalistes, des opposants ou des activistes. « Grâce au développement de cette technologie, ils sont capables, dans de nombreux endroits, d’identifier le prochain Nelson Mandela avant qu’il ne sache lui-même qu’il est le prochain Nelson Mandela », explique Eitay Mack, un avocat israélien des droits de l’homme. Pourtant, il est difficile de sensibiliser le grand public à ce type de danger. « Une arme c’est le symbole de quelque chose de mauvais, de dangereux », explique l’avocat. « Mais un système de surveillance c’est plus difficile à comprendre, c’est quelque chose qu’on ne peut pas voir. »

Dans une réponse écrite à Forbidden Stories, NSO a affirmé « enquêter de manière approfondie sur toute allégation crédible d’utilisation abusive, y compris les affirmations selon lesquelles [leur] technologie a été utilisée à des fins autres que des cas légitimes de prévention et d’enquête de faits de terrorisme ou d’autres crimes. » 

Du côté des autorités israéliennes, les dénonciations répétées de l’utilisation de Pegasus contre des membres de la société civile ne justifient pas de sanctionner NSO Group qui continue de voir sa licence d’export renouvelée. « Pour le gouvernement israélien, la surveillance des journalistes et activistes est juste un état de fait », constate Eitay Mack. 

NSO affirme que sa technologie n’est utilisée que pour combattre des menaces comme le terrorisme ou le crime organisé.

« Chaque évaluation de licence est faite à la lumière de diverses considérations, notamment l’évaluation du pays vers lequel le produit sera commercialisé », a répondu à Forbidden Stories un porte-parole du ministère de la Défense israélien. « Les droits de l’homme, la politique et les questions de sécurité sont tous pris en considération. »

Selon un ancien employé de Hacking Team, l’industrie de la cyber surveillance avait réellement pour but de combattre la criminalité au départ mais au fur et à mesure ses clients et ses missions ont changé. C’était le cas pour l’entreprise italienne. « Les grandes agences d’espionnage ont commencé à s’équiper pour gérer ces opérations elles-mêmes », explique-t-il. « On s’est donc adressé à un autre segment de clientèle, les pays qui n’ont pas d’outils. Progressivement, il y a eu de plus en plus d’opérations qui étaient vraiment à la limite. Et vers la fin, la plupart des opérations étaient plus qu’à la limite. » Contacté par Forbidden Stories, l’ancien directeur de Hacking Team, David Vincenzetti, n’a pas souhaité répondre à nos questions.

En face, des pays comme le Mexique mettent en avant le besoin de s’équiper pour contrer des organisations criminelles puissantes. « Il y a une communication autour des problèmes de sécurité au Mexique qui sont utilisés comme excuse pour dépenser de grosses sommes d’argent dans l’acquisition de technologies prétendument utilisées pour lutter contre le crime organisé », explique Luis Fernando García, directeur de l’organisation de défense des droits numériques R3D. « Même si, comme nous le savons au Mexique, la ligne de démarcation entre le crime organisé et le gouvernement est inexistante ou souvent très floue. »

Les gouverneurs et la collusion avec les cartels

C’est particulièrement vrai au niveau des États fédérés où les fonctionnaires ont parfois des liens avec les cartels opérant dans la région. Pourtant la division du Mexique en une multitude d’États est précisément ce qui rend le pays attractif auprès d’entreprises de cyber surveillance qui peuvent ainsi vendre leur technologie, réservée aux acteurs publics, à une multitude de clients. 

La stratégie fonctionne bien. Convaincu par la solution Remote Control System (RCS) de Hacking Team qui permet d’infecter des ordinateurs grâce à des fichiers malveillants, Tomás Zerón, directeur en chef de l’Agence d’enquête criminelle (AIC) du bureau du procureur, en devient l’ambassadeur auprès des États. « Son idée est, étape par étape et en cas de succès, d’équiper chaque [procureur local] du pays avec RCS », explique un employé dans un mail de 2014.  

