Espionnage des journalistes mexicains : enquête sur le marché très rentable de la cybersurveillance

C’est un message qui était passé inaperçu mais qui cache une opération de surveillance à la pointe de la technologie. Au printemps 2016, le journaliste mexicain Jorge Carrasco vient de passer plusieurs mois à enquêter sur les Panama Papers pour le magazine Proceso. Alors qu’il poursuit ses recherches sur les clients mexicains du tristement célèbre cabinet d’affaires panaméen Mossack Fonseca, il reçoit un SMS d’un numéro inconnu : "Bonjour Jorge, je vais te partager la note qu’Animal Politico a publiée aujourd'hui et qu’il me semble important de reprendre." Le tout assorti d’un lien. "Qui est-ce ?", s’enquiert le journaliste. L’expéditeur ne répondra jamais.

>> Projet Cartel : enquête sur la mort de la journaliste mexicaine Regina Martínez, assassinée sur fond de narco-politique

Derrière ce correspondant mystère : une tentative d’intrusion du logiciel espion Pegasus, vendu par la société israélienne NSO Group à plusieurs clients gouvernementaux mexicains. C’est la conclusion d’une analyse technique réalisée par l’équipe de spécialistes de la sécurité numérique d'Amnesty International en collaboration avec Forbidden Stories. Le lien, une fois que l’on a cliqué dessus, a le pouvoir d’installer un logiciel invisible qui aspire toutes les données du téléphone, notamment les SMS, et permet d’en activer le microphone et la caméra à distance. Une menace redoutable pour un journaliste. 

"J’avais remarqué ce message à l’époque mais j’en recevais beaucoup de ce genre-là", se rappelle aujourd’hui le journaliste qui est désormais rédacteur en chef du magazine Proceso.

"Le message faisait probablement partie d'une campagne en cours au Mexique pendant cette période", selon Claudio Guarnieri d'Amnesty Security Lab. À l’époque, le logiciel est utilisé à tout va par les clients mexicains. D’après Amnesty, le numéro de téléphone qui a ciblé Jorge Carrasco a également envoyé à la même période plusieurs SMS avec des liens malveillants à la journaliste Carmen Aristegui, l'une des journalistes d’investigation les plus célèbres du Mexique.

Jorge Carrasco s’ajoute à la liste de neufs journalistes dont les téléphones ont montré des traces d’une attaque du logiciel espion Pegasus au Mexique. Depuis dix ans, le pays est un gros importateur de technologies de surveillance malgré des scandales répétés autour de l’utilisation de ces outils contre des journalistes et des activistes. En dépit des promesses du gouvernement, rien n’a été mis en place pour réglementer l’usage de ces outils, aucun des précédents opérateurs n’est passé devant la justice et le pays continue d’importer du matériel intrusif auprès d’entreprises étrangères.

Un attrait pour la technologie israélienne

Selon un haut responsable de la DEA, l’agence américaine anti-drogue, une vingtaine de sociétés privées de logiciels espions ont vendu leurs logiciels à plusieurs services de police fédéraux et d'État mexicains. Les technologies israéliennes ont particulièrement bonne réputation auprès des responsables mexicains.

Le Mexique a d’ailleurs longtemps été l’un des plus gros clients de NSO Group. Après un premier contrat mitigé avec le secrétariat à la Défense nationale, l’entreprise israélienne s’implante définitivement sur le marché en 2014 en signant un contrat de 32 millions de dollars avec le bureau du procureur général. Dans les mails du concurrent italien Hacking Team, qui ont été massivement piratés et diffusés en 2015, on lit au détour de quelques phrases la montée en puissance de NSO à l’époque. Les vendeurs italiens ont alors pour objectif de "déboulonner le mythe NSO" auprès des clients mexicains qui s’enthousiasment pour cette technologie qui promet un accès total aux téléphones ciblés.

