Ils disent qu’ils combattent le crime et le terrorisme, qu’ils sont en mission pour sauver des vies et qu’ils aident les gouvernements à préserver la sécurité publique. Ils disent qu’ils se battent pour les droits de l’homme. Les sociétés privées de logiciels espions qui développent des logiciels de surveillance pour les gouvernements et les forces de l’ordre le tourneront de n’importe quelle manière pour se faire passer pour les véritables champions de l’humanité et les défenseurs de la justice dont le monde a besoin.
Mais les révélations de Pegasus ont porté un coup de massue à cette façade.
Les entreprises de logiciels espions comme NSO Group alimentent réellement une attaque mondiale contre les droits humains fondamentaux, les libertés civiles et la démocratie elle-même.
Lorsque vous déployez des outils de surveillance de niveau militaire dans des régimes gouvernementaux oppressifs avec des antécédents bien connus d’atteintes aux droits humains, voici ce qui se passe : vos outils deviennent des armes contre les personnes mêmes que votre entreprise prétend vouloir protéger.
L’industrie mondiale des logiciels espions est un espace obscur, largement non réglementé, qui opère sous un voile de secret (dans une certaine mesure parce que les agences gouvernementales sont souvent les principaux consommateurs de l’industrie). C’est une industrie qui, selon Edward Snowden, ne devrait même pas exister. J’ai tendance à être d’accord.
À tout le moins, quelque chose doit être fait pour réglementer l’industrie et empêcher ces entreprises de contribuer aux violations des droits de l’homme menées par le gouvernement, car il est devenu clair que des entreprises comme NSO Group sont incapables de se contrôler elles-mêmes.
Dans quelle mesure le processus de vérification de NSO Group est-il vraiment diligent ?
NSO Group affirme qu’il fait preuve d’une diligence raisonnable en examinant minutieusement les agences gouvernementales auxquelles il licencie son logiciel.
Pourtant, d’une manière ou d’une autre, les agences gouvernementales en Azerbaïdjan – où Internet est fortement censuré et où les journalistes, les blogueurs, les politiciens et les militants sont régulièrement emprisonnés et prétendument battus par la police pour avoir dénoncé le gouvernement – ont réussi à passer le processus de contrôle « approfondi » du groupe NSO.
Le gouvernement saoudien – qui a une longue et bien connue histoire de violations des droits humains, y compris contre les femmes et les enfants – a reçu le feu vert du groupe NSO pour utiliser son logiciel espion Pegasus.
Aux Emirats Arabes Unis – où des dizaines de dissidents, d’universitaires, de journalistes, d’activistes et d’avocats restent indéfiniment emprisonnés dans un environnement sordide, surpeuplé et insalubre, tout en étant prétendument soumis à la torture et sans soins médicaux adéquats – le gouvernement a obtenu une licence pour utiliser le logiciel espion Pegasus de NSO Group ainsi que.
Tout cela, évidemment, remet en question le processus de contrôle de NSO Group. Il est inconcevable que NSO Group n’ait pas pu prévoir que son logiciel espion Pegasus serait utilisé de manière aussi flagrante par certaines des agences gouvernementales auxquelles il a vendu son produit le plus controversé.
Mais, même ainsi, des gouvernements oppressifs qui sont des abus bien documentés des droits humains fondamentaux ont obtenu des licences du groupe NSO pour utiliser les logiciels espions de l’entreprise. D’une manière ou d’une autre, ces gouvernements ont réussi à adopter la « procédure de diligence raisonnable en matière de droits de l’homme » du groupe NSO. Cette procédure est un processus en cinq étapes vanté dans le « Rapport de transparence et de responsabilité » de l’entreprise qui comprend une « évaluation initiale des risques », une « diligence raisonnable », une « classification des risques », « l’examen et l’approbation » et « des mesures d’atténuation supplémentaires lorsque cela est justifié. «
Selon le rapport de transparence, la procédure comprend la contribution de l’équipe de conformité de l’entreprise, du conseiller juridique, des employés, du comité de direction, ainsi que du comité de gouvernance, des risques et de la conformité du conseil d’administration.
Comment ces gouvernements auraient-ils pu obtenir des licences pour utiliser Pegasus ?
Maintenant, un être humain rationnel croirait probablement qu’un processus de vérification apparemment aussi robuste et étendu permettrait de filtrer avec succès les agences gouvernementales corrompues qui sont susceptibles d’abuser des produits de l’entreprise.
En effet, NSO Group se vante d’avoir rejeté plus de 300 millions de dollars d’opportunités à la suite de sa procédure de due diligence. C’est honorable, mais il faut se demander comment les agences gouvernementales d’Azerbaïdjan, d’Arabie saoudite et des Émirats arabes unis ont glissé à travers les mailles du filet. C’est peut-être parce que NSO Group ne respecte pas ses propres principes éthiques déclarés. Ou peut-être que l’entreprise choisit les régimes répressifs avec lesquels elle fait affaire en fonction de ses résultats.
Quoi qu’il en soit, l’opération du groupe NSO sent incroyablement louche. Il ne semble vraiment pas que l’entreprise ait vraiment les intérêts des droits de l’homme en tête de sa liste de priorités.
Examinons quelques-unes des déclarations incluses dans le rapport de transparence et de responsabilité de NSO Group.
Selon le rapport, l’un des aspects clés de la politique des droits de l’homme de l’entreprise comprend :
Une évaluation approfondie tout au long de notre processus de vente du potentiel d’impacts négatifs sur les droits de l’homme résultant d’une mauvaise utilisation des produits NSO, y compris les performances passées en matière de droits de l’homme et les normes de gouvernance du pays concerné.
Le rapport énumère également certains des « risques les plus importants pour les droits de l’homme » associés aux produits du groupe NSO. dont le premier est le suivant :
L’utilisation abusive potentielle de nos produits contre des personnes et des groupes qui agissent pour promouvoir ou protéger les droits humains de manière pacifique (« défenseurs des droits humains »). Il s’agit notamment : (i) des journalistes ; (ii) les membres des organisations de la société civile ; (iii) les avocats ; et (iv) les partis politiques, candidats et sympathisants.
Sur la base de ces deux déclarations, et compte tenu du caractère « approfondi » du processus de vérification du groupe NSO, les agences gouvernementales d’Azerbaïdjan, d’Arabie saoudite et des Émirats arabes unis n’auraient pas dû acquérir de licences du groupe NSO pour utiliser le logiciel espion Pegasus. Quiconque n’a qu’une compréhension superficielle de la façon dont les agences gouvernementales de ces pays traitent leurs citoyens pourrait le voir.
Ce sont quelques-uns des gouvernements les plus autoritaires et les plus corrompus de la planète lorsqu’il s’agit d’abuser des droits humains des défenseurs des droits humains comme les journalistes, les avocats, les militants et les politiciens. Pourtant, ils ont quand même réussi le processus de vérification. La seule façon qui a du sens est que NSO Group ne pratique pas réellement ce qu’il prêche si noblement.
L’industrie mondiale des logiciels espions doit être réglementée de manière rigoureuse
NSO Group ne peut même pas jouer selon ses propres règles, et il est peu probable que d’autres entreprises comme elle le puissent non plus.
C’est exactement pourquoi nous avons besoin que cette industrie soit réglementée.
Cependant, réglementer l’industrie des logiciels espions est un défi de taille lorsque ce sont les gouvernements eux-mêmes qui utilisent le plus ces logiciels espions sophistiqués. Et il n’est que trop vrai que lorsqu’un gouvernement acquiert des pouvoirs aussi extraordinaires sur ses citoyens (surtout en matière de surveillance), ces pouvoirs deviennent extrêmement difficiles à arracher aux griffes des gouvernements qui les exercent.
Les révélations de Pegasus, cependant, devraient être un signal d’alarme, le point de basculement où les gouvernements du monde entier prennent enfin des mesures significatives pour tirer l’industrie des logiciels espions des eaux troubles dans lesquelles elle réside.
Mais que faut-il faire exactement ?
Tout d’abord, comme d’autres (dont Edward Snowden) l’ont suggéré, les gouvernements du monde entier doivent imposer un moratoire sur le commerce mondial des logiciels espions. Les sociétés commerciales de logiciels malveillants comme NSO Group permettent aux gouvernements d’espionner leurs citoyens de manière incroyablement simple et abordable, et d’une manière beaucoup plus invasive que jamais.