Après les bureaux des procureurs, ce sont les exécutifs locaux, et même une entreprise publique, Pemex, qui se dotent du logiciel RCS. « Ils n’ont pas les pouvoirs en vertu de la Constitution pour faire de l’interception des communications, mais ils ont acquis des outils qui leur permettent de faire exactement cela », explique Luis Fernando García. Selon Paloma Mendoza Cortés, c’est l’absence de législation adéquate et de définitions claires en matière de sécurité qui créeraient une confusion juridique. 

Parfois, des gens se présentaient devant nous en disant qu’ils travaillaient pour les services secrets, et on se demandait ‘mais qui sont ces gens ?’

L’identité des utilisateurs finaux n’est d’ailleurs pas toujours claire pour les entreprises de cyber surveillance elles-mêmes. En 2011, pendant plusieurs mois, l’intermédiaire mexicain DTXT Corp. garde par exemple le logiciel RCS sans qu’il ne soit livré au client supposé, la police fédérale. Les employés de Hacking Team demandent à maintes reprises que leur soit retourné le contrat de licence d’utilisateur final signé, sans succès. Un an plus tard, un employé commentera, dans une note générale, « il semble que ce soit une chose courante au Mexique ». Le directeur de DTXT Corp. n’a pas répondu aux questions de Forbidden Stories.

Dans l’État de Puebla, des employés de l’entreprise italienne s’étonnent d’une installation particulièrement suspecte. « Ils devaient déployer la solution pour le client et ils ont été amenés dans une maison abandonnée, sans fenêtres, à deux heures de la ville », témoigne un ancien employé qui gérait la situation à distance. L’un des ingénieurs de Hacking Team reconnaît alors, paniqué, un fonctionnaire, Joaquin Arenal Romero, dont il suspecte des liens avec le cartel des Zetas. « Ce ne sont pas des choses qui arrivaient quotidiennement, mais c’est sûr que ça arrivait souvent », raconte un autre ancien employé de l’entreprise. « Parfois, des gens se présentaient devant nous en disant qu’ils travaillaient pour les services secrets, et on se demandait ‘mais qui sont ces gens ?’ » En 2017, interrogé par le New York Times, le gouvernement de Puebla a nié avoir acheté la moindre technologie de Hacking Team.

Capture d’écran d’une vidéo promotionnelle de l’outil “Remote Control System” de Hacking Team.

Un ancien employé de l’entreprise italienne se rappelle que le niveau de professionnalisme variait beaucoup d’un client à l’autre. « Il y avait des agences de haut niveau, structurées, qui avaient une salle sécurisée, un auditeur en place qui faisait réellement son travail », explique-t-il. « Mais vous pouviez voir des agences qui n’avaient pas de processus, et n’importe qui pouvait faire n’importe quoi. »

Un scénario qui ne serait pas une exception selon un haut responsable de la DEA américaine qui affirme que la police qui possède ce type de technologie la vendrait aussi aux cartels. Ces organisations criminelles apparaissent en effet particulièrement friandes de ce type d’outils comme l’a montré le procès du chef du cartel de Sinaloa, Joaquín Guzmán Loera. Celui qui faisait office d’ingénieur pour le baron de la drogue a reconnu, au cours d’une audition, avoir acheté des « équipements d’interception permettant d’accéder aux appels téléphoniques, à Internet, aux SMS ». Et pour les cartels qui n’auraient pas leurs propres ingénieurs, il reste à se tourner vers des fonctionnaires corrompus qui, selon la DEA, acceptent de cibler certaines personnes en échange de pots-de-vin. 