Sur ce marché, NSO s’est imposé comme leader. "Nous sommes comme un fantôme, se vantait le cofondateur Omri Lavie en 2013. Nous sommes totalement transparents pour la cible, et nous ne laissons aucune trace." Mais l’entreprise se rend compte après quelques années que ce n’est pas tout à fait vrai. "Les SMS sont très visibles et laissent derrière eux beaucoup de traces qui ont été utilisées à maintes reprises par des enquêteurs pour confirmer un ciblage NSO", explique Claudio Guarnieri. Un "défaut" corrigé en 2019. On apprend que l’entreprise israélienne utilise désormais une faille de l’application WhatsApp. Aujourd’hui, plus aucune action de l’utilisateur n’est nécessaire grâce à des redirections presque invisibles du trafic internet. Une fois l’attaque réussie, le client peut tout voir du téléphone ciblé.

Un outil contre le crime détourné à d’autres fins

L’outil très puissant, censé combattre le terrorisme et le crime organisé, peut s’avérer très dangereux s’il est utilisé contre des journalistes, des opposants ou des activistes. "Grâce au développement de cette technologie, ils sont capables, dans de nombreux endroits, d'identifier le prochain Nelson Mandela avant qu'il ne sache lui-même qu'il est le prochain Nelson Mandela", explique Eitay Mack, un avocat israélien des droits de l’homme.

Dans une réponse écrite à Forbidden Stories, NSO a affirmé "enquêter de manière approfondie sur toute allégation crédible d'utilisation abusive, y compris les affirmations selon lesquelles [leur] technologie a été utilisée à des fins autres que des cas légitimes de prévention et d’enquête de faits de terrorisme ou d’autres crimes".

Du côté des autorités israéliennes, les dénonciations répétées de l’utilisation de Pegasus contre des membres de la société civile ne justifient pas de sanctionner NSO Group qui continue de voir sa licence d’export renouvelée. "Pour le gouvernement israélien, la surveillance des journalistes et activistes est juste un état de fait", constate Eitay Mack. "Chaque évaluation de licence est faite à la lumière de diverses considérations, notamment l'évaluation du pays vers lequel le produit sera commercialisé, a répondu à Forbidden Stories un porte-parole du ministère de la Défense israélien. Les droits de l'homme, la politique et les questions de sécurité sont tous pris en considération."

Selon un ancien employé de l’entreprise italienne Hacking Team, l’industrie de la cybersurveillance avait réellement pour but de combattre la criminalité au départ, mais au fur et à mesure ses clients et ses missions ont changé. "Progressivement, il y a eu de plus en plus d'opérations qui étaient vraiment à la limite. Et vers la fin, la plupart des opérations étaient plus qu’à la limite", explique-t-il. Contacté par Forbidden Stories, l’ancien directeur de Hacking Team, David Vincenzetti, n’a pas souhaité répondre à nos questions.

En face, des pays comme le Mexique mettent en avant le besoin de s’équiper pour contrer des organisations criminelles puissantes. "Il y a une communication autour des problèmes de sécurité au Mexique qui sont utilisés comme excuse pour dépenser de grosses sommes d'argent dans l'acquisition de technologies prétendument utilisées pour lutter contre le crime organisé", explique Luis Fernando García, directeur de l’organisation de défense des droits numériques R3D.

Des gouverneurs proches des cartels

Problème : au niveau des États fédérés, les fonctionnaires ont parfois des liens avec les cartels opérant dans la région. Or à chaque échelon, la cybersurveillance se renforce.

Après les bureaux des procureurs, ce sont les exécutifs locaux, et même une entreprise publique, Pemex, qui se dotent du logiciel RCS. "Ils n'ont pas les pouvoirs en vertu de la Constitution pour faire de l'interception des communications, mais ils ont acquis des outils qui leur permettent de faire exactement cela", explique Luis Fernando García. Selon Paloma Mendoza Cortés, c’est l’absence de législation adéquate et de définitions claires en matière de sécurité qui créeraient une confusion juridique.

L’identité des utilisateurs finaux n’est d’ailleurs pas toujours claire pour les entreprises de cybersurveillance elles-mêmes. En 2011, pendant plusieurs mois, l’intermédiaire mexicain DTXT Corp. conserve par exemple le logiciel RCS sans qu’il ne soit livré au client supposé, la police fédérale. Les employés de Hacking Team demandent à maintes reprises que leur soit retourné le contrat de licence d'utilisateur final signé, sans succès. Un an plus tard, un employé commentera, dans une note générale, "il semble que ce soit une chose courante au Mexique". Le directeur de DTXT Corp. n’a pas répondu aux questions de Forbidden Stories.