Si cela se poursuit sans relâche, la situation risque de devenir incontrôlable au point que tout ce que nous faisons sur nos téléphones sera surveillé par le gouvernement. Tous les appels que nous passons, tous les messages que nous envoyons, toutes les photos que nous prenons seront surveillés – tout. Nos microphones et caméras seront accessibles à volonté par le gouvernement sans notre contrôle ou connaissance, et nos emplacements exacts seront suivis. C’est notre avenir si l’industrie des logiciels espions n’est pas maîtrisée.
NSO Group s’empresse de souligner que Pegasus n’est pas un outil de surveillance de masse, qu’il est conçu pour être un outil de surveillance ciblée. Mais cela n’a pas d’importance quand n’importe qui d’entre nous peut être visé à tout moment. La seule information dont le gouvernement a besoin est votre numéro de téléphone – et avec ce qui revient essentiellement à appuyer sur un bouton, vous êtes ciblé.
Nous n’avons pas besoin de ça… nous n’avons besoin de rien de tout ça.
Les gouvernements doivent interdire le commerce des logiciels espions à l’échelle mondiale jusqu’à ce qu’il y ait réel transparence dans l’industrie et jusqu’à ce que des règles efficaces soient établies pour la réglementer et garantir que nos droits humains ne sont pas menacés. Alors, et alors seulement, toute sorte de moratoire sur l’industrie devrait être levé.
Nous avons besoin de responsabilité
Bien entendu, les réglementations sectorielles appropriées doivent également inclure des mécanismes qui tiennent les développeurs de logiciels espions comme NSO Group responsables de la manière dont leurs produits logiciels sont déployés dans le monde. Si de tels mécanismes avaient été en place, je parierais que l’Azerbaïdjan, l’Arabie saoudite et les Émirats arabes unis ne mettront jamais la main sur Pegasus.
NSO Group met un point d’honneur à se laver les mains de la façon dont ses clients utilisent Pegasus tout en claironnant à quel point il examine les clients potentiels de manière éthique. Mais, en fin de compte, ce sont les sociétés de logiciels espions qui développent les logiciels malveillants dont leurs clients abusent. S’ils ne contrôlent pas correctement leurs clients, ils doivent alors être tenus responsables de la manière dont leurs produits sont abusés par les agences gouvernementales auxquelles ils les autorisent.
Une partie de cette responsabilité doit inclure le droit pour les victimes individuelles de logiciels espions d’intenter une action en justice contre les entreprises et les gouvernements impliqués dans la violation de leurs droits humains fondamentaux.
Les fabricants de smartphones doivent également intensifier
Enfin, il appartiendra également aux fabricants de smartphones d’intensifier et de concevoir leurs produits de manière à protéger correctement les utilisateurs contre des menaces telles que Pegasus. Il n’y a aucune raison pour qu’un gouvernement puisse obtenir un accès complet à tout sur le smartphone d’un citoyen ordinaire, y compris les communications cryptées.
Nulle part sur terre cela ne devrait être autorisé. Oui, ces outils de logiciels espions sont incroyablement sophistiqués et en constante évolution – nous avons déjà vu de quoi ils sont capables – mais les fabricants de smartphones doivent garder une longueur d’avance sur l’industrie des logiciels espions et s’assurer que la sécurité de leurs produits reste étanche et que les vulnérabilités exploitables sont suffisamment abordé.
Dernières pensées
Nous venons juste d’entrevoir de quoi l’industrie mondiale des logiciels espions est capable. Les révélations de Pegasus ont mis en lumière le monde souterrain obscur de l’industrie et ont déclenché l’alarme que les gouvernements du monde entier (espérons-le) doivent enfin prendre des mesures pour mettre un terme aux violations des droits humains perpétrées par l’utilisation d’outils tels que Pégase.
Les sociétés de logiciels espions comme NSO Group doivent être tenues pour responsables de leur rôle dans l’entretien des flammes et dans l’exploitation de ces abus. Les gouvernements doivent être tenus responsables de leur utilisation abusive et abusive de ces outils.
Ce qui se passe est une menace pour la démocratie et une attaque directe contre nos droits fondamentaux à la vie privée. Si des mesures appropriées ne sont pas prises contre cette agression et que les gouvernements ne parviennent pas à contenir l’industrie et à punir toute entité qui abuse de ces outils, la situation deviendra rapidement incontrôlable.
Nous avons besoin de règles ici. Nous ne voulons pas vivre dans un monde où l’industrie mondiale des logiciels espions fonctionne sans relâche et sans laisse – je peux vous le dire dès maintenant.
