« Projet Pegasus » : « Il n’est pas sûr que le téléphone de Macron ait été piraté », explique un expert en cybersécurité

INTERVIEW Expert en cybersécurité au cabinet Wavestone, Gérôme Billois revient sur les suspicions d’espionnage des téléphones d’Emmanuel Macron et de membres de l’exécutif par le logiciel Pegasus

Propos recueillis par Thibaut Chevillard

— 

Emmnauel Macron à Bordeaux en 2017 (illustration)
Emmnauel Macron à Bordeaux en 2017 (illustration) — UGO AMEZ/SIPA
  • Le chef de l’Etat et des membres du gouvernement figurent sur la liste des cibles potentielles du logiciel Pegasus, utilisé par certains Etats pour espionner des personnalités.
  • Gérôme Billois, expert en cybersécurité au sein du cabinet Wavestone, revient sur les enjeux que soulèvent cette affaire.

Le téléphone du chef de l’Etat a-t-il été espionné par une puissance étrangère ? La question se pose sérieusement après qu’un consortium de 17 médias a révélé, mardi, qu’Emmanuel Macron, des membres du gouvernement et des journalistes figurent sur la liste des cibles potentielles du logiciel Pegasus, sélectionnées par un service de sécurité marocain.

Pour comprendre les enjeux en matière de sécurité et de protection que soulève cette affaire, 20 Minutes a interrogé Gérôme Billois, expert en cybersécurité au cabinet Wavestone.

Gérôme Billois

Comment fonctionne le logiciel Pegasus, commercialisé par l’entreprise israélienne NSO ?

Pegasus, c’est un logiciel espion qui donne accès à tout ce qu’il y a dans des téléphones mobiles. Mais avant, il faut entrer dedans et, pour cela, il existe plusieurs méthodes : cela peut être un lien envoyé par e-mail ou par message sur lequel clique la personne ciblée, ce qui va permettre de prendre le contrôle de son appareil. C’est une méthode très classique et on sait s’en protéger. Ce qu’il y a de nouveau, avec Pegasus, c’est qu’il peut entrer dans le téléphone sans action de l’utilisateur. Cela peut se faire simplement avec l’envoi, sur un iPhone, d’un iMessage.

Cela veut-il dire que le téléphone du président n’était pas assez sécurisé ?

En premier lieu, il n’est pas certain que son téléphone ait été piraté. Il était en tout cas dans une liste de ciblage. Quand un service de renseignement essaie de capter des informations, ses agents listent les gens qui les possèdent. Ensuite, ils lancent l’attaque, qui réussit ou pas.

D’autre part, on ne sait pas si les téléphones auxquels les services ont peut-être eu accès contenaient des informations sensibles. Les personnalités importantes, comme les membres du gouvernement, ont toujours plusieurs téléphones afin de compartimenter les informations qu’ils détiennent.

Les membres du gouvernement ne doivent-ils pas, justement, utiliser des téléphones sécurisés ?

Il en existe plusieurs types, dont Teorem [conçu par Thales]. Pour être protégé d’attaques de services de renseignement, qui sont prêts, pour réussir, à investir des dizaines voire des centaines de millions d’euros, il faut avoir un système extrêmement sécurisé.

Ces appareils sont souvent un peu plus lourds, un peu moins beaux, on ne peut pas installer d’applications, il n’y a pas d’accès à Internet directement… Tout cela garantit la sécurité mais rend le téléphone beaucoup moins simple à utiliser. C’est pour cela qu’il y a un problème d’adoption de ces téléphones par les responsables qui devraient les utiliser.

Les ministres ont toutefois le droit de garder une certaine forme de vie privée au quotidien. Et ils ne veulent pas perdre le téléphone qu’ils utilisaient auparavant pour les contacts de leurs proches. Si cet appareil personnel est « écouté » par un service de renseignement, cela ne sera pas très grave. C’est pour cela qu’il faut avoir l’habitude de cloisonner ses communications. Et quand on assiste à une réunion sensible, on laisse son téléphone personnel en dehors de la salle. Il faut aussi vérifier régulièrement les téléphones privés pour voir s’ils ont été attaqués.

Quel est l’intérêt, pour un service de renseignement, d’utiliser une application comme Pegasus ?

Cela va dépendre de qui est la cible. Un fois que son téléphone a été piraté, on a accès à l’ensemble des données qui se trouve à l’intérieur. On peut donc tout savoir : avec qui la personne parle, ce qu’elle prévoit de faire, avoir des informations sur sa santé… Nos téléphones, aujourd’hui, c’est un concentré numérique de notre vie, tout est dedans.