L’Assemblée parlementaire du Conseil de l’Europe (APCE) s’est intéressée à l’utilisation de logiciels espions par ses États membres et a publié, le 20 septembre 2023, un rapport détaillant ses recommandations pour plus de transparence sur « la surveillance secrète opérée par les États ».

D’après les informations collectées par l’APCE, quatorze États membres ont acquis et utilisé des logiciels espions, dont l’Allemagne, la Belgique, l’Espagne, la Hongrie, la Grèce, le Luxembourg, les Pays-Bas, l’Italie, la Pologne, la Roumanie, la République tchèque, l’Estonie, la Slovaquie, la Slovénie et la Serbie. D’autres États, notamment Chypre et la Bulgarie, ont également exporté ces logiciels « vers des pays tiers ayant des régimes autoritaires et présentant un risque élevé de violations des droits humains, notamment la Libye (sous le régime de Kadhafi), l’Égypte, Madagascar et le Soudan ».

Les logiciels espions utilisés par ces États sont nommés PEGASUS, CANDIRU, PREDATOR et FINFISHER. Le désormais-connu PEGASUS est développé par la société israélienne NSO GROUP. Le logiciel CANDIRU est développé par une société – également israélienne – de même nom. Le logiciel PREDATOR appartient à un « consortium de vendeurs de logiciels espions ayant des représentations à Chypre, en France[1], en Grèce et en Irlande ». Enfin, le logiciel FINFISHER est développée par une société allemande.

Parmi ces logiciels, PEGASUS est le plus utilisé et probablement le plus « intrusif » :

« L’Assemblée note que Pegasus est un logiciel espion très intrusif, qui donne à l’utilisateur un accès complet et illimité à tous les capteurs et à toutes les informations du téléphone portable ciblé. Il transforme le smartphone en dispositif de surveillance 24 heures sur 24, en accédant à l’appareil photo et au microphone, aux données de géolocalisation, aux courriers électroniques, aux messages, aux photos, aux vidéos, aux mots de passe et aux applications. Si certains logiciels espions nécessitent une action de la part de la victime, comme un clic sur un lien (par exemple, Predator) ou l’ouverture d’une pièce jointe, Pegasus est installé par une attaque dite « sans clic » ».

L’APCE a indiqué être « profondément préoccupée » par l’utilisation de ces logiciels espions. Elle estime que leur utilisation devrait être « limitée à des situations exceptionnelles et comme mesure de dernier ressort, pour prévenir ou enquêter sur un acte spécifique constituant une menace réelle et sérieuse pour la sécurité nationale ou un crime grave spécifique et précisément défini ». Or, des « preuves de plus en plus nombreuses » montrent le contraire. Ces logiciels espions ont été utilisés « illégalement ou à des fins illégitimes par plusieurs États membres, notamment contre des journalistes, des opposants politiques, des défenseurs des droits humains et des avocats », d’après la commission d’enquête du Parlement européen « chargée d’enquêter sur l’utilisation de PEGASUS et de logiciels espions de surveillance ». Par exemple :

  • la Pologne et la Hongrie ont utilisé PEGASUS « à des fins politiques pour espionner des journalistes, des responsables politiques de l’opposition, des avocats, des procureurs et des acteurs de la société civile » ;
  • la Grèce a utilisé PREDATOR « à des fins politiques et financières » et a mis sur écoute notamment un député européen et un journaliste ;
  • l’Azerbaïdjan a utilisé PEGASUS « notamment contre des journalistes, des propriétaires de médias indépendants et des militants de la société civile ».

Les téléphones de ministres espagnols ainsi que des dizaines d’indépendantistes catalans ont également été infectés par PEGASUS et CANDIRU, vraisemblablement avec l’intervention du Maroc.

« L’Assemblée condamne catégoriquement l’utilisation de logiciels espions par les autorités publiques à des fins politiques. La surveillance secrète des opposants politiques, des agents publics, des journalistes, des défenseurs des droits humains et des acteurs de la société civile à des fins autres que celles énumérées de manière exhaustive à l’article 8.2 de la Convention européenne des droits de l’homme (parmi lesquelles la défense de l’ordre, la prévention des infractions pénales et la protection de la sécurité nationale et de la sûreté publique) constitue une violation manifeste du droit au respect de la vie privée (article 8). »

L’APCE demande à tous ses pays membres de clarifier l’utilisation de ces logiciels espions, dans un délai de trois mois, de mener des « enquêtes indépendantes », et d’appliquer des « sanctions appropriées, pénales ou administratives, en cas d’abus ».

L’APCE demande également aux États de réglementer leur utilisation et de s’« abstenir d’accorder des licences d’exportation de technologies de logiciels espions à des pays où il existe un risque important que ces technologies soient utilisées à des fins de répression interne ou transnationale et/ou pour commettre des violations des droits humains ».

Enfin, l’APCE demande à Israël, « qui bénéficie du statut d’observateur auprès de l’Assemblée », de « coopérer pleinement aux enquêtes menées », et au Maroc, « qui bénéficie du statut de partenaire pour la démocratie auprès de l’Assemblée », d’informer l’Assemblée « s’il a utilisé Pegasus ou un logiciel espion similaire dans son pays et à l’étranger ».

Une recommandation du Conseil de l’Europe devrait également être établie, et une convention sur « l’acquisition, l’utilisation, la vente et l’exportation de logiciels espions » devrait être examinée.

Lire :

Notes et références

  1. D’après le rapport de l’APCE, « la France abrite plusieurs sociétés spécialisées dans les logiciels espions, telles que Nexa Technologies (qui fait partie de l’alliance Intellexa de Tal Dilian) et Amesys ». Monsieur Tal Dilian, est un « ancien membre des forces de défense israéliennes ».
Sigles et acronymes
  • CNIL : Commission Nationale de l'Informatique et des Libertés