Une nouvelle enquête médico-légale convaincante révèle l’utilisation répétée du logiciel espion Pegasus contre des journalistes de renom

Amnesty International, en partenariat avec le Washington Post, a révélé de nouveaux détails alarmants sur cette affaire. Utilisation continue du logiciel espion hautement invasif Pegasus de NSO Group contre des journalistes de renom en Indedont l’un avait déjà été victime d’une attaque avec le même logiciel espion.

Les enquêtes médico-légales menées par le Laboratoire de sécurité d’Amnesty International ont confirmé que Siddharth Varadarajan, rédacteur fondateur de The Wire, et Anand Mangnale, rédacteur en chef pour l’Asie du Sud du projet de recherche sur le crime organisé et la corruption, figuraient parmi les journalistes dont les iPhones avaient été récemment attaqués par le logiciel espion Pegasus ; Le dernier cas identifié s’est produit en octobre 2023.

L’utilisation de Pegasus, un type de logiciel espion hautement invasif développé par la société de surveillance israélienne NSO Group, intervient dans un contexte de répression sans précédent de la liberté d’expression et de réunion pacifique par les autorités indiennes, qui a eu un effet dissuasif sur les organisations de la société civile, les journalistes et les militants.

“Nos dernières conclusions montrent que les journalistes en Inde sont de plus en plus confrontés à la menace d’une surveillance illégitime simplement pour faire leur travail, ainsi qu’à d’autres outils de répression, tels que l’emprisonnement en vertu de lois draconiennes, la stigmatisation, le harcèlement et l’intimidation”, a déclaré Donncha Ó Cerbhaill, directeur de Laboratoire de sécurité d’Amnesty International.

« Malgré des révélations répétées, il existe un manque honteux de responsabilisation pour l’utilisation du logiciel espion Pegasus en Inde, ce qui ne fait qu’aggraver le sentiment d’impunité pour ces violations des droits humains. »

Des tests médico-légaux révèlent l’activité de Pegasus

Le laboratoire de sécurité d’Amnesty International a observé pour la première fois des signes de nouvelles menaces du logiciel espion Pegasus contre des personnes en Inde lors d’un contrôle technique régulier en juin 2023, plusieurs mois après que les médias ont rapporté que le gouvernement indien essayer d’acquérir un nouveau système de logiciel espion commercial.

En octobre 2023, Apple a publié une nouvelle série de notifications de menaces mondiales à tous les utilisateurs d’iPhone susceptibles d’avoir été victimes d’« attaquants parrainés par l’État ».. Selon rapportsplus de 20 journalistes et personnalités politiques de l’opposition indienne ont reçu ces notifications.

En conséquence, le Laboratoire de sécurité d’Amnesty International a procédé à une analyse médico-légale des téléphones de des gens du monde entier qui avaient reçu ces notifications, dont Siddharth Varadarajan et Anand Mangnale, et trouvé des traces d’activité du logiciel espion Pegasus sur les appareils appartenant aux deux journalistes indiens.

Le laboratoire de sécurité a récupéré sur l’appareil d’Anand Mangnale la preuve d’un exploit zero-day qui avait été envoyé sur son téléphone via iMessage le 23 août 2023 et était conçu pour installer secrètement le logiciel espion Pegasus. Le téléphone fonctionnait sous iOS 16.6, la version la plus récente disponible à l’époque.

Les exploits Zero Day sont des logiciels malveillants qui permettent d’installer des logiciels espions sur un appareil sans que la personne concernée n’ait à faire quoi que ce soit, comme cliquer sur un lien.

Le laboratoire de sécurité a également identifié une adresse e-mail contrôlée par un attaquant utilisée dans le cadre de l’attaque Pegasus sur votre appareil. Les échantillons récupérés sont compatibles avec l’exploit BLASTPASS de NSO Group, identifié publiquement par Citizen Lab en septembre 2021 et corrigé par Apple dans son iOS 16.6.1 (CVE-2023-41064).

Le téléphone d’Anand Mangnale était vulnérable à cet exploit zero-day au moment de l’attaque. Il n’est actuellement pas clair si la tentative d’introduction de l’exploit a réussi à compromettre votre appareil.

La tentative de piratage du téléphone d’Anand Mangnale a eu lieu à un moment où il travaillait sur une histoire sur une prétendue manipulation d’actions par un grand conglomérat multinational en Inde.

Le site Web d’Amnesty Tech Security Lab contient un analyse technique plus détaillée de l’exploit et des tests médico-légaux complémentaires.

