Par Audrey Travère
19 juillet 2021
Il regarde la journaliste dans les yeux, d’un air grave qui lui ressemble peu : « Quand on m’a dit que notre technologie avait été utilisée contre Jamal Khashoggi ou ses proches, j’ai tout de suite voulu vérifier. » En ce jour de mars 2019, Shalev Hulio, quarantenaire au visage rond presque enfantin, porte tout le poids de la réputation de son entreprise de cybersurveillance, NSO Group, en prime time sur la chaine de télévision américaine CBS. « Et je peux vous le dire très clairement », il fait une pause, ne lâche pas la journaliste du regard, « nous n’avons rien à faire avec cet horrible meurtre ». Insistant, quelques instants plus tard, que leur technologie n’avait pas été utilisée contre le journaliste ou ses proches.
Depuis l’assassinat du journaliste et dissident saoudien Jamal Khashoggi en Turquie cinq mois plus tôt, tous les regards sont tournés vers cette entreprise israélienne. NSO est déjà déjà habitué aux scandales et se retrouve à nouveau dans la tourmente : l’entreprise est accusée par un ami du journaliste d’avoir fourni son logiciel d’espionnage à l’Arabie saoudite, qui l’aurait utilisé pour intercepter les messages entre les deux hommes, peu de temps avant le meurtre du Jamal Khashoggi.
Shalev Hulio dément avec aplomb ces accusations devant des millions de téléspectateurs. Mais aujourd’hui, l’affaire Khashoggi le rattrape. Cette fois, il n’est plus seulement question d’un ami de Khashoggi, mais bien d’une grande partie de ses proches dont les numéros ont été sélectionnés pour un ciblage potentiel par des clients de NSO Group, avant ou après le meurtre. Parmi eux : son épouse égyptienne, son fils Abdullah, plusieurs amis et même le procureur turc en charge de l’enquête sur l’assassinat du journaliste saoudien. Le Security Lab d’Amnesty International a même trouvé, par le biais d’une analyse de son téléphone portable, que sa fiancée turque, Hatice Cengiz, avait été piratée quelques jours après le meurtre. Personne dans l’entourage de Jamal Khashoggi ne semble avoir échappé aux attaques invisibles du logiciel espion de NSO.
Malgré ces trouvailles, NSO Group a réitéré dans une lettre envoyée à Forbidden Stories et ses partenaires que leur technologie « n’avait pas été utilisée pour écouter, surveiller, traquer ou récolter des informations concernant Jamal Khashoggi ou les membres de sa famille mentionnés dans l’enquête. »
Cette nouvelle affaire Khashoggi n’est que l’un des nombreux scandales révélés par le Projet Pegasus, une enquête menée par 17 médias internationaux coordonnés par Forbidden Stories, avec le soutien technique du Security Lab d’Amnesty International. Pendant des mois, plus de 80 journalistes ont passé au crible une fuite de données de plus de 50 000 numéros de téléphone, sélectionnés pour surveillance par des clients de NSO dans au moins 10 pays.
L’enquête menée par les journalistes du consortium démontre un dévoiement quasi-systématique de l’outil. De l’Inde au Mexique en passant par l’Azerbaïdjan, le Maroc, l’Arabie saoudite ou la Hongrie, Pegasus est utilisé pour espionner, traquer ou faire taire tous ceux qui pourraient menacer la stabilité de régimes souvent autoritaires. Journalistes, dissidents, défenseurs des droits humains : personne n’échappe au logiciel espion de NSO, capable de pénétrer n’importe quel smartphone et d’en extraire la moindre information.
Les réponses de NSO Group aux conclusions du Projet Pegasus
Dans une réponse écrite à Forbidden Stories et ses partenaires, NSO Group a affirmé que l’enquête du consortium était basée sur des « hypothèses erronées » et des « théories non corroborées » et a réaffirmé que la mission de l’entreprise « sauv[ait] des vies ».
« NSO Group dément fermement les fausses affirmations faites dans votre enquête, dont beaucoup sont des théories non corroborées qui soulèvent de sérieux doutes sur la fiabilité de vos sources, ainsi que sur le fondement de votre histoire », a écrit l’entreprise. « Vos sources vous ont fourni des informations qui n’ont aucune base factuelle, comme en témoigne l’absence de documents justificatifs pour de nombreuses affirmations. »
NSO Group a ajouté que le nombre « de plus de 50 000 numéros de téléphone ayant fuité » était « exagéré» et « ne pouvait pas être une liste de numéros ciblés par les gouvernements utilisant Pegasus ».
