Comment Amnesty et le consortium Forbidden Stories s'y sont-ils pris pour accuser le Maroc d'avoir infecté, ou tenté d'infecter 10 000 numéros de téléphone, dont ceux de chefs d'Etat, de gouvernement, d'organisations internationales ainsi que des journalistes ? À mesure que des éléments de réponse commencent à apparaître, il s'avère que les « révélations » de l'organisation internationale et du consortium de médias sont bien incertaines... À en croire Le Monde, Amnesty International aurait «retrouvé des traces de Pegasus, portant la signature technique distinctive d'un même client, sur les téléphones utilisés par le journaliste Edwy Plenel ou l'ancien ministre François de Rugy, tout comme sur les téléphones de la militante Claude Mangin et du journaliste marocain Omar Radi – deux personnes qui intéressent au plus haut point les services de renseignement marocains.» C'est ainsi que l'attribution d'une partie du listing au Maroc a pu être réalisée : une signature commune, une compilation de milliers d'individus dont quelques-uns présenteraient un intérêt pour le Maroc, et leur certitude est faite. France Info ne dit pas autre chose, lorsque la radio publique mêle deux registres de la preuve : celui de la preuve technique et celui de la présomption adossée à des inductions précipitées. Dans un live en date du jeudi 22 juillet, Jacques Monin, directeur de la cellule investigations de France Info, affirme que «deux éléments permettent de cibler le Maroc. D'un côté, la liste sur laquelle nous avons travaillé nous a permis d'identifier le client qui ciblait le millier de numéros français qui s'y trouvaient. De plus, des expertises ont trouvé des traces portant des signatures similaires sur des cibles françaises et marocaines, ce qui corrobore qu'elles sont ciblées par un même client. » Pour sa part, Elodie Guéguen, autre journaliste de France Info qui a participé aux investigations, dit dans le même article que « concernant l'intérêt du Maroc, les numéros apparaissant dans la base de données reflètent bien les obsessions du renseignement marocain. On trouve énormément de numéros de militaires algériens, de diplomates en poste à Alger. On sait que l'Algérie est le frère ennemi du Maroc et que les deux pays s'espionnent mutuellement depuis longtemps. Emmanuel Macron a été ciblé au moment où l'Algérie traversait une crise politique grave, et où le président français avait rappelé son ambassadeur pour discuter de la situation. » Des « signatures » falsifiables S'il existe des preuves solides et objectives, pourquoi en surajouter avec des éléments supposés eux aussi être probatoires, comme « les obsessions du renseignement marocain » (France Info), l'existence sur les listes de «personnes qui intéressent au plus haut point les services de renseignement marocains » (Le Monde), éléments que l'on peut qualifier de subjectifs ? Pourquoi croiser dans un même argumentaire un registre fort (celui de la preuve technique) avec un autre nettement plus faible (celui de la présomption) ? La raison est simple : la preuve technique ne tient pas, et doit être adossée à autre chose. L'usage du terme « signature » par Le Monde comme par France Info n'est pas anodin. L'est également le maintien de l'ambiguïté sur ce qui est entendu par-là : une « signature » ne signifie pas la même chose, selon qu'elle soit utilisée en langage courant, ou en langage informatique dans le contexte de l'attribution d'une cyber-attaque. Dans sa première acception, la signature désigne l'ensemble de traits caractéristiques et reconnaissables permettant d'attribuer quelque chose à quelqu'un. Elle a une fonction individualisante et permet d'authentifier la paternité d'un acte. L'économie sémiotique de la signature puise dans les registres de l'authentification et de la certification, souvent rattachés à celui de la certitude. Dans le second cas, elle désigne un ensemble de traces, d'indices et de pistes qui pourraient indiquer un ou des auteurs potentiels, bien souvent sans certitude absolue. Le lecteur ordinaire, non averti de la nuance, a bien des chances d'interpréter le terme « signature » dans son usage courant. Dans un article datant de 2016, intitulé à juste titre «Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks », Brian Bartholomew & Juan Andres Guerrero-Saade du Kaspersky Lab faisaient observer que «l'attribution (d'une attaque) est souvent le point d'intérêt et de controverse le plus important en matière de Threat Intelligence, tant pour des raisons directes que pour des raisons indirectes. Malgré le grand intérêt qui lui est prêté, la phase d'attribution reste peu comprise, et les complications qui en découlent souvent ignorées. De même, la valeur de l'attribution est souvent largement incontestée », et ce, en dépit des incertitudes dont elle est porteuse. Les deux chercheurs appellent à adopter des méthodes plus saines et à éviter certains biais : l'attribution d'une attaque informatique est un processus très complexe de collecte, de traitement et d'analyse de données souvent incomplètes, en raison du temps écoulé entre l'attaque et l'enquête, et souvent équivoques, car les modus operandi peuvent parfois être similaires. Ceci, quand des attaquants n'adoptent pas délibérément des patterns d'un autre malware, plantent des « false flags » et des traces informatiques renvoyant vers une autre partie afin de faire diversion. Le résultat est qu'il est «généralement très difficile d'attribuer de manière concluante les cyberattaques à leurs auteurs, et les tactiques de diversion (qu'ils emploient) peuvent entraîner une mauvaise attribution, ce qui peut conduire à des représailles contre la mauvaise partie», selon un travail des experts Florian Skopik et Timea Pahi paru dans le journal de référence Cybersecurity, affilié à l'Institute of Information Engineering (IIE) de Beijing. Il n'est hélas pas sûr que leur propos ait fait des émules. Car dans le cas de la liste d'Amnesty et de Forbidden Stories, cette « signature » est en réalité peu probante. Les rares données techniques rendues publiques par Amnesty dévoilent sa nature : un ensemble d'éléments et de certificats qui peuvent être falsifiés et introduits dans un set de données avec une telle aisance que le chercheur libanais en informatique et cryptographie appliquée Nadim Kobeissi s'est amusé à en fabriquer « en trente secondes » selon ses dires. I decided to give the recent Pegasus coverage the benefit of the doubt and spent my lunch break looking up other reports by the same folks. In a report published last week, their *only* evidence for attribution is a *self-signed* TLS certificate. That's not evidence. pic.twitter.com/SDdP5YBc8J — Nadim Kobeissi (@kaepora) July 20, 2021 «Aucune des preuves (présentées par Amnesty et Forbidden Stories) n'est immunisée de la falsification, et aucune ne permet de lier l'activité du logiciel malveillant à Pegasus spécifiquement. Tous ces rapports (et pas seulement le projet Pegasus) reposent sur des preuves maigres et falsifiables », écrit-il sur Twitter. « La « méthodologie jugée fiable » par Citizen Lab peut être falsifiée sans le moindre effort. Il s'agit tout simplement des pratiques de recherche scandaleusement mauvaises. C'est ce qui se passe lorsque des amis politiquement alignés sont chargés du peer-review d'une recherche », affirme-t-il, faisant allusion à la validation de la méthodologie de recherche d'Amnesty par Citizen Lab. I've read the report repeatedly and in detail. There is no evidence there that can't be falsified or that ties the malware's activity specifically to Pegasus. All of these reports (not just Pegasus Project) are built on scant, falsifiable evidence: https://t.co/T19gsKnvvl — Nadim Kobeissi (@kