Pegasus, Espionnage ciblé, surveillance des populations

Pegasus, Espionnage ciblé, surveillance des populations

Le secret d’une autorité, quelle qu’elle soit, tient à la rigueur inflexible avec laquelle elle persuade les gens qu’ils sont coupables “.
— Raoul Vaneigem

Ces dernières semaines, on a eu le droit à une nouvelle information sur un logiciel nommé pegasus, un logiciel espion (de NSO) permettant d’utiliser une “faille zéro clic” sur les téléphones ayant des systèmes IOS/iphone (par les applis imessage ou facetime) ou des android (ceci par l’appli whatsapp). Il suffit au client espion Étatique de viser un compte de l’individu cible et le logiciel espion est alors injecté sur le téléphone cible sans que l’utilisateur cible ne s’en rende compte. Le client Etatique peut alors voir/récupérer les données de la cible.

Ce genre de faille zéro (ou autres failles) est habituellement recherché par les personnes travaillant sur la sécurité logicielle ou système, ceci généralement pour combler les failles de leurs logiciels. Mais une faille est un pouvoir. D’autres personnes cherchent les failles afin de les utiliser à leur compte pour des raisons privatives. Cela pouvait autrefois être utilisé (mal ou bien intentionnellement) par des dits “hackers” (Anonymous est le groupe le plus connu ), pour des raisons “collectives”, contre de justes cibles ou non.

Des lanceurs d’alerte (forbiddenstories / mediapart / le monde / security lab d’amnesty international, et d’autres) ont donc révélés cette affaire pegasus, dernière pratique d’États et d’entreprises. D’après les dernières révélations, ce logiciel pegasus, venant de l’entreprise israélienne NSO, est vendu comme une arme (dans le but initial antiterroriste / anticriminel) à de nombreux États (ou autres organisations ?). La société NSO doit demander l’autorisation à l’État israélien pour pouvoir vendre l’usage de son logiciel à d’autres États.

Ce logiciel a été vendu (à des prix élevés) à au moins une quarantaine d’États, dont certains États sont dits “autoritaires”, comme le Maroc, le Mexique, l’Arabie saoudite, l’Inde, la Hongrie. Ce sont certainement des pays qui n’ont pas les moyens humains pour avoir ce type de service/logiciel d’espionnage ; ce qui ne veut pas dire que les autres États n’ont pas ce genre de logiciels ou services d’espionnage.

Ce logiciel aurait été utilisé pour des “raisons” autres que celles initiales (étonnant ?). Il aurait été utilisé par des États possédant cette arme numérique pour la surveillance de journalistes, de militants ou d’opposants, ou même de chefs d’Entreprises ou de politiciens d’autres pays. Est-il étonnant de voir l’utilisation de cette arme et la mort (notamment de cecilio pineda birto au mexique) ou l’emprisonnement de certaines de ces cibles (notamment de omar radi au maroc) ? avec cette affaire pegasus, cela a aussi comme conséquence d’amener la peur (ou une plus grande discrétion) pour ceux surveillés, les informateurs ou lanceurs d’alertes. Une des raisons pour laquelle les gouvernants espionnés ne réagissent pas ou très peu à cette affaire, est qu’ils font certainement pareil avec leurs services d’espionnage, ils ne veulent certainement pas qu’il y ait plus d’éclaboussures.

Certains pourraient croire que “cela ne nous regarde pas, car on a rien à se reprocher”, et en effet beaucoup de personnes n’ont rien à se reprocher dans le fait qu’elles pensent comme il faut (pensée d’État, pensée de consommateurs), elles agissent comme il leur est dit d’agir, elles sont “neutres”, donc en quelque sorte complice des pouvoirs en place, ou en se plaignant de temps en temps pour des choses formelles…