Dans une lettre juridique envoyée à Forbidden Stories et à ses partenaires, NSO Group a également écrit : « NSO n’a pas connaissance des activités de renseignement spécifiques de ses clients, mais même une compréhension rudimentaire et de bon sens du renseignement conduit à la conclusion claire que ces types de systèmes sont utilisés principalement à des fins autres que de la surveillance. »
“Serial Entrepreneurs”
Quand Shalev Hulio revient sur son histoire, il aime soigner son image de serial entrepreneur. Avec son ami d’enfance – et de l’armée – Omri Lavie, il n’a jamais cessé de créer, investir et, souvent, réussir dans le secteur des nouvelles technologies. Ils fondent une première start-up baptisée MediaAnd au début des années 2000. Ils ont alors une vingtaine d’années. En Israel, c’est l’âge d’or des start-up, qui fleurissent en ce début de millénaire. L’entreprise propose une solution pour faciliter l’achat de produits placés dans les films et séries. La période est faste, les deux amis profitent de soirées VIP à Los Angeles et font du basketball avec les plus grands patrons de « l’entertainment » américain.
Avec 2008 et la crise financière, MediaAnd se retrouve en difficulté, Shalev Hulio et Omri Lavie finissent à sec. Mais la sortie de l’iPhone dans plus de 80 pays la même année est l’occasion de se refaire. Ils sentent le filon que peut représenter ce nouveau marché du smartphone et fondent Communitake, une entreprise qui permet de prendre le contrôle à distance de n’importe quel téléphone. L’offre est destinée aux opérateurs téléphoniques pour faciliter le support technique. Le flair des deux entrepreneurs paye : Communitake est un succès et les opérateurs téléphoniques ne sont pas les seuls à s’y intéresser.
Avec l’ère du smartphone et l’explosion des services de messageries chiffrées qui l’accompagne, les forces de l’ordre se retrouvent dans le noir. La mise sur écoute et l’interception des communications, une fois en transit, ne servent plus à grand-chose. Sans le savoir, avec leur service qui permet de prendre le contrôle d’un téléphone à distance, Shalev Hulio et Omri Lavie apportent une solution à ce tout nouveau problème : les enquêteurs pourraient pirater directement le téléphone lui même, contourner le chiffrement et accéder à toutes les données nécessaires.
L’histoire, racontée par Shalev Hulio, veut que le duo soit approché par des services de renseignement. Shalev et Omri ne savent encore rien du monde opaque de l’interception, mais sont persuadés qu’il faut sauter le pas. Pour mener à bien leur nouveau projet, le duo devient un trio avec l’arrivée de Niv Carmi, un ancien du Mossad et expert en sécurité. Du prénom de ses trois co-fondateurs, NSO Group voit le jour en 2010. Les rôles sont établis d’entrée de jeu : Niv s’occupe de la technologie, tandis que Shalev et Omri sont en charge du business pur. Avec leur logiciel Pegasus, NSO Group offre une solution clef en mains aux forces de l’ordre qui ne peuvent pas développer leurs propres outils. Le but affiché est de traquer le crime sous toutes ses formes.
Créée en 2010, cette dernière start-up s’impose peu à peu dans le milieu de la cyber-surveillance… jusqu’à faire de l’ombre à une concurrence bien installée. Notamment au Mexique, pays déboursant des sommes folles pour acquérir ces outils dignes des meilleurs films d’espionnage.