« Si l’agence qui avait notre technologie en faisait profiter un cartel, nous ne pouvions pas le savoir », explique un ancien employé de Hacking Team. « Et la seule chose que nous pouvions faire si nous étions au courant d’abus était de ne pas renouveler la licence et de la laisser expirer. Mais nous ne pouvions pas l’arrêter à distance. »

Des journalistes surveillés de près 

Dans l’État du Veracruz c’est une véritable unité d’espionnage, dirigée par le ministère de la sécurité publique, qui s’est mise en place dans les années 1990. Un vaste réseau d’informateurs était mobilisé pour recueillir des informations sur des supposés opposants politiques. L’unité utilisait des techniques classiques de renseignement et tenait des fiches personnelles sur les journalistes, selon un fonctionnaire de haut rang ayant travaillé pour les gouverneurs de l’époque. 

Entre 2017 et 2019, l’unité se dote de technologie de pointe, notamment de provenance européenne. Cependant les mails de l’entreprise Hacking Team révèlent que, dès 2012, le Veracruz avait accès à une version d’essai de RCS. En 2018, le gouverneur a annoncé l’arrêt des activités d’espionnage, sans que l’on ne sache s’il s’agit d’une suspension ou d’un démantèlement permanent.

« Le Veracruz a une technologie très sophistiquée en matière d’espionnage, ce n’est pas Pegasus mais c’est tout aussi bien », explique une source bien placée. « Les analystes du renseignement sont très expérimentés, et ont la capacité et la technologie nécessaires pour pirater des ordinateurs et des téléphones. » Ils seraient ainsi considérés comme étant l’une des unités d’espionnage d’État les plus sophistiquées et les plus compétentes du pays. Le secrétariat de la sécurité publique de l’État de Veracruz n’a pas répondu aux courriels répétés de Forbidden Stories. 

Elle entendait des bruits dans son téléphone, de l’écho. Mais on était tous espionnés, ça faisait partie de notre quotidien

Regina Martínez, en reportage lors d'un meeting politique, en 1992, à Martinez de la Torre, village de Veracruz. (Crédit : Alberto Morales/ Agencia multigráfica)

La situation est particulièrement dangereuse pour les journalistes. En 2012, la journaliste Regina Martínez est assassinée alors qu’elle enquêtait sur deux gouverneurs de l’État, Fidel Herrera et Javier Duarte. Selon Reporters sans frontières, l’élection de ce dernier en 2010 donne le coup d’envoi d’un règne de terreur pour les journalistes. Seize d’entre eux sont tués dans les années qui suivent. Javier Duarte sera finalement arrêté au Guatemala en 2017, après six mois de fuite, pour « détournement de fonds, enrichissement illicite et blanchiment d’argent ».

Andrés Timoteo, un ancien collègue de Regina Martínez, affirme qu’elle se sentait surveillée en permanence. « Elle entendait des bruits dans son téléphone, de l’écho. Mais on était tous espionnés, ça faisait partie de notre quotidien. » Andrés Timoteo a lui-même fui le Mexique juste après l’assassinat, craignant pour sa sécurité. 

Regina Martínez sur les traces d’une vérité enterrée

Dans un autre État, un ancien employé de l’entreprise italienne se souvient quant à lui avoir été présent lorsqu’un gouverneur surveillait depuis son bureau une journaliste. « Il était fier », se rappelle-t-il. 

En 2017, plusieurs organisations mexicaines et internationales s’associent pour publier le rapport « Gobierno Espía ». Depuis un an, chercheurs et activistes travaillent à identifier des tentatives d’infection abusives contre des journalistes, avocats et militants anticorruption. Ils trouvent plus de 80 tentatives d’infection par le logiciel espion de la société NSO au Mexique entre 2015 et 2016. Le pays compte le plus de cas documentés d’utilisations abusives du logiciel, avec au moins 25 personnes illégitimement ciblées selon le groupe de recherche canadien Citizen Lab. Pas de sonnette d’alarme du côté de l’entreprise. « Ça nous a fait nous demander si la société accordait une place spéciale au Mexique en raison d’une relation favorite », s’interroge John Scott-Railton.