Dans l’État de Puebla, des employés de l’entreprise italienne s'étonnent d’une installation particulièrement suspecte. "Ils devaient déployer la solution pour le client et ils ont été amenés dans une maison abandonnée, sans fenêtres, à deux heures de la ville", témoigne un ancien employé qui gérait cette intervention à distance. L’un des ingénieurs de Hacking Team reconnaît alors, paniqué, un fonctionnaire, Joaquín Arenal Romero, dont il suspecte qu’il a des liens avec le cartel des Zetas. "Parfois, des gens se présentaient devant nous en disant qu'ils travaillaient pour les services secrets, et on se demandait 'Mais qui sont ces gens ?'", raconte un autre ancien employé de l’entreprise. En 2017, interrogé par le New York Times, le gouvernement de Puebla a nié avoir acheté la moindre technologie de Hacking Team.

Un haut responsable de la DEA américaine affirme que la police, qui possède ce type de technologie, la vendrait aussi aux cartels. Ces organisations criminelles apparaissent en effet particulièrement friandes de ce type d’outils comme l’a montré le procès du chef du cartel de Sinaloa, Joaquín Guzmán Loera. Celui qui faisait office d’ingénieur pour le baron de la drogue a reconnu, au cours d’une audition, avoir acheté des "équipements d'interception permettant d’accéder aux appels téléphoniques, à Internet, aux SMS". Et pour les cartels qui n’auraient pas leurs propres ingénieurs, il reste à se tourner vers des fonctionnaires corrompus qui, selon la DEA, acceptent de cibler certaines personnes en échange de pots-de-vin.

"Si l'agence qui avait notre technologie en faisait profiter un cartel, nous ne pouvions pas le savoir, explique un ancien employé de Hacking Team. Et la seule chose que nous pouvions faire si nous étions au courant d'abus était de ne pas renouveler la licence et de la laisser expirer. Mais nous ne pouvions pas l'arrêter à distance."

Des journalistes surveillés de près

Dans l’État du Veracruz c’est une véritable unité d’espionnage, dirigée par le ministère de la Sécurité publique, qui s’est mise en place dans les années 1990. Un vaste réseau d'informateurs était mobilisé pour recueillir des informations sur des supposés opposants politiques. L'unité utilisait des techniques classiques de renseignement et tenait des fiches personnelles sur les journalistes, selon un fonctionnaire de haut rang ayant travaillé pour les gouverneurs de l'époque.

Entre 2017 et 2019, l'unité se dote de technologies de pointe, notamment de provenance européenne. Les mails de l’entreprise Hacking Team révèlent que, dès 2012, le Veracruz avait accès à une version d’essai de RCS. En 2018, le gouverneur a annoncé l’arrêt des activités d’espionnage, sans que l’on ne sache s’il s’agit d’une suspension ou d’un démantèlement permanent.

"Le Veracruz a une technologie très sophistiquée en matière d'espionnage. Ce n'est pas Pegasus mais c'est tout aussi bien, explique une source bien placée. Les analystes du renseignement sont très expérimentés, et ont la capacité et la technologie nécessaires pour pirater des ordinateurs et des téléphones." Ils seraient ainsi considérés comme étant l’une des unités d'espionnage d'État les plus sophistiquées et les plus compétentes du pays. Le secrétariat de la Sécurité publique de l'État de Veracruz n'a pas répondu aux courriels répétés de Forbidden Stories.

Cette situation est particulièrement dangereuse pour les journalistes. En 2012, Regina Martínez est assassinée alors qu’elle enquêtait sur deux gouverneurs de l’État, Fidel Herrera et Javier Duarte. Selon Reporters sans frontières, l’élection de ce dernier en 2010 donne le coup d'envoi d'un règne de terreur pour les journalistes. Seize d'entre eux sont tués dans les années qui suivent. Javier Duarte sera finalement arrêté au Guatemala en 2017, après six mois de fuite, pour "détournement de fonds, enrichissement illicite et blanchiment d'argent".