L’El Dorado mexicain
Lorsque NSO Group fait son entrée sur le marché de l’interception, il est alors dominé par une poignée d’acteurs, dont l’entreprise italienne Hacking Team. Le Mexique, lourdement équipé en produits de cyber-espionnage pour lutter contre le trafic de drogues, est un marché important pour Hacking Team. Alors quand la nouvelle d’une signature d’un contrat entre le bureau du procureur général mexicain (FGR, anciennement PGR) et NSO Group arrive aux oreilles des équipes italiennes, c’est la douche froide. D’autant que le montant du contrat est impressionnant pour l’époque : 32 millions de dollars. « Quand nous vendions nos solutions pour des centaines de milliers de dollars, NSO Group arrivait à négocier des contrats qui se comptaient en millions », se rappelle un ancien de Hacking Team. « Nous étions déjà dépassés en quelque sorte ! »
Le montant du contrat mexicain est révélé par le site d’information mexicain Aristegui Noticias en juillet 2017. La journaliste d’investigation Carmen Aristegui, fondatrice du site, se retrouve malgré elle au cœur de ce sujet. Quelques semaines plus tôt, elle apprend avoir elle-même été victime de Pegasus. « En tant que victime, j’ai voulu en savoir plus », explique-t-elle. « Je voulais des réponses en tant que journaliste et pour moi-même. » Dans le contrat publié par le média mexicain, NSO Group se vante de « la particularité significative » qu’apporte Pegasus face à « n’importe quelle autre solution disponible sur le marché ». Ils proposent à l’époque l’infection par le biais de SMS, façonnés spécifiquement selon la cible et systématiquement accompagnés d’un lien malicieux. Ce dernier a le pouvoir d’infecter le téléphone visé, immédiatement après son ouverture. Et, évidemment, tout est fait pour piquer la curiosité de la cible et l’inciter à cliquer dessus : Carmen Aristegui se souvient avoir reçu plusieurs notifications factices d’opérations bancaires (assez alarmantes) ou encore une information selon laquelle Anonymous avait l’intention de pirater son média. Les messages – analysés à l’époque par le laboratoire Citizen Lab, spécialisé dans l’étude de la surveillance ciblée – sont attribués au logiciel de NSO Group.
Mais la journaliste ignore à l’époque l’ampleur du scandale, que le Projet Pegasus révèle aujourd’hui. Selon un décompte réalisé par Forbidden Stories, les numéros de téléphone d’au moins 180 journalistes et 85 défenseurs des droits humains ont été retrouvés dans la base de données analysée par les journalistes du Projet Pegasus. Sans compter les nombreux politiques, hommes d’affaires et même chefs d’Etat. Au total, plus de 15 000 numéros ont été sélectionnés par plusieurs agences mexicaines, entre 2016 et 2017. « Au Mexique, la question n’est pas qui a été entré dans le système Pegasus, mais qui n’a pas été entré », résume Carmen Aristegui. Parmi les cibles du logiciel : des dizaines de politiques, journalistes et activistes. On retrouve même une grande partie l’entourage du président mexicain actuel, Andrés Manuel López Obrador. A l’époque où il n’est encore que candidat à l’élection présidentielle de 2018, les numéros de trois de ses fils, sa femme, ses frères, son équipe de campagne, son chauffeur et même son cardiologue ont été sélectionnés pour un éventuel ciblage.
La journaliste mexicaine Carmen Aristegui.
Crédit : PBS/Forbidden Films
Carmen Aristegui savait déjà que son fils, alors adolescent, et deux de ses collègues avaient été visés avec elle. Mais les données consultées par Forbidden Stories révèlent la sélection d’autres proches en 2016 : la productrice de son émission pour CNN, son ancienne assistante personnelle et même sa soeur. « Ce fut un énorme choc de les voir dans cette liste », confie la journaliste.
Le Mexique raffole de Pegasus et équipe plusieurs de ses services : au bureau du procureur général de la République s’ajoutent les services de renseignement ainsi que l’armée, qui ne peuvent plus s’en passer. Et pour cause, NSO Group continue à faire évoluer son offre vers toujours de plus sophistication. L’entreprise israélienne devient incontournable et quasi-imbattable.
Toujours à la pointe
Alors que NSO Group inquiète de plus en plus, chez Hacking Team, plusieurs employés sont chargés de récolter des informations sur l’offre de ce nouveau concurrent. Que ce soit durant des dîners aux allures d’interrogatoires ou lors d’infiltrations incognito à des démonstrations de produits de l’entreprise israélienne, comme le révèlent des mails internes ayant fuité en 2015. « NSO a commencé m’inquiéter quand j’ai appris qu’ils maîtrisaient les vecteurs d’attaque ‘zero click’ », reconnaît un insider de Hacking Team. « Nous ne faisions pas de recherche dans cette direction. »
Pegasus, déjà très discret, devient invisible : l’infection d’un téléphone ne nécessite plus que la cible clique sur un lien pour fonctionner. NSO Group a en effet réussi a trouver et exploiter des failles de sécurité dans certains logiciels pour infecter les smartphones en toute discrétion. Plus besoin de cliquer sur un lien pour se voir infecté. « Le véritable tournant technologique dans notre compréhension des capacités de NSO s’est produit lorsque nous avons découvert leurs attaques dites ‘sans interaction’ », se remémore John Scott-Railton, analyste pour Citizen Lab et sur les traces de NSO Group depuis plusieurs années. « C’est une chose d’éduquer les gens sur les liens et les SMS suspects. C’est une autre chose de dire, en gros, il n’y a rien que vous puissiez faire contre ces attaques. Et c’est une très mauvaise chose. »
« Le point de non retour a été atteint quand ils ont été achetés par Francisco Partners », se souvient l’ancien employé de Hacking Team. En 2014, ce fonds d’investissement privé fait l’acquisition de NSO pour 120 millions de dollars. «On s’est dit qu’avec tout cet argent ils pouvaient investir dans la recherche et faire de grandes choses. » Une partie conséquente de ce budget est allouée à la recherche et le développement. Sur 750 employés en 2020, 550 travaillent uniquement en R&D. L’autre pari gagnant de NSO Group est de se concentrer sur l’infection des smartphones, quand les autres acteurs du secteur cherchaient encore à pénétrer les ordinateurs de leurs victimes. « Quand on y pense, les smartphones occupent une place très importante dans la vie des gens », analyse John Scott-Railton. « Le ciblage des téléphones mobiles est encore plus révélateur et invasif que celui des ordinateurs. »
Ces investissements payent rapidement : en 2017 ils arrivent à infecter des cibles grâce à une faille dans l’application de messagerie instantanée WhatsApp. A cette époque, l’application est utilisée par plus d’un milliard de personnes par mois à travers le monde. Les iPhones, présentés comme les smartphones les plus sécurisés du marché, ne leur résistent pas non plus : dans le cadre du Projet Pegasus, le Security Lab d’Amnesty International a réalisé des dizaines d’analyses de téléphones et découvert que la plus récente version du système d’exploitation de l’iPhone, sortie le 24 mai 2021, est déjà exploitée par NSO pour y implanter ses agents infectieux. « C’est juste un jeu du chat et de la souris. Et dans ce cas là, le chat a toujours une longueur d’avance », constate Claudio Guarnieri, responsable du Security Lab d’Amnesty International, et créateur de la méthode d’analyse d’infection, utilisée tout au long de cette enquête. « Quand vous avez des centaines de personnes (en interne) et des milliers d’autres qui cherchent en indépendant, passant leurs jours et leurs nuits à chercher des vulnérabilités dans les logiciels, ces vulnérabilités seront trouvées et exploitées. »
« Les attaques décrites dans cette enquête coûtent très cher, sont très sophistiquées et visent des individus spécifiques », a répondu Apple aux trouvailles du Projet Pegasus. « Si nous prenons au sérieux [ces attaques] et travaillons à les rendre rapidement inutilisables, elles ne représentent pas une menace pour la grande majorité des utilisateurs d’iPhone. »
Dans le milieu israélien de la tech, il se dit que Shalev Hulio n’utilise que des smartphones Samsung sous Android, qu’il change régulièrement.
Une entreprise qui a le bras long
En 2015, Hacking Team, victime d’un piratage, s’écroule. Sur les cendres de l’entreprise italienne, NSO Group finit de s’imposer sans difficultés dans le secteur de la cyber-surveillance. Dans leur rapport « Hide and Seek » sur les activités de NSO Group, publié en 2018, Citizen Lab dénombre 36 pays opérant Pegasus. Parmi les gros clients, les Emirats arabes unis, que l’on sait particulièrement friands de ces outils : c’est dans ce pays qu’a été mis en place le Projet Raven courant des années 2000, une unité secrète au service du pouvoir émirati, qui employait des anciens agents des renseignements américains pour espionner dissidents et journalistes.
