«Il vole toutes les informations de votre téléphone, il intercepte tous les appels, tous les SMS, il vole tous les e-mails, les contacts, les appels FaceTime. Il pirate également tous les mécanismes de communication que vous avez sur votre téléphone. Il vole toutes les informations de l’application Gmail, tous les messages Facebook, toutes les informations Facebook, vos contacts Facebook, tout ce qui se trouve sur Skype, WhatsApp, Viber, WeChat, Telegram, etc.» Août 2016, le vice-président de la recherche de Lookout, Mike Murray, et le Citizen Lab, un organisme de surveillance des droits numériques de la Munk School of Global Affairs de l’Université de Toronto, mettent les pieds dans le plat de la plus grande affaire de cyberespionnage de l’Histoire.

Aux manettes, la société israélienne NSO Group, née en 2010 et discrètement installée au Luxembourg via une kyrielle de sociétés quatre ans plus tard. Un tollé mondial sur fond de révélations sur l’espionnage de journalistes et d’activistes dans différents pays: certains ont été tués, d’autres torturés et les autres espionnés en permanence.

Une technologie d’État ou pas une technologie d’État?

Et, huit ans plus tard, l’ironie a changé de nature: si l’affaire a obligé le groupe NSO à se réinventer dans une autre kyrielle de sociétés, toujours en Israël, toujours au Luxembourg et toujours aux États-Unis, le géant Apple a une nouvelle fois, fin octobre, demandé à la justice américaine d’oublier sa plainte. Trop peur qu’un procès ne mette au grand jour les failles de sécurité de l’entreprise technologique qui a longtemps marketé l’inviolabilité de ses technologies. Ce sont pourtant via des failles que les ingénieurs d’Apple ne connaissaient pas eux-mêmes que les stars israéliennes opéraient à leur espionnage.

Ironie de l’ironie, les avocats américains de NSO Group ont d’abord tenté de défendre l’idée que leur entreprise était liée à l’État israélien et qu’Apple ne pouvait donc pas agir contre elle, ce que la justice américaine a rejeté, avant que l’État israélien ne décide, cette année, de confisquer tous les documents que NSO aurait dû lui apporter sur un plateau.

La fin des ennuis judiciaires n’est pas pour demain, pour NSO: fin septembre, quatre hommes résidant en Grande-Bretagne (un militant bahreïni torturé par le gouvernement bahreïni, Yusuf al-Jamri; le fondateur et CEO de la Fondation Cordoba basée au Royaume-Uni, Anas Altikriti; l’universitaire et activiste britanno-palestinien, Azzam Tamimi, et le président de la mosquée de Finsbury Park à Londres, Mohammed Kozbar) ont saisi la justice britannique via une plainte préparée par Leanna Burnard, avocate au sein du Global Legal Action Network, basé au Royaume-Uni, et soutenue par Monika Sobiecki, associée au sein du cabinet d’avocats Bindmans basé à Londres. Y sont visés, selon certains médias, NSO Group (Israël); sa société mère, Q Cyber ​​Technologies (Luxembourg), et Novalpina Capital (société de capital-investissement basée à Londres qui a acheté NSO en 2019). Au total, une trentaine de plaintes de ce type attendent que la justice s’en saisisse, en Israël, en Espagne, aux États-Unis ou en Colombie.

Cette semaine, dans le cadre des sanglantes opérations menées dans la bande de Gaza en réponse à l’attaque d’Israël par le Hamas il y a un peu plus d’un an, le Comité pour une paix juste au Proche-Orient, associé à Action Solidarité Tiers Monde et Amnesty International, a exigé du gouvernement luxembourgeois qu’il saisisse les instances concernées par les violations des droits de l’Homme pour qu’elles empêchent NSO Group de continuer à servir ses clients.

Discussions sur la propriété

Selon le Parquet et les données publiques dans le Registre du commerce, Novalpina est toujours en liquidation volontaire au Luxembourg après avoir versé un dernier dividende de près de 18 millions d’euros à ses actionnaires en janvier 2021.

Mais un des fondateurs, Omri Lavie, a récupéré le contrôle de la société, via ses créanciers et sa nouvelle holding luxembourgeoise, Dufresne Holding, selon le média israélien Calcalist et selon les documents enregistrés au Registre des bénéficiaires effectifs.