Andres Timoteo, un ancien collègue de Regina Martinez, affirme qu’elle se sentait surveillée en permanence : "Elle entendait des bruits dans son téléphone, de l’écho. Mais on était tous espionnés, ça faisait partie de notre quotidien." Andres Timoteo a lui-même fui le Mexique juste après l’assassinat, craignant pour sa sécurité. Dans un autre État, un ancien employé de l’entreprise italienne se souvient quant à lui avoir été présent lorsqu’un gouverneur surveillait depuis son bureau une journaliste. "Il était fier", se rappelle-t-il.

En 2017, plusieurs organisations mexicaines et internationales s’associent pour publier le rapport "Gobierno Espía" ("Gouvernement espion"). Depuis un an, chercheurs et activistes travaillent à identifier des tentatives de piratage contre des journalistes, avocats et militants anticorruption. Ils découvrent plus de 80 tentatives d'infection par le logiciel espion de la société NSO au Mexique entre 2015 et 2016.

Un porte-parole de NSO Group a déclaré à Forbidden Stories que l’entreprise avait enquêté sur tous les abus présumés de sa technologie, ajoutant que "dans de multiples cas, NSO [avait] résilié des contrats et rompu des relations avec des clients après que des abus aient été identifiés", sans nommer aucun client spécifique.

À la suite de la publication du rapport, un groupe d’experts des Nations unies demande au gouvernement mexicain de s'engager à cesser immédiatement la surveillance. "Cet engagement doit inclure des contrôles efficaces sur les services de sécurité et de renseignement afin de prévenir l'utilisation illégale des outils de surveillance de l'État", insistent-ils.

Des promesses d’enquêtes peu crédibles

Le Mexique promet d’enquêter. Des associations se joignent à des journalistes ciblés par Pegasus pour porter plainte. Mais depuis, rien. Le bureau du procureur exige de récupérer les téléphones visés par les tentatives d’infection pour faire avancer l’enquête. "L’analyse du téléphone est notoirement peu concluante dans des cas comme celui-ci, en partie parce que Pegasus dispose de propriétés bloquant l’analyse technique, réplique John Scott-Railton. Nous avons souligné qu'il y avait beaucoup plus d'endroits fiables pour trouver des preuves comme le réseau téléphonique ainsi que les registres du déploiement de Pegasus lui-même."

Les ONG impliquées questionnent l’impartialité du bureau du procureur qui doit enquêter sur une technologie après en avoir été l’un des clients. "Il n'est pas clair que le gouvernement soit sur la bonne voie pour mener une enquête indépendante vraiment sérieuse", constate David Kaye, rapporteur spécial de l'ONU sur la liberté d'expression jusqu'en juillet 2020. Contacté par Forbidden Stories, le bureau du procureur a répondu qu’il ne s’exprimait pas sur les enquêtes en cours.

En 2018, le président mexicain Andrés Manuel López Obrador a de son côté déclaré que le gouvernement n’utilisait plus le logiciel Pegasus. "Depuis, il n'en a pas été fait mention dans ses briefings quotidiens, regrette Luis Fernando García. Et son engagement n'est pas vérifiable pour le moment." Le Président mexicain n’a pas répondu non plus à la liste de questions envoyées à ce sujet par Forbidden Stories.

Selon David Kaye, "nous sommes dans une situation où nous devons supposer que ces outils sont toujours disponibles pour être utilisés et qu'il appartient au gouvernement de démontrer qu'il les a soumis à des contraintes importantes en matière d'État de droit".

L’impunité, encore et toujours

C’est finalement le sentiment d’impunité qui domine. Aucun des opérateurs tant de RCS que de Pegasus n’a été visé par une procédure judiciaire. "Le plus probable, c'est que vous ne vous ferez pas prendre, résume Luis Fernando García. Si vous vous faites prendre, il est très peu probable qu'une enquête soit ouverte. Si une enquête est ouverte, il est très peu probable que vous soyez poursuivi. Et même si vous êtes poursuivi, il est très improbable que les poursuites soient maintenues et que vous soyez condamné."