A l’époque où NSO Group voit le jour, les rapports entre l’État d’Israel et les pays du Golfe sont loin d’être normalisés. Les contrats se multiplient néanmoins dans la région, grâce en partie à l’impulsion donnée par la diplomatie israélienne. « L’exportation de ces systèmes est utilisée comme un outil diplomatique. Nethanyahu a utilisé le secteur de la tech israélienne pour ouvrir des accès et trouver des opportunités pour l’Etat d’Israel, en les utilisant comme des sortes d’ambassadeurs », explique un avocat basé au Royaume-Uni. Du fait de leur puissance, et leur potentiel détournement, les logiciels comme Pegasus doivent obtenir une licence d’exportation de la part du Ministère de la Défense israélien. Selon l’avocat, il existerait des critères à suivre pour se voir accorder ces autorisations de vente à l’étranger. Mais ces derniers ne sont pas publics, rendant difficile la remise en question de l’attribution des licences d’exportation sur des bases légales. Par ailleurs, malgré ces critères, l’entreprise NSO est autorisée à vendre Pegasus à des pays connus pour leurs violations des droits fondamentaux. « Cela montre que ces critères ne sont pas vraiment stricts. Et que les problématiques des droits humains ne sont pas au coeur de leurs préoccupations », ajoute-t-il.
La meilleure illustration de ces relations privilégiées entre le pouvoir israélien et NSO Group reste la signature du contrat avec l’Arabie saoudite en 2017. A l’époque, comme aujourd’hui, il est formellement interdit aux citoyens israéliens de se rendre en Arabie saoudite sans autorisation, sous peine de poursuites juridiques. En juillet 2017, les négociateurs du contrat et Shalev Hulio s’envolent pourtant pour Riyadh, sans ce laisser-passer écrit des autorités. Une personne au fait de ces négociations a révélé à des journalistes du Projet Pegasus que la délégation israélienne a pu s’en sortir sans être inquiétée, grâce à un feu vert donné au plus haut niveau de l’État. Après plusieurs mois de négociations, l’Arabie saoudite signe un contrat avec NSO Group : 55 millions de dollars, selon la presse israélienne. Probablement le plus gros contrat de l’entreprise à l’époque. « Les entreprises comme NSO ont pavé la route avant la signature des accords d’Abraham avec certains pays du Golfe », analyse un avocat représentant les victimes de NSO Group en Israël. Signés en 2020, ils normalisent officiellement les rapports entre Israël, les Emirats arabes unis et le Bahreïn. « Donc on peut facilement imaginer qu’ils soient protégés. »
Malgré la répression subie – et largement couverte – au Bahreïn par la société civile depuis l’émergence du Printemps arabe en 2011, NSO Group a tout de même vendu son logiciel espion au royaume. Parmi les numéros sélectionnés pour surveillance par le client bahreïni, on trouve des dizaines de journalistes, de militants des droits humains et de dissidents. Selon une source au fait des activités de NSO, la société a récemment mis fin à ses contrats avec l’Arabie saoudite et l’émirat de Dubaï, en raison des problèmes liés aux droits humains. L’entreprise n’a pas donné plus de précisions au sujet de la rupture du contrat émirati mais le ciblage de membres de la royauté a été un facteur dans leur décision.
Fort de ce soutien de taille, NSO connaît ses meilleures années. Pour célébrer ces juteux contrats, les dirigeants du groupe israélien n’hésitent pas à récompenser leurs employés. La presse israélienne découvre l’existence de vacances annuelles, tous frais payés par l’entreprise. Des séjours extravagants au budget illimité en Thaïlande ou en Sardaigne, où les centaines d’employés sont invités à profiter d’un programme volontairement excessif : soirées sur des plages paradisiaques, séjours dans les meilleurs hôtels et performances d’artistes – chanteurs, DJ, comédiens, cracheurs de feu – sans interruption. La fête bat son plein, l’argent coule à flot : NSO Group arrive à vendre Pegasus qui, dans les mauvaises mains, continue à faire des victimes. Mais certains sont déjà sur les traces de l’entreprise israélienne.
Pris sur le vif
Depuis le milieu des années 2000, Citizen Lab, un laboratoire interdisciplinaire de l’université de Toronto, traque les cas d’espionnage ciblés. Leurs recherches révèlent de nombreux abus perpétrés à l’encontre de membres de la société civile dans le monde entier. L’un d’entre eux est un célèbre activiste émirati, Ahmed Mansoor. Depuis sa première arrestation en 2011 pour ses positions anti-gouvernementales, il est régulièrement espionné par les Emirats arabes unis… en plus de se voir confisquer son passeport, son compte en banque vidé, le moindre de ses mouvements surveillé et de se faire passer à tabac dans la rue.