Le groupe de recherche Citizen Lab a identifié neuf journalistes ciblés par Pegasus (Source : Citizen Lab)

Un porte-parole de NSO Group a déclaré à Forbidden Stories que l’entreprise avait enquêté sur tous les abus présumés de sa technologie, ajoutant que « dans de multiples cas, NSO [avait] résilié des contrats et rompu des relations avec des clients après que des abus aient été identifiés », sans nommer aucun client spécifique.

Suite à la publication du rapport, un groupe d’experts des Nations Unies demande au gouvernement mexicain de s’engager à cesser immédiatement la surveillance. « Cet engagement doit inclure des contrôles efficaces sur les services de sécurité et de renseignement afin de prévenir l’utilisation illégale des outils de surveillance de l’État », insistent-ils. 

L’impunité, encore et toujours

Le Mexique promet d’enquêter. Des associations se joignent à des journalistes ciblés par Pegasus pour porter plainte. Depuis rien. Le bureau du procureur exige de récupérer les téléphones visés par les tentatives d’infection pour faire avancer l’enquête. « L’analyse du téléphone est notoirement peu concluante dans des cas comme celui-ci, en partie parce que Pegasus dispose de propriétés bloquant l’analyse technique », réplique John Scott-Railton. « Nous avons souligné qu’il y avait beaucoup plus d’endroits fiables pour trouver des preuves comme le réseau téléphonique ainsi que les registres du déploiement de Pegasus lui-même. » Les ONG impliquées questionnent d’ailleurs l’impartialité du bureau du procureur qui doit enquêter sur une technologie après en avoir été l’un des clients. « Il n’est pas clair que le gouvernement soit sur la bonne voie pour mener une enquête indépendante vraiment sérieuse », constate David Kaye, rapporteur spécial de l’ONU sur la liberté d’expression jusqu’en juillet 2020. 

Nous sommes dans une situation où nous devons supposer que ces outils sont toujours disponibles pour être utilisés

Contacté par Forbidden Stories, le bureau du procureur a répondu qu’il ne s’exprimait pas sur les enquêtes en cours.

En 2018, le président mexicain Andrés Manuel López Obrador a de son côté déclaré que le gouvernement n’utilisait plus le logiciel Pegasus. « Depuis, il n’en a pas été fait mention dans ses briefings quotidiens », regrette Luis Fernando García. « Et son engagement n’est pas vérifiable pour le moment. » Le Président mexicain n’a pas répondu à la liste de questions envoyées à ce sujet par Forbidden Stories.

Le stand de la société NSO au salon Milipol à Paris en novembre 2019.

Selon David Kaye, « nous sommes dans une situation où nous devons supposer que ces outils sont toujours disponibles pour être utilisés et qu’il appartient au gouvernement de démontrer qu’il les a soumis à des contraintes importantes en matière d’État de droit. »

C’est finalement le sentiment d’impunité qui domine. Aucun des opérateurs tant de RCS que de Pegasus n’a été visé par une procédure judiciaire. « Le plus probable, c’est que vous ne vous ferez pas prendre », résume Luis Fernando García. « Si vous vous faites prendre, il est très peu probable qu’une enquête soit ouverte. Si une enquête est ouverte, il est très peu probable que vous soyez poursuivi. Et même si vous êtes poursuivi, il est très improbable que les poursuites soient maintenues et que vous soyez condamné. »  

Tomás Zerón, l’ancien directeur de l’AIC, était décrit en 2014 comme « l’acheteur final » des systèmes de cyber surveillance, notamment de Pegasus. Il est aujourd’hui recherché par les autorités mexicaines pour, entre autres, détournement de fonds en relation avec trois contrats d’acquisition de matériel d’espionnage, entre 2013 et 2014. Il est également recherché pour avoir falsifié des éléments d’une enquête sur la disparition de 43 étudiants dans l’État de Guerrero en 2014. Citizen Lab a précédemment montré que plusieurs experts enquêtant sur cette affaire avaient eux aussi été ciblés avec le logiciel Pegasus. 

Une fiche rouge d’Interpol pour l’arrestation de Tomás Zerón a été diffusée par plusieurs médias au Mexique (Source : Milenio)

Tomás Zerón se cacherait aujourd’hui en Israël d’après le président mexicain. « Je pense qu’il est clair que Zerón a eu un rôle crucial pour sécuriser et faciliter les contrats, en particulier pour les sociétés de surveillance israéliennes », explique Luis Fernando García. « Et c’est une coïncidence vraiment intéressante qu’il ait choisi Israël comme lieu de refuge pour échapper à la justice mexicaine. »

Le ministère des affaires étrangères israélien a sommairement répondu à Forbidden Stories : « Israël a reçu une demande [des autorités mexicaines] à ce sujet et nous examinons la question. » 

Jeu d’influence et de corruption

Le fugitif s’est en effet retrouvé au cœur du système opaque et très lucratif des contrats de cyber surveillance au Mexique. Dans ce secteur, la plupart des contrats sont signés sans appel d’offre et sans la moindre transparence, ce qui en fait un terrain particulièrement propice à la corruption. « Ça devient une course d’influence », résume Luis Fernando García. « Les entreprises, les intermédiaires se battent pour devenir amis avec le fonctionnaire qui décide à qui attribuer le contrat. »

Parmi ces marchands d’influence on retrouve Uri Emmanuel Ansbacher, originaire d’Israël et propriétaire d’une galaxie de sociétés au Mexique. Ami du directeur de NSO Group Shalev Hulio, il serait l’intermédiaire de nombres de sociétés de cyber surveillance israéliennes. Interrogé par Forbidden Stories, Uri Emmanuel Ansbacher a tout nié en bloc. 

Les entreprises étrangères utilisent ces sociétés parce qu’elles ont souvent recours à la corruption des fonctionnaires mexicains

Les intermédiaires peuvent être des sociétés de sécurité privée mexicaines ou des sociétés fantômes créées uniquement pour ce type de transaction. « Les entreprises étrangères utilisent ces sociétés parce qu’elles ont souvent recours à la corruption des fonctionnaires mexicains, à qui elles offrent un pourcentage de l’achat pour garantir le contrat », affirme Paloma Mendoza Cortés. « Il en résulte une surfacturation des produits et services de sécurité achetés par le gouvernement mexicain. »

Un employé de Hacking Team raconte, par exemple, au sujet d’un intermédiaire : « [Il] s’est lié d’amitié avec le fils du chef des acquisitions et a proposé NSO pour 15 millions de dollars. Je suis sûr qu’il y a de jolis pots-de-vin qui ont lieu avec cet achat. » Interrogé sur ce contrat spécifique, NSO Group n’a pas souhaité répondre. Les documents fuités de l’entreprise italienne révèlent des commissions importantes pour les intermédiaires, de l’ordre de 30% sur des contrats de dizaines de milliers de dollars. 

Capture d’écran d’un email issu de la fuite de données de Hacking Team (Source : Hacking Team Leak)

Certains des intermédiaires cités à l’époque – Neolinx de Mexico et Sym Servicios – sont toujours actifs. Les données d’importations enregistrées par le gouvernement mexicain, que Forbidden Stories a pu consulter avec l’aide d’un analyste du groupe d’experts C4ADS, montrent que ces entreprises importaient encore du matériel auprès de sociétés israéliennes en 2019.

Le directeur de Neolinx n’a pas répondu aux questions de Forbidden Stories. Le directeur de Sym Servicios, Niv Yarimi, dit n’avoir plus servi d’intermédiaire pour des entreprises de cyber surveillance depuis 2015. Il concentrerait désormais son activité sur l’utilisation d’objets connectés pour améliorer la sécurité des villes. Selon Paloma Mendoza Cortés, la logique de la « ville intelligente et sûre » serait aujourd’hui mise en avant avec succès par les sociétés de sécurité privée pour promouvoir leurs produits et services au Mexique.

