Dans l’optique de rassurer l’opinion sur son soutien financier, Novalpina Capital incite NSO Group à la création d’un comité de conseil pour se conformer à ce texte.
Le 10 septembre 2019, l’annonce du recrutement de l’influent ambassadeur français Gérard Araud comme conseiller principal (mais également de Tom Ridge, ancien secrétaire de la sécurité intérieure des Etats-Unis sous George W. Bush, et de Juliette Kayyem qui se retire finalement en février 2020, ex-secrétaire adjointe aux Affaires intergouvernementales du président Obama au département de la Sécurité intérieure) fait grincer des dents au ministère des Affaires étrangères.
Et pour cause… Trois jours après, le piratage du téléphone de Omar Radi, journaliste marocain, vient une fois de plus ternir les engagements auxquels la firme israélienne prétend se plier.
«Les Principes des Nations Unies sur les entreprises et les droits de l’homme ne sont pas juridiquement obligatoires, mais seulement recommandés» souligne Hervé Ascensio, professeur à l’école de droit de la Sorbonne et spécialiste de droit international. «De plus, ils ne comportent aucune procédure de contrôle, même pour les entreprises qui s’y réfèrent dans des chartes ou autres engagements éthique. La seule procédure qui pourrait en découler est une simple médiation entre entreprise et particuliers (ou ONG, syndicat) pour violation de ces principes.»
«C’est tout le problème de l’externalisation des services militaires ou de sécurité: la structure de l’entreprise et le lien seulement contractuel mettent de la distance entre ceux qui fournissent les moyens et ceux qui les utilisent. Juridiquement, cela devient très compliqué de rechercher des responsables» conclut Hervé Ascensio.
La responsabilité finale d’atteinte aux droits humains revient par ailleurs aux États et non à NSO Group comme la firme le rappelle en conclusion de sa politique en matière de droits humains. Cela lui permet de se dédouaner de tout abus dans l’utilisation de Pegasus. Non seulement il est difficile de prouver devant un tribunal une complicité de l’entreprise aux actes d’espionnages perpétrés par les États mais les outils juridiques de droit pénal international manquent.
«C’est tout le problème de l’externalisation des services militaires ou de sécurité: la structure de l’entreprise et le lien seulement contractuel mettent de la distance entre ceux qui fournissent les moyens et ceux qui les utilisent. Juridiquement, cela devient très compliqué de rechercher des responsables» conclut Hervé Ascensio.
La justice et NSO Group
À ce jour, la firme israélienne est poursuivie en justice dans deux affaires distinctes.
Proche du journaliste saoudien Jamal Khashoggi, il avance que la surveillance de leurs conversations par l’État saoudien a un lien avec l’assassinat du journaliste en octobre 2018 dans l’enceinte du consulat d’Arabie saoudite à Istanbul.
La première, intentée par Omar Abdulaziz dissident saoudien exilé au Canada dont le téléphone a été infecté par Pegasus fin juin 2018. Proche du journaliste saoudien Jamal Khashoggi, il avance que la surveillance de leurs conversations par l’État saoudien a un lien avec l’assassinat du journaliste en octobre 2018 dans l’enceinte du consulat d’Arabie saoudite à Istanbul. L’affaire toujours en cours a été retenu en début d’année par les tribunaux israéliens. Abdulaziz a été rejoint par six journalistes et activistes victimes de Pegasus au Mexique et au Qatar. NSO Group a depuis déclaré geler ses futurs contrats avec Riyad.
La plainte accuse NSO Group d’avoir violé des conditions d’utilisation de l’application WhatsApp
La seconde affaire a lieu devant les juges étasuniens. En octobre 2019, NSO Group est attaqué en justice par WhatsApp. La plainte accuse NSO Group d’avoir violé des conditions d’utilisation de l’application qui exigent de ne pas «(a) réaliser de l’ingénierie inverse, modifier, décompiler nos Services, en créer des œuvres dérivées ou en extraire le code ; (b) envoyer, stocker ou transmettre des virus ou tout autre code informatique dangereux par le biais de nos Services ou sur ces derniers.» La faille exploitée par Pegasus permettait à un pirate d’infecter un téléphone par un simple appel vocal WhatsApp, même dans le cas où l’utilisateur ne décrochait pas.