Une histoire d’abus de logiciels espions

Amnesty International avait déjà établi que le téléphone de Siddharth Varadarajan avait été piraté et infecté avec le logiciel espion Pegasus en 2018. Leurs appareils ont ensuite été soumis à un analyse médico-légale par un comité technique créé par la Cour suprême de l’Inde en 2021 suite aux révélations du projet Pegasus.

En 2022, la commission a terminé son enquête, mais la Cour suprême n’a pas rendu publiques les conclusions du rapport technique. La Cour a toutefois noté que les autorités indiennes « n’ont pas coopéré » aux enquêtes du comité.

Siddharth Varadarajan a de nouveau été attaqué avec Pegasus le 16 octobre 2023. La même adresse e-mail contrôlée par l’attaquant utilisée lors de l’attaque Pegasus contre Anand Mangnale a été identifiée sur son téléphone, confirmant que les deux journalistes avaient été attaqués par le même client Pegasus.

Il n’existe aucune donnée indiquant que l’attaque Pegasus ait réussi à cette occasion.

« Attaquer des journalistes simplement parce qu’ils font leur travail constitue une atteinte illégitime à leur vie privée et viole leur droit à la liberté d’expression. Tous les États, y compris l’Inde, ont l’obligation de protéger les droits humains en protégeant les personnes contre une surveillance illégale », a déclaré Donncha Ó Cearbhaill.

Des journalistes du Washington Post ont contacté NSO Group pour connaître sa réponse aux découvertes les plus récentes.

La société a déclaré : « Bien que NSO ne puisse pas faire de commentaires sur des clients spécifiques, nous soulignons une fois de plus qu’il s’agit tous d’agences d’application de la loi et de renseignement agréées qui autorisent nos technologies dans le seul but de lutter contre le terrorisme et la criminalité grave. Les politiques et contrats de l’entreprise prévoient des mécanismes pour éviter d’attaquer les journalistes, les professionnels du droit, les défenseurs des droits humains ou les dissidents politiques qui ne sont pas impliqués dans le terrorisme ou dans des crimes graves. “L’entreprise n’a aucune visibilité sur les objectifs ni sur les informations collectées.”

NSO Group déclare vendre ses produits uniquement aux agences gouvernementales de renseignement et d’application de la loi. Les autorités indiennes n’ont jusqu’à présent fourni aucune clarté ni transparence quant à savoir si elles avaient acquis ou utilisé le logiciel espion Pegasus en Inde.

« Amnesty International appelle tous les pays, y compris l’Inde, à interdire l’utilisation et l’exportation de logiciels espions hautement invasifs dont les fonctions ne peuvent être auditées ou limitées », a déclaré Donncha Ó Cearbhaill.

L’organisation demande également la publication immédiate des conclusions du rapport du comité technique de la Cour suprême sur l’utilisation de Pegasus en Inde. En outre, le gouvernement indien doit mener une enquête immédiate, indépendante, transparente et impartiale sur tous les cas de surveillance ciblée, y compris ces révélations les plus récentes.

Pour garantir la transparence, les autorités indiennes doivent également divulguer publiquement les informations sur tout contrat passé, actuel ou futur avec des sociétés de surveillance privées, y compris NSO Group.

Plus d’informations

En octobre 2022, le Projet d’information sur le crime organisé et la corruption a rapporté, sur la base d’une analyse de bases de données commerciales, que la principale agence nationale de renseignement indienne, l’Intelligence Bureau, avait reçu en avril 2017 une livraison de matériel de NSO Group qui correspondait à la description de l’équipement utilisé pour faire fonctionner le système Pegasus. Les premières attaques Pegasus identifiées par Amnesty International en Inde ont eu lieu début juillet 2017.

En 2020, Amnesty International et Citizen Lab ont révélé une opération coordonnée contre des défenseurs des droits humains utilisant des logiciels espions commerciaux disponibles dans le commerce en Inde.

En 2021, dans le cadre du projet Pegasus, Amnesty International, en partenariat avec Forbidden Stories, a révélé que les appareils de nombreux membres de la société civile et journalistes en Inde étaient ciblés et infectés par le logiciel espion Pegasus de NSO Group, dont Siddharth Varadarajan.

Le Security Lab continuera de surveiller et de soutenir la société civile du monde entier préoccupée par les attaques de logiciels espions et la surveillance numérique illégitime.

Amnesty International remercie le Laboratoire de sécurité numérique de Reporters sans frontières pour son soutien en termes de diffusion et d’analyse dans le cadre de cette enquête.

Les défenseurs des droits humains, les militants et les journalistes qui ont reçu une alerte de sécurité similaire de la part d’Apple ou d’autres plateformes peuvent nous contacter pour obtenir une assistance en matière d’expertise numérique.