POLITIQUE & INSTITUTIONS — Politique

Surveillance de journalistes et d’hommes politiques

Pegasus, le «dual use» et les ambiguïtés luxembourgeoises



Les révélations sur l’utilisation détournée de la technologie de NSO Group n’ont peut-être pas Luxembourg pour origine ni théâtre, mais elles reposent la question du contrôle des exportations de technologies sensibles. Y compris pour les sociétés européennes. (Photo: Shutterstock)

Les révélations sur l’utilisation détournée de la technologie de NSO Group n’ont peut-être pas Luxembourg pour origine ni théâtre, mais elles reposent la question du contrôle des exportations de technologies sensibles. Y compris pour les sociétés européennes. (Photo: Shutterstock)

L’utilisation de Pegasus, la technologie de la société israélienne NSO Group, est loin d’être un cas unique de «détournement toléré» de technologie... et n’a pas le Luxembourg pour origine, a tenté de rassurer le ministre des Affaires étrangères, Jean Asselborn, ce mardi. Les ambiguïtés se bousculent.

«Nos technologies sont utilisées chaque jour pour briser les réseaux de pédophilie, les réseaux sexuels et de trafic de drogue, localiser les enfants disparus et kidnappés, localiser les survivants piégés sous des bâtiments effondrés et protéger l'espace aérien contre la pénétration perturbatrice de drones dangereux. En termes simples, NSO Group a pour mission de sauver des vies, et la société exécutera fidèlement cette mission sans se décourager, malgré toutes les tentatives continues de la discréditer sur de faux motifs.»

Le 30 juin, quelques jours avant les révélations du consortium médiatique emmené par Forbidden Stories, la société israélienne NSO Group, visée, avait tenté de désamorcer la crise à venir en publiant son premier rapport RSE . Outre la description des mesures prises pour coller aux réglementations internationales sur la protection des droits de l’Homme, le rapport donne quelques indicateurs:

- depuis 2016, cinq clients ont été déconnectés, soit une perte de 100 millions de dollars pour NSO Group, parce qu’ils ne respectaient pas les standards de la société sur la protection des droits de l’Homme;

- le détournement de la technologie est réputé inférieur à 0,5% par la société;

- en 2020, 12 enquêtes internes ont été menées, qui ont abouti à la rupture d’un contrat, à une demande d’informations dans deux autres cas et sont toujours en cours pour deux autres clients;

- NSO Group a renoncé à 300 millions de dollars de nouvelles opportunités, soit 15% de ses nouvelles opportunités.

Aucune exportation depuis le Luxembourg, selon Asselborn

Dans ce même rapport, NSO Group confirme aussi que sa technologie est vendue sous licence d’exportation israélienne… mais aussi bulgare et chypriote (pp. 4 et 30). «Aucune exportation n’a été effectuée à partir des deux structures luxembourgeoises», OSY Technologies, la holding qui détient 100% de Q Cyber Technologies (229 millions d’euros de chiffre d’affaires, fois dix en quatre ans), a confirmé le ministre des Affaires étrangères, Jean Asselborn  (LSAP), ce mardi.

Ce qui appelle une autre question: à quoi sert la réglementation européenne (à laquelle souscrivent le gouvernement et les députés européens) sur le «dual use» – le double usage en français –, qui indique qu’une technologie, commercialisée dans un but louable et avouable, est utilisée dans un contexte moins «glorieux»? Comment les exportations de NSO depuis la Bulgarie et Chypre ont-elles été contrôlées et quel a été le résultat de ces contrôles?

Après des mois de discussions, le Conseil de l’UE et le Parlement européen ont publié, le 20 mai,  une refonte complète du règlement sur le contrôle des exportations de biens à double usage  (qui représentent 3% des exportations européennes) et qui entrera en vigueur le 9 septembre.

Les Européens et la surveillance généralisée chinoise

En 2019, année du dernier rapport disponible sur cette question, 1.858 biens étaient sous contrôle dans grosso modo 1.000 produits répertoriés (dont 94 du domaine des télécommunications et de la sécurité de l’information). Selon le tableau qui figure dans le rapport (le même depuis quelques années, ndlr), le top 5 des pays destinataires de ces biens sont les États-Unis (22%), la Chine (12-13%), la Suisse (7%), la Russie (5%) et Singapour (4%).

C’est une ambiguïté régulièrement mise en exergue par Amnesty International . Tandis que les députés européens poussent des cris d’orfraie à Bruxelles ou à Strasbourg, le business profite aussi aux sociétés européennes: pendant le printemps arabe, de nombreuses technologies européennes ont été vendues à l’Égypte, la Libye, la Syrie, l’Éthiopie, l’Arabie saoudite et d’autres; la française Morpho (devenue Idemia), la suédoise Axis Communications et la néerlandaise Noldus Information Technology ont, elles, aidé le gouvernement chinois à mettre en place la surveillance généralisée de sa population (les projets Skynet et Sharp Eyes), et notamment celle des Ouïghours; à eux seuls, le Royaume-Uni, la France et l’Allemagne comptent 35% des sociétés spécialisées dans la surveillance dans le monde, et ce marché atteindra 54 milliards d’euros en 2025.

À l’automne, toutes les ONG étaient contre le texte finalement adopté en mai, le trouvant beaucoup trop «tiède» par rapport à la réalité du marché. Assez peu de leurs recommandations ont été prises en compte dans le texte final , rappellent-elles de concert.

L’Arrangement de Wassenaar inefficace

Et l’ambiguïté européenne s’exporte bien elle aussi. 42 pays, dont les États-Unis, la France et le Luxembourg, font partie de l’«Arrangement de Wassenaar», qui tente d’apporter une réponse internationale depuis 1996. Le 20 décembre, les membres de ce petit club bien intentionné ont actualisé leur liste des technologies à mettre sous surveillance avant de donner la présidence de l’organisation… à la Hongrie, elle-même cliente de Pegasus, note déi Lénk dans un communiqué dans lequel le parti de gauche réclame une enquête luxembourgeoise, tandis que les Pirates Sven Clement et Marc Goergen demandent aux autorités de certifier qu’aucune institution luxembourgeoise ne fait affaire avec NSO et qu’aucun journaliste ou politique ne fait l’objet d’une surveillance similaire à celles révélées dans d’autres pays.

L’Arrangement de Wassenaar a un intérêt particulier parce que si Israël, principale base d’exportation de NSO, n’en est pas membre, c’est une des deux listes de technologies qu’elle utilise pour décider à qui attribuer une licence d’exportation ou non. Jusqu’ici, comme le dit aussi Amnesty, les deux tentatives de l’ONG pour que cette licence soit retirée n’ont pas été couronnées de succès.