Contrairement aux précédentes failles exploitées par Pegasus, celle de WhatsApp nécessitait de détourner l’application de son utilisation normal.
Will Cathcart, patron de WhatsApp, déclare que leur enquête interne a permis de déceler 1.400 appareils infectés de cette manière dans différents pays, dont le royaume de Bahreïn, les Émirats arabes unis et le Mexique.
C’est grâce à une version largement modifiée de l’application qu’il était possible d’infecter le numéro appelé, ce qui permet à la firme de Mark Zuckerberg d’intenter une action juridique contre NSO Group. Will Cathcart, patron de WhatsApp, déclare que leur enquête interne a permis de déceler 1.400 appareils infectés de cette manière dans différents pays, dont le royaume de Bahreïn, les Émirats arabes unis et le Mexique.
Cette plainte repose cependant sur un différend commercial entre deux entreprises, les questions d’atteintes aux droits humains et des victimes d’espionnage («avocats, journalistes, défenseurs des droits humains, dissidents politiques, politiques et hauts fonctionnaires étrangers») restent secondaires dans l’affaire.
Une législation insuffisante pour encadrer le commerce d’outils de surveillance numérique
En Europe également, ce commerce est loin d’être régulé correctement. Malgré une législation interdisant la vente d’outils de surveillance de ce type aux États ne respectant pas les droits de l’homme ou en embargo, plusieurs récentes affaires, en Italie ou même en France, démontrent que ces sociétés privées sont susceptibles de collaborer avec des États répressifs, les premiers intéressés par ces outils de surveillance.
Pour réguler ce commerce, la législation internationale se limite à des textes non contraignants.
«Les conflits ont changé, ils s’orientent de plus en plus sur du contrôle de population» estime Tony Fortin, chargé d’études à l’Observatoire des armements. «L’arme est de plus en plus électronique et on peut avec ces systèmes numériques échapper plus facilement aux législations. Le matériel militaire a évolué, mais la loi, elle, n’a pas suivi.»
Pour réguler ce commerce, la législation internationale se limite à des textes non contraignants. Tout d’abord le Traité sur le commerce des armes, mais surtout l’arrangement de Wassenaar qui régule les exportations de matériels à double usage (ensemble des technologies, comme Pegasus, qui peuvent être utilisé à des fins civiles et militaires). Israël, n’a ratifié aucun des deux textes.
Huitième vendeur d’arme mondial, l’État d’Israël est réputé être conciliant avec les États répressifs auxquels les États Unis et l’Europe refuse de vendre des armes.
La décision d’autorisation d’export de matériels à double usage revient en Israël au ministère de la Défense. Mais une certaine opacité demeure sur les critères qui justifie qu’une exportation soit octroyée ou non à un État.
Contrairement aux agences de renseignements étatiques, NSO Group est soumise aux lois fondamentales d’Israël (lois constitutionnelles), mais malgré les nombreux scandales, elle bénéficie dans les faits, d’une certaine indulgence de la part de l’État.
«Sous la pression des ONGs, une transparence limitée a été obtenu sur les montants des contrats d’exportation d’armement, mais cela n’existe absolument pas dans le cadre du matériel à double usage ou de maintien de l’ordre» souligne Tony Fortin. Si les contrats de ventes d’armements conventionnels sont bien répertoriés (voir base de donnée du SIPRI), Pegasus n’apparaît sur aucun d’entres eux.
Le 13 juillet dernier, alors qu’étaient révélées de nouvelles affaires entre l’Espagne et la Catalogne, le tribunal de district de Tel Aviv rejetait la demande d’annulation d’exportation de Pegasus émise par Amnistie Internationale. Contrairement aux agences de renseignements étatiques, NSO Group est soumise aux lois fondamentales d’Israël (lois constitutionnelles), mais malgré les nombreux scandales, elle bénéficie dans les faits, d’une certaine indulgence de la part de l’État.
Le juge estimait que Amnisty International n’avait pas «avancé d’éléments permettant d’affirmer qu’il y aurait eu une tentative d’espionner le téléphone d’un activiste des droits humains [à l’aide de Pegasus]».
Enfin le juge a rappelé que le ministère de la Défense israélienne dispose de «suffisamment de précaution pour prendre en compte la protection des droits humains dans la distribution de licence d’exportation d’armes».