Jusqu’ici, NSO Group n’était pas vraiment sur le radar de Citizen Lab. Mais un soir de 2016, alors qu’il s’apprête à se coucher, Bill Marczak, analyste pour le laboratoire canadien, reçoit un message du militant des droits humains sur Telegram : « J’ai reçu ce message bizarre, tu peux regarder ? » Malgré l’heure tardive, il inspecte la capture d’écran envoyée par Ahmed Mansoor.
Bill reconnaît immédiatement le lien. Le site faisait partie de dizaines d’autres liens qu’il avait déjà identifiés, tous rattachés à NSO Group. « On avait cette liste de sites internets connectés à NSO Group. Et on se disait à l’époque : ‘Ok, c’est intéressant… mais on fait quoi de cette liste? On a aucune victime pour le moment.’ » Avec le message d’Ahmed Mansoor, Citizen Lab trouve la première victime connue du logiciel espion israélien. Quelques mois plus tard sort leur rapport explosif intitulé « The Million Dollar Dissident », qui signe un tournant pour NSO Group : les analystes de Citizen Lab lèvent le voile, pour la toute première fois, sur les activités de l’entreprise israélienne dont l’outil est ici détourné par les Emirats arabes unis. « Avec le titre « Million Dollar Dissident », on voulait souliger le fait que de vraies ressources étaient utilisées pour viser des dissidents, que ce n’est pas une pensée après coup », élabore John Scott Railton. « Le ciblage de dissidents se retrouve désormais dans la même catégorie que le ciblage des chefs d’Etat, d’ambassadeurs, des grandes entreprises. NSO nous a permis de prouver ça. »
Moins d’un an après la sortie du rapport, Ahmed Mansoor est arrêté et condamné pour la publication « d’informations fausses ou trompeuses sur les réseaux sociaux. » Le 20 mars 2017, quelques minutes avant minuit, des forces spéciales émiraties débarquent chez l’activiste et l’embarque de force. Il est depuis enfermé dans une minuscule cellule d’isolement, privé de lit et de lumière. Le Projet Pegasus révèle, grâce aux données consultées par Forbidden Stories et ses partenaires, que son téléphone a également été selectionné pour surveillance quelques jours seulement avant son arrestation et dans les heures qui ont suivi.
Depuis son premier rapport sur NSO, le laboratoire Citizen Lab multiplie les révélations sur l’entreprise israélienne. Les abus dont sont responsables les clients provoquent des procès en cascade : à l’été 2018, plusieurs journalistes mexicains, dont Carmen Aristegui, portent plainte contre NSO en Israël. Une plainte est également déposée contre NSO à Chypre par un journaliste qatari, également victime de piratage. En décembre, c’est Omar Abdulaziz, l’ami de Jamal Khashoggi, qui décide de poursuivre NSO à son tour en Israël. L’année suivante, Amnesty International et même Facebook s’ajoutent à la longue liste de procédures lancées contre l’entreprise. L’ONG pour révoquer les licences d’exportation, Facebook pour le piratage de 1 500 personnes via une faille dans l’application WhatsApp. Ironie du sort : la fuite de données, épluchée dans le cadre du Projet Pegasus, démontre la sélection d’avocats représentant les victimes dans les procès contre l’entreprise israélienne. « Non seulement ils piratent les gens à cause de leurs opinions politiques. Mais quand ces personnes cherchent la moindre réparation, ils s’en prennent aux gens qui les aident », constate un avocat basé au Royaume-Uni, consultant dans ces procès. « Personnellement, je ne suis pas surpris, mais cela reste effrayant », ajoute un avocat représentant les victimes de NSO Group en Israel. « Car ils n’ont pas de limites. Quand ça touche à leur portefeuille, je pense qu’ils peuvent aller encore plus loin. »
Le vernis s’écaille
Le point d’orgue est atteint au moment du meurtre de Jamal Khashoggi, le 2 octobre 2018 : le nom de NSO Group se retrouve associé à un meurtre de journaliste, dont la disparition fera les gros titres dans le monde entier. Les mois passent et l’entreprise n’arrive pas à se défaire du scandale Khashoggi qui lui colle désormais à la peau. A la même époque, Shalev Hulio et Omri Lavie veulent se libérer du fonds d’investissement Francisco Partners, qui détient 70 % de NSO Group depuis 2014, et décident de reprendre le contrôle de leur entreprise. Un nouvel acteur entre alors en jeu : Novalpina, un autre fonds d’investissement, fondé par plusieurs hommes d’affaire européens. La société participe au rachat de l’entreprise par les deux fondateurs historiques, pour une somme estimée à 850 millions de dollars en février 2019.