Tomás Zerón, l’ancien directeur de l’AIC (Agence d'enquête criminelle), était décrit en 2014 comme "l'acheteur final" des systèmes de cybersurveillance, notamment de Pegasus. Il est actuellement recherché par les autorités mexicaines pour, entre autres, détournement de fonds en relation avec trois contrats d'acquisition de matériel d'espionnage, entre 2013 et 2014. Il est également recherché pour avoir falsifié des éléments d’une enquête sur la disparition de 43 étudiants dans l’État de Guerrero en 2014. Citizen Lab a précédemment montré que plusieurs experts enquêtant sur cette affaire avaient eux aussi été ciblés avec le logiciel Pegasus.

Selon le président mexicain, Tomás Zerón se cacherait aujourd’hui en Israël. "Je pense qu'il est clair que Zerón a eu un rôle crucial pour sécuriser et faciliter les contrats, en particulier pour les sociétés de surveillance israéliennes, explique Luis Fernando García. Et c’est une coïncidence vraiment intéressante qu'il ait choisi Israël comme lieu de refuge pour échapper à la justice mexicaine."

Le ministère des Affaires étrangères israélien a sommairement répondu à Forbidden Stories : "Israël a reçu une demande [des autorités mexicaines] à ce sujet et nous examinons la question."

Jeu d’influence et de corruption

Dans ce secteur des contrats de cybersurveillance au Mexique, la plupart des contrats sont signés sans appel d’offres et sans la moindre transparence, ce qui en fait un terrain particulièrement propice à la corruption. "Ça devient une course d’influence, résume Luis Fernando García. Les entreprises, les intermédiaires se battent pour devenir amis avec le fonctionnaire qui décide à qui attribuer le contrat."

Parmi ces marchands d’influence on retrouve Uri Emmanuel Ansbacher, originaire d’Israël et propriétaire d’une galaxie de sociétés au Mexique. Ami du directeur de NSO Group Shalev Hulio, il serait l’intermédiaire de nombre de sociétés de cybersurveillance israéliennes. Interrogé par Forbidden Stories, Uri Emmanuel Ansbacher a tout nié en bloc.

Ces intermédiaires peuvent être des sociétés de sécurité privée mexicaines ou des sociétés fantômes créées uniquement pour ce type de transaction. "Les entreprises étrangères utilisent ces sociétés parce qu'elles ont souvent recours à la corruption des fonctionnaires mexicains, à qui elles offrent un pourcentage de l'achat pour garantir le contrat, affirme Paloma Mendoza Cortès. Il en résulte une surfacturation des produits et services de sécurité achetés par le gouvernement mexicain."

Un employé de Hacking Team raconte, par exemple, au sujet d’un intermédiaire : "[Il] s'est lié d'amitié avec le fils du chef des acquisitions et a proposé NSO pour 15 millions de dollars. Je suis sûr qu'il y a de jolis pots-de-vin qui ont lieu avec cet achat." Interrogé sur ce contrat spécifique, NSO Group n’a pas souhaité répondre. Mais les documents qui ont fuité de l’entreprise italienne révèlent des commissions importantes pour les intermédiaires, de l’ordre de 30% sur des contrats de dizaines de milliers de dollars.

Certains des intermédiaires cités à l’époque – Neolinx de Mexico et Sym Servicios – sont toujours actifs. Les données d'importations enregistrées par le gouvernement mexicain, que Forbidden Stories a pu consulter avec l’aide d’un analyste du groupe d’experts C4ADS, montrent que ces entreprises importaient encore du matériel auprès de sociétés israéliennes en 2019.

Le directeur de Neolinx n'a pas répondu aux questions de Forbidden Stories. Le directeur de Sym Servicios, Niv Yarimi, dit n’avoir plus servi d'intermédiaire pour des entreprises de cybersurveillance depuis 2015. Il concentrerait désormais son activité sur l’utilisation d’objets connectés pour améliorer la sécurité des villes. Selon Paloma Mendoza Cortés, la logique de la "ville intelligente et sûre" serait aujourd’hui mise en avant avec succès par les sociétés de sécurité privée pour promouvoir leurs produits et services au Mexique.