Rien n’a autant renforcé la sécurité intérieure et extérieure de l’État que la croyance religieuse à la souveraineté de la nation […] Qu’il s’agisse là d’une conception religieuse de nature politique, c’est indéniable […] C’est dans cet enracinement du mouvement fasciste dans le besoin dévotionnel des masses que réside sa force particulière. Car le fascisme lui aussi n’est rien d’autre qu’un mouvement religieux primitif sous des dehors politiques. […] le mouvement lui-même montrait les signes d’un délire religieux collectif consciemment encouragé par ses instigateurs pour effrayer les adversaires et les mettre hors jeu. […] Nous pourrions passer tranquillement sur cette ferveur aveugle qui dans son abandon infantile donne l’impression d’être presque innocente. Mais cette innocence apparente disparaît lorsque le fanatisme des zélateurs devient l’instrument des puissants, et de ceux qui sont avides de pouvoir, dans la réalisation de leurs plans secrets. Car on encourage cette foi illusoire et immature, qui se nourrit aux sources du sentiment religieux, jusqu’à ce qu’elle se transforme en une véritable possession; on en fait alors une arme d’une puissance invincible ouvrant la voie à tous les maux. […] L’ancien « Dieu le veut! » des croisés n’éveille guère d’écho aujourd’hui en Europe, mais il existe toujours des millions d’hommes qui sont prêts à tout quand « la nation le veut » ! Le sentiment religieux a pris des formes politiques. […] Le drapeau national couvre toutes les injustices, tous les actes inhumains, les mensonges, les iniquités, les crimes. La responsabilité collective de la nation étouffe tout sentiment de justice chez l’individu et entraîne l’homme si loin qu’il ne voit plus du tout les injustices que l’on commet, et que celles-ci lui apparaissent même comme des actes méritoires lorsqu’elles sont commises au nom de la nation.

Rudolf Rocker “Le nationalisme, une religion politique”

mais pour une autre partie de la population (soit du fait de leur éthique, de leur métier, de leur conscience, …) considérant que la réalité de ce monde est déplorable et qu’on pourrait vivre dans de meilleures conditions, mieux vaut savoir que les États nous surveillent et ne vont pas nous laisser penser, communiquer et surtout pas agir comme bon nous semble (car liberté d’expression ça leur va, tant que ça n’a pas d’impact sur le réel).

On ne le dira jamais assez, l’utilisation du numérique a ses dangers. Comme généralement, l’usage est d’avoir un OS (système d’exploitation) unique utilisé tous les jours, mis à jour régulièrement, qu’on ne va pas sur des sites “spéciaux”, qu’on a un pare-feu, un antivirus, on se croit hors de danger. Hors, si on a un OS grand public, des logiciels standard, il sera plus analysé que d’autres, donc possiblement avec plus de failles et d’attaques possibles. La faille principale est d’être connecté au réseau internet.

Par contre penser être en sécurité car on utilise un logiciel de communication chiffré (c’est mieux que pas du tout!) est une erreur. On peut effectivement avoir un cheval de troie (du style pegasus) au sein du système utilisé (le clavier, l’écran, le micro, le GPS peut être noté, vu, écouté, récupéré).

Pour la communication par internet, il y a plein de choix possibles pour sécuriser ses communications numériques ( M.I.F.I.P : 5 pratiques de base pour survivre en milieu numérique ; l’informatique : se défendre et attaquer ), la meilleure est de communiquer en chiffré évidemment lorsque la communication directe est indispensable. Quelque soit l’option choisie il faut que des deux côtés (ainsi que les outils tiers utilisés) le niveau de sécurité soit identique, sinon c’est une faille possible pour l’un des deux.

Voici quelques pistes pour la sécurité des appareils :

  • Pour des ordinateurs :

Pour des OS standards (windows, linux, bsd), par défaut, le mieux est de diviser les droits entre compte utilisateur et administrateur, installer un antivirus, un pare-feu et un anti-rootkit. Le mot de passe doit être long, difficile à deviner, et changé régulièrement. Utiliser Linux est préférable du fait d’outils de sécurité développés et facile à configurer.

Pour communiquer avec ce genre d’OS, il y a plusieurs options :

  1. Si on a deux postes (l’un connecté à internet, l’autre déconnecté). Il faut utiliser un poste non connecté (avec disque dur chiffré) et chiffrer (gpg/pgp) correctement les données à communiquer à partir de ce poste. Copier ces données et les coller sur une clef USB/SD qui seront récupérées vers l’autre poste connecté. Les données pourront alors être envoyées par le réseau chiffré à son interlocuteur.
  2. Si il n’y a qu’un poste disponible, pour un OS standard/permanent connecté. Des OS permanents comme QUBES ou CLIP-os cloisonnent chaque processus et peuvent donc être une bonne option pour un OS permanent afin d’éviter les attaques globales.
  3. Sinon, et c’est certainement la meilleure option (la moins contraignante), il existe un OS pré-configuré “live” nommé TAILS, celui ci est pratique pour une communication sur un système temporaire sur un réseau chiffré (peu perméable aux attaques, car temporaire). Il est bootable (sur clef usb/sd ou cdrom) et peut avoir des configurations permanentes chiffrées (avec un peu de configuration) .
  • Pour des téléphones :

Même recommandations que pour les ordinateurs.

  1. Sur les iphones ou les ipad, c’est IOS et les applications qui sont gérés/acceptés par apple, soit ils font bien les choses soit non (là avec la faille que pegasus utilise, il semble que non).
  2. Sur les autres type de téléphone (certains téléphones sont matériellement +/- opensource et modulables), android est l’OS le plus généralement installé. Il y a des téléphones dont il est possible d’installer d’autres OS moins dépendant de android/google. Il y a notamment lineage OS, /e/ OS, PostmarketOS, Ubuntu-Touch et SailfishOS. L’intérêt de tous ces OS est que ce sont des OS linux avec une source applicative libre (non android), non connecté à google (google travaille avec l’armée américaine), cependant comme pour les postes standards/permanents si l’appareil est connecté il peut être infecté (par faille zéro ou par clic), donc mêmes recommandations que pour les ordis à OS standards / permanents. Il n’y a pas de projets ayant la portée de TAILS sur les smartphones, il y a un OS en cours avec des outils comme ceux de tails, mais c’est un OS permanent/connecté avec les risques que cela comporte, celui-ci se nomme “mission improbable“. Les OS linux ont des capacités de défense plus avancées notamment avec leurs rootkits.


Les téléphones ne sont pas actuellement les appareils les plus sûrs pour une communication sécurisée (en raison d’OS généralement non libres), les ordinateurs permettent pour le moment de meilleures garanties lorsque des règles définies plus haut sont appliquées.

La surveillance sous le prétexte de la lutte antiterroriste/anticriminalité est un moyen pour contrôler et réprimer plus précisément la population ou de la partie qui le gène. Ça ne les empêche certainement pas de continuer secrètement des écoutes ou surveillance d’opposants, avec ou sans logiciels espions.

Les affaires des écoutes à grande échelle (par la NSA et autres) révélées cette dernière décennie a aussi permis de confirmer l’envers du décor, entre le discours officiel de la nécessité de lois antiterroriste / anticriminalité et la réalité des écoutes de tous par des agences d’État. L’État français n’a pas eu besoin de lois pour cela : la surveillance IOL commencée illégalement et secrètement en 2006, grâce à la technologie de Qosmos, n’en a pas eu besoin, les écoutes illégales furent révélées par mediapart / reflets.info .
Il y a évidemment aussi des écoutes de nos métadonnées par des entreprises privées, lors de nos passages sur des moteurs de recherche, des sites internet ou des réseaux sociaux (revendus possiblement à des États ou autres groupements intéressés). Tout ceci accepté, autorisé et légiféré par les États.

Ce qu’il ressort de cette dernière histoire nommée pegasus, c’est que l’espionnage continue dans les milieux d’États et d’entreprises de sécurité (en ciblant aussi des contre-pouvoirs médiatiques, judiciaire, sociaux, etc). Le capitalisme peut continuer ses forfaitures avec le silence complice des États, ce sont des pratiques “normales”. Il ne faut pas se leurrer, États et capitalisme sont complices.

L’État français avec ses nouvelles lois de sécurité (dernièrement la Loi du 25 mai 2021 pour une “sécurité globale préservant les libertés” ou la loi du pass sanitaire) semble vouloir “protéger” les populations, mais en fait elles protègent l’État et son monde capitaliste. Ils ne veulent clairement pas arrêter les nuisances de leur monde. Ils mettent en place des outils légaux qui pourront être utilisés facilement par d’autres gouvernants contre les populations. En 2022, au cas où un parti plus autoritaire arrive au pouvoir, il aura les outils (votés par des gouvernants plus “libéraux”) pour agir légalement au nom du peuple en se servant des métadonnées récupérées sur les populations.

L’autre option émancipatrice est de rompre collectivement avec ce système organisé de manière internationale et reprendre le contrôle des réseaux en prenant des fournisseurs internet alternatifs, de reprendre en autogestion les industries numériques, afin que le réseau devienne libre. Ceci dans une dynamique d’Abolition du capitalisme et des États. Cependant, en attendant qu’une révolution sociale de ce type arrive, il est préférable de préparer ses appareils (et son mode de communication) afin qu’ils soient utilisables avec le moins de risques, car les failles ne préviennent pas. Une solution actuelle est aussi d’autogérer ses propres outils numériques ou services (nextcloud, freedombox, …) et ne plus utiliser les outils grands public, avec VPN ou tor par défaut.

Comme les terres rares s’épuisent, les appareils électroniques vont possiblement devenir de plus en plus rares, communiquer de manière non numérique (ni analogique) est une autre option et une habitude qui sera à reprendre.

PM

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.