Dès juin de la même année, des changements sont annoncés au sein de l’entreprise pour redorer son blason : Novalpina dévoile un nouveau plan de gouvernance, qui se veut en accord total avec les recommandations des Nations unies en matière de droits humains. « C’est un objectif ambitieux, totalement sans précédent dans le secteur de la cybersécurité (qui reste rare dans n’importe quel secteur, par ailleurs) », se targue Novalpina dans son communiqué de presse. Stephen Peel l’assure : « Novalpina et NSO s’engagent à faire tout ce qui est nécessaire pour que la technologie de NSO ne soit utilisée qu’à des fins légales. » Parmi ces nouvelles mesures, la transformation du Comité d’Ethique des Affaires (Business Ethic Comittee), déjà en place, par un autre : un Comité de Gouvernance, Risques et Conformité (Governance, Risk and Compliance Committee). Le comité en question, qui se réunit tous les mois, a le pouvoir de rejeter des ventes et demander que des enquêtes soient lancées en cas d’éventuels détournements de Pegasus.
Deux ans plus tard, NSO Group sort son tout premier rapport de Transparence et de Responsabilité. Trente-deux pages, publiées vingt jours jours avant les révélations du Projet Pegasus, où l’entreprise explique vouloir poser un regard « sans complaisance » sur ses activités et sur l’utilisation de ses produits à travers le monde. On apprend par exemple que NSO a, depuis sa création, rejeté plus de 300 millions de dollars en opportunités de vente car les clients potentiels ne respectaient pas ses standards en termes de respect des droits humains. L’entreprise israélienne annonce également avoir mis un terme aux contrats de cinq clients pour les mêmes raisons. Au moment même de la publication du rapport, le Security Lab d’Amnesty International détectait pourtant des traces d’infection actives sur les téléphones de Carine Canimba, fille du dissident rwandais Paul Rusesabagina, et celui d’un journaliste indien. Wadah Khanfar, l’ancien directeur d’Al-Jazeera et un ami de Jamal Khashoggi, était également infecté au même moment.
Confronté aux révélations du Projet Pegasus, Shalev Hulio a déclaré à un partenaire du consortium : « L’entreprise se soucie des journalistes, des activistes et de la société civile en général. Nous comprenons que, dans certaines circonstances, nos clients puissent abuser du système et, dans certains cas, comme nous l’avons signalé dans le rapport de Transparence et de Responsabilité, nous avons coupé l’accès à notre système pour les clients qui en avaient fait un usage abusif. »
« L’engagement de NSO en faveur des droits humains relève plus d’un exercice de communication que d’une tentative significative de changement de cap. Leur récent rapport de transparence se lit comme une brochure commerciale », juge Danna Ingleton, co-directrice d’Amnesty Tech. « Si NSO veut vraiment se réformer, pourquoi continuent-ils à s’en prendre à la société civile et à tenter de nous faire taire devant les tribunaux ? Il ne peut plus y avoir de doute sur l’ampleur des violations des droits humains que la technologie de NSO facilite, ni sur le fait que l’industrie de la surveillance est hors de contrôle », conclut-elle.
Pour NSO Group, les conséquences d’années de détournement de leur système par leurs clients semblent désormais les rattraper : après le premier jour de révélations du Projet Pegasus, Amazon Web Services a fermé les infrastructures et les comptes liés à NSO Group.
En collaboration avec Amitai Ziv (Haaretz), Stephanie Kirchgaessner (The Guardian), Holger Stark (Die Zeit), Dana Priest (The Washington Post), Kai Bierman (Die Zeit), Kristiana Ludwig (Süddeutsche Zeitung), Carmen Aristegui (Aristegui Noticias), Paloma Dupont de Dinechin (Forbidden Stories).