Africa-Press – Burkina Faso. Pour en savoir un peu plus sur le logiciel israélien Pegasus qui a permis à des gouvernements d’espionner des militants des droits humains, des journalistes et des opposants, nous avons rencontré l’expert en cybersécurité et en investigation numérique, Younoussa Sanfo. Dans un entretien qu’il nous a accordé le vendredi, 23 juillet 2021 à Ouagadougou, il explique qu’il est très difficile d’échapper à la surveillance de ce type de logiciel qui exploite les failles zero-day des appareils numériques. Lisez plutôt !
: L’affaire Pegasus vous a-t-elle surpris ?
Younoussa Sanfo : Non, je n’ai pas été surpris et je pense que la plupart des experts avaient connaissance de ce type de logiciel. On parle beaucoup de Pegasus, de ce logiciel israélien mais il faut savoir qu’il n’est pas le seul. Il en existe d’autres même si Pegasus est particulièrement intrusif.
: A ce jour, que sait-on du fonctionnement de ce logiciel d’espionnage ?
Younoussa Sanfo : On sait à peu près comment fonctionne ce logiciel mais il y a toujours des secrets de fabrication qui ne seront pas à la portée d’autres personnes qui ne travaillent pas dans cette société. Mais globalement, c’est un logiciel qui fonctionne exactement comme un virus qui est indétectable par les antivirus et par certains outils qui permettent de protéger un téléphone. En gros, il passe à travers les protocoles de contrôle d’accès au téléphone. Une fois le virus installé sur votre téléphone, c’est comme si la personne avait votre téléphone entre les mains. Le virus est capable de prendre le contrôle total du téléphone : faire des photos, des vidéos, activer le micro, lire les messages, connaître la géolocalisation, etc.
Il est vrai que beaucoup se demandent comment la société NSO qui commercialise ce logiciel est arrivée à duper tous les protocoles de contrôle. Sur les téléphones, les ordinateurs et tous les outils technologiques, il y a des failles de sécurité. Il y a des failles spécifiques dites zero-day. La faille zero-day est une faille qui n’est pas encore connue de l’éditeur ou du constructeur du logiciel ou du matériel. Par exemple, s’il y a une faille zero-day sur un iPhone, c’est que Apple n’est pas encore au courant. C’est pour cela que ce type de logiciel coûte très très cher. Ce n’est vraiment pas à la portée du premier venu. Ce n’est vraiment pas à la portée de certains pays. Pour un nombre X d’utilisateurs (à espionner, ndlr) il faut compter des milliards de francs pour pouvoir acquérir ce type de virus.
: Peut-on échapper à ce type d’espionnage ?
Younoussa Sanfo : Je dirai que ce serait très difficile d’échapper à ce type d’espionnage. Une faille zero-day n’est pas connue et ce type d’outil peut utiliser la faille jusqu’à ce qu’elle soit découverte. Et quand la faille est découverte, ils en trouvent une autre. C’est de ça qu’ils vivent. Il faut savoir que ceux qui conçoivent ce type de virus, achètent les failles zero-day. Une faille zero-day sur un iPhone peut se vendre jusqu’à 10 millions de dollars.
: Y a-t-il un moyen pour un citoyen de vérifier s’il est espionné via un logiciel ?
Younoussa Sanfo : C’est vrai que plusieurs fois j’ai entendu des gens expliquer qu’ils avaient des astuces pour savoir si des téléphones étaient espionnés. Je suis sceptique parce qu’il faut vraiment être très équipé pour savoir qu’un téléphone est espionné. Il existe des systèmes d’espionnage accessibles à tout le monde. Ce sont des logiciels qu’on achète sur internet et qu’on peut installer sur un téléphone. Il faut d’abord avoir accès au téléphone pour installer ce type de logiciel et ensuite il y a des traces qui peuvent être découvertes si on cherche bien. Si on a l’habitude de travailler sur des téléphones, on finira par savoir comment ils fonctionnent et où peuvent être cachées certaines informations qui espionnent nos téléphones.
Mais la particularité de Pegasus, c’est qu’il n’a pas ce comportement habituel qui fait qu’on peut détecter sa présence sur un téléphone. Je ne dis pas que c’est impossible mais c’est très difficile. Peut-être être par analyse comportementale. Par exemple, vous avez un téléphone que vous venez d’acheter et votre batterie peut tenir une journée entière. Et puis subitement la batterie ne tient qu’une demi-journée. Vous pouvez penser qu’il se passe des choses. Et là aussi, il peut y avoir d’autres possibilités pour décharger la batterie. Il faut vraiment faire plusieurs recherches pour le savoir. Les astuces pour savoir qu’on est espionné, je pense qu’il faut s’en méfier. Parce qu’il y a d’autres situations qui peuvent avoir les mêmes effets sans que ce ne soit de l’espionnage.
: Il court sur internet qu’il n’y a qu’un seul téléphone capable d’échapper aux espions, le Nokia 3310. Est-ce ce un mythe ou une réalité ?
Younoussa Sanfo : C’est carrément un mythe. Il y a un pays africain qui avait équipé tous ses ministres de ce type de téléphones. Personnellement j’ai eu à faire un travail une fois avec des autorités qui voulaient savoir si c’était vrai. Mais on avait pu démontrer que le Nokia 3310 était comme les autres téléphones en matière d’intrusion, de récupération d’informations. Il n’a rien de différent des autres téléphones.
: Ces gouvernements qui utilisent ce logiciel israélien n’exposent-ils pas eux-mêmes leur pays à l’espionnage par les Israéliens ?
Younoussa Sanfo : Bien sûr. A chaque fois qu’on espionne des gens, on prend des risques soi-même. Même si les logiciels sont conçus par des sociétés privées, il faut savoir que ce sont des sociétés qui travaillent avec leurs gouvernements. La société NSO qui commercialise Pegasus ne peut le vendre à un État sans l’aval du ministère de la Défense israélien. Les États n’ont que des intérêts. Je vous laisse deviner le reste.
: Avec ce procédé commercial du logiciel israélien, il va s’en dire que tous les pays peuvent avoir accès à l’espionnage…
Younoussa Sanfo : Oui. Il y a le risque mais il n’y a pas de risques que tout le monde devienne espion potentiel, parce qu’il y a le coût qui est très dissuasif. Je ne vois personne acheter un logiciel à plusieurs milliards pour espionner son voisin. Ce n’est pas à la portée de tout le monde. En plus, il y a une licence annuelle qui coûte très chère. Lorsque vous l’achetez, il y a un nombre limité de personnes que vous pouvez espionner et ce nombre n’est pas très élevé.
: Est-il possible que ce type de logiciels soit utilisé pour surveiller des journalistes et activistes burkinabè ?
Younoussa Sanfo : Sans rentrer dans la polémique, honnêtement je ne pense pas que le Burkina Faso utilise Pegasus. Je ne peux pas dire plus que ça. Il se pourrait que le Burkina Faso utilise autre chose parce qu’il en existe d’autres, mais celui-là particulièrement je ne crois pas.
: Que recommandez-vous de façon générale aux utilisateurs pour ne pas se laisser prendre facilement dans les filets des espions ?
Younoussa Sanfo : Déjà, il ne faut pas être paranoïaque. Tout le monde ne vas pas être concerné par l’espionnage. Je ne pense pas que ma voisine qui vend des arachides sera concernée par ce type de surveillance ou d’espionnage. Ce sont quelques personnes qui peuvent être concernées. Les activistes, les syndicalistes, les hommes politiques, les hommes d’affaires, d’autres personnes influentes d’une façon ou d’une autre peuvent à un moment donné être victimes d’espionnage de la part d’un État. Et quand on parle d’espionnage de la part d’un Etat, ce n’est pas territorial. Un homme d’affaires burkinabè peut être espionné par un autre pays que le Burkina Faso. Un activiste burkinabè peut être espionné aussi par un autre pays. Ainsi de suite. Les hommes politiques c’est pareil.
Ce que nous pouvons suggérer comme solution, honnêtement c’est le comportement. Pour la plupart des personnes, comme vous et moi, j’éliminerai Pegasus. Mais il existe d’autres outils qui peuvent être utilisés pour nous espionner. Mais ils n’ont pas la capacité de Pegasus qui le fait à distance. Si nous faisons en sorte que notre téléphone ne soit pas entre d’autres mains, si nous n’envoyons pas notre téléphone en réparation et attendre qu’on nous le ramène le lendemain, si nous évitons certains comportements déconseillés lorsqu’on a un téléphone, par exemple se connecter dans des endroits comme des aéroports et des hôtels à l’étranger, on peut quand même limiter les risques.
Mais si un service de renseignement vous choisit comme cible, et s’il a les moyens, eh bien, ça sera difficile pour vous parce qu’avec certains outils comme Pegasus, on n’a même pas besoin de vous approcher. Il suffit juste que vous ayez un téléphone et que le service de renseignements ait le numéro.
En résumé, il ne faut pas être paranoïaque. Il faut rester prudent sur l’utilisation de son téléphone. En général, c’est nous mêmes qui favorisons les failles, même si pour le cas de Pegasus, nous ne pouvons pas faire grand chose. Il n’y a pas besoin d’action de notre part et c’est pour cela que ce logiciel est très dangereux s’il est mal utilisé.