Un autre intermédiaire mexicain, EyeTech Solutions, a de son côté reçu deux cargaisons, en 2016 et en 2018, de l’entreprise Circles Bulgaria, filiale de l’entreprise Circles appartenant à NSO Group. Contacté par Forbidden Stories, le directeur des opérations d’EyeTech Solutions, Gilad Pait, a affirmé ne pas avoir travaillé avec NSO Group avant de raccrocher et de bloquer notre numéro.

Cela interroge la version officielle du retrait de NSO Group du marché mexicain. D’autant plus que de nombreux numéros mexicains sont apparus parmi les cibles Pegasus liées à la faille de l’application WhatsApp en mai 2019. « Le gouvernement fédéral dit que ce n’est pas eux alors qui est-ce ? Et pourquoi ne le savons-nous pas ? », s’insurge Luis Fernando García.

Les droits de l’homme dans tout ça ?

Il y a peu de chances que la réponse vienne d’Israël. Alors qu’une action judiciaire a été lancée en 2018 contre NSO Group pour sa négligence face aux abus commis par le gouvernement mexicain, la justice israélienne a cédé à la demande de l’entreprise de rendre la procédure confidentielle pour des raisons de sécurité nationale, d’ingérence dans les relations internationales d’Israël, et de secret commercial. 

En ce qui concerne les clients et les licences d’exportation, tout est également confidentiel. Du côté des autorités, « la politique consiste à ne pas dénoncer, à ne pas dire que c’est faux, à ne rien dire », résume Eitay Mack.

Que ce soit Hacking Team, que ce soit NSO, ils prétendent qu’ils font des choses, mais ils s’en foutent complètement

Selon lui, même les commissions chargées d’évaluer la politique des droits de l’homme de ces entreprises ne savent rien de leurs clients. « S’ils ne disposent pas de l’information, comment peuvent-ils faire de la régulation ? C’est une plaisanterie. »

Géraud Araud a été conseiller extérieur de NSO entre 2019 et 2020.

L’ancien ambassadeur français Gérard Araud, qui a œuvré comme conseiller extérieur de NSO Group sur les questions de droits de l’homme de 2019 à 2020, confirme ne pas savoir « tout ce qui a été mis en œuvre ou ce qui ne l’a pas été ». « Le secret fait partie intégrante de l’entreprise ce qui relativise mon apport », explique-t-il. « Mon travail consistait principalement en un dialogue avec les investisseurs, plus qu’avec l’entreprise elle-même. » Selon le diplomate, « la question des technologies de surveillance et des droits de l’homme demanderait une législation voire une convention des Nations Unies ou alors un dialogue avec les organisations des droits de l’homme. » De son côté, NSO Group a loué le « rôle important » joué par Gérard Araud en tant que conseiller de l’entreprise.

Un ancien employé de Hacking Team garde quant à lui un souvenir amer du comité d’éthique de l’entreprise italienne. « Ce conseil n’a jamais rien fait, il livrait des rapports disant que tel pays était bien, que tel pays était moins bien, mais qu’on pouvait quand même vendre. C’était juste pour le spectacle. » Le raisonnement de son chef de l’époque est simple : si un gouvernement dit qu’une personne est un terroriste, c’est un terroriste. Ce n’est pas à l’entreprise d’en décider autrement.

« Je peux vous dire qu’ils s’en fichent », confie-t-il aujourd’hui. « Que ce soit Hacking Team, que ce soit NSO, ils prétendent qu’ils font des choses, mais ils s’en foutent complètement. »

Paloma Dupont de Dinechin, Nina Lakhani (The Guardian), Amitai Ziv (Haaretz), Dana Priest (The Washington Post), Mathieu Tourlière (Proceso) et Raffaele Angius (IRPI) ont contribué aux recherches de cet article.

Toutes les enquêtes du Projet Cartel