Un autre intermédiaire mexicain, EyeTech Solutions, a de son côté reçu deux cargaisons, en 2016 et en 2018, de l’entreprise Circles Bulgaria, filiale de l’entreprise Circles appartenant à NSO Group. Contacté par Forbidden Stories, le directeur des opérations d’EyeTech Solutions, Gilad Pait, a affirmé ne pas avoir travaillé avec NSO Group avant de raccrocher et de bloquer notre numéro.

Cela interroge la version officielle du retrait de NSO Group du marché mexicain. D’autant plus que de nombreux numéros mexicains sont apparus parmi les cibles Pegasus liées à la faille de l’application WhatsApp en mai 2019. "Le gouvernement fédéral dit que ce n'est pas eux alors qui est-ce ? Et pourquoi ne le savons-nous pas ?", s’insurge Luis Fernando García.

La loi du secret

Alors qu’une action judiciaire a été lancée en 2018 contre NSO Group pour sa négligence face aux abus commis par le gouvernement mexicain, la justice israélienne a cédé à la demande de l’entreprise de rendre la procédure confidentielle pour des raisons de sécurité nationale, d'ingérence dans les relations internationales d'Israël, et de secret commercial.

En ce qui concerne les clients et les licences d'exportation, tout est également confidentiel. Du côté des autorités, "la politique consiste à ne pas dénoncer, à ne pas dire que c'est faux, à ne rien dire", résume Eitay Mack. Selon lui, même les commissions chargées d’évaluer la politique des droits de l’Homme de ces entreprises ne savent rien de leurs clients : "S’ils ne disposent pas de l'information, comment peuvent-ils faire de la régulation ? C'est une plaisanterie."

L’ancien ambassadeur français Gérard Araud, qui a œuvré comme conseiller extérieur de NSO Group sur les questions de droits de l'Homme de 2019 à 2020, confirme ne pas savoir "tout ce qui a été mis en œuvre ou ce qui ne l’a pas été". "Le secret fait partie intégrante de l’entreprise ce qui relativise mon apport, explique-t-il. Mon travail consistait principalement en un dialogue avec les investisseurs, plus qu’avec l’entreprise elle-même." Selon le diplomate, "la question des technologies de surveillance et des droits de l’homme demanderait une législation voire une convention des Nations unies ou alors un dialogue avec les organisations des droits de l'Homme". De son côté, NSO Group a loué le "rôle important" joué par Gérard Araud en tant que conseiller de l’entreprise.

RESUMÉ EN CINQ POINTS :

1. Une analyse technique du Security Lab d’Amnesty International montre que le rédacteur-en-chef du magazine mexicain Proceso, Jorge Carrasco, a été visé en 2016 par une tentative d’infection par le logiciel espion Pegasus, vendu par la société israélienne NSO, alors qu’il travaillait sur les Panama Papers. Il est le dixième journaliste identifié parmi les cibles de cette technologie au Mexique.

2. Dans le Veracruz, l’État mexicain qui dénombre le plus de journalistes assassinés, une unité d’espionnage de pointe a été créée à la fin des années 1990. Des analystes tenaient entre autres des fiches sur les journalistes, les militants et les opposants politiques, détaillant leurs relations professionnelles, leurs affiliations politiques et leurs orientations sexuelles, en utilisant un vaste réseau d'informateurs et des technologies de surveillance.

3. Des anciens employés de l’entreprise italienne Hacking Team racontent pour la première fois comment leur technologie de cybersurveillance a été utilisée abusivement à plusieurs reprises au Mexique, y compris contre des journalistes.

4. Selon les autorités américaines, les cartels de la drogue auraient eux-mêmes eu accès à des outils de cybersurveillance par l’intermédiaire de fonctionnaires corrompus.

5. Le Mexique reste aujourd’hui un importateur important de matériel de cybersurveillance auprès d’entreprises étrangères, notamment israéliennes.

Paloma Dupont de Dinechin, Nina Lakhani (The Guardian), Amitai Ziv (Haaretz), Mathieu Tourlière (Proceso) et Raffaele Angius (IRPI) ont contribué aux recherches de cet article.