Ni NSO Group, ni les Américains de Treo Asset Management ne sont revenus vers nous pour faire le point sur la situation.

Avoir un pied directement aux États-Unis permettrait au groupe de sortir de la liste noire américaine en passant sous capitaux américains. Et donc aux agences américaines d’accéder sans risque à ces technologies. Une enquête du New York Times a révélé que le FBI, la CIA et la NSA avaient créé des structures pour pouvoir s’offrir Pegasus et se lancer dans l’écoute ciblée sans que leurs noms ne soient officiellement révélés en cas de problème.

Deuxième rapport de transparence en trois ans

Comme elle s’y était engagée en 2020, NSO a publié, en 2023, pour la deuxième fois, son rapport de transparence sur ses activités. Signé par son nouveau CEO, Yaron Shohat, le rapport ne donne que quelques indications chiffrées: 

– elle a 56 clients de 31 pays;

– 46% de ces clients sont des organismes liés à la justice; 45% des agences de renseignement et le reste des structures militaires;

– de 2021 à fin 2023, 10% des nouvelles opportunités ont dû être refusées pour des raisons liées aux droits de l’Homme, soit 80 millions de dollars par an sur des contrats de trois ans;

– dans son analyse du risque, 58 pays ne peuvent pas accéder à ses technologies parce qu’ils ne veulent pas ou ne peuvent pas se mettre en conformité avec les droits de l’Homme;

– de 2021 à 2023, NSO a ouvert 19 enquêtes pour utilisation inappropriée de ses produits.

Ses produits, parce que si l’on parle de Pegasus, le groupe aurait mis sur le marché deux autres produits, tout aussi «performants». En parallèle, la débâcle du groupe a accéléré la croissance d’entreprises concurrentes, souvent créées elles aussi par des anciens du renseignement israélien. Boaz Goldman et Tal Dilian ont créé Circles en 2011, enregistrée à Chypre et opérant depuis la Bulgarie, qui a été intégrée au groupe NSO par les anciens actionnaires majoritaires, Francisco Partners, qui l’avaient acquise pour 130 millions de dollars. M. Dilian est aussi à l’origine d’Intellexa, qui a elle aussi fait beaucoup parler d’elle; de Cytrox, dont le Predator a aussi eu les honneurs des médias, et WiSpear (renommée Passitora), deux sociétés qu’il dirige depuis Chypre.  Ou encore de l’irlandaise Thalestris, .

Boaz Goldman a lui «disparu» du Luxembourg depuis 2019 – il était administrateur de Triangle Holdings, autre branche qui détenait une partie des sociétés du groupe NSO. Toutes ces structures sont aujourd’hui entre les mains du .

Au Luxembourg, où l’ex-Premier ministre et toujours chef de la diplomatie, (DP), avait dû rétropédaler sur l’utilisation de Pegasus par le renseignement luxembourgeois, le ministère d’État renvoie vers une réponse parlementaire.

Interrogé par son ex-collègue de gouvernement, aujourd’hui député mais alors ministre de l’Économie, (LSAP), pour qui le Luxembourg utilise bien Pegasus, le chef du gouvernement, (CSV), rappelle que seuls la police et le service de renseignement peuvent avoir recours à ce genre de technologies.

La police dans le cadre de présomption de crimes et délits contre la sûreté de l’État ou d’actes de terrorisme et de financement du terrorisme, sur l’ordre d’un juge d’instruction.

Le renseignement dans un contexte d’espionnage et d’ingérence; d’extrémisme à propension violente; de terrorisme; de prolifération d’armes de destruction massive ou de produits liés à la défense et des technologies afférentes; ou de crime organisé et cybermenace, dans la mesure où ils se trouvent liés à l’une des menaces précédentes, ici avec l’aval d’un comité ministériel (composé de membres du gouvernement et du ministre ayant le Renseignement dans ses attributions), après avis d’une commission spéciale de magistrats (le président de la Cour supérieure de justice, le président de la Cour administrative et le président du tribunal d’arrondissement de Luxembourg ) et pour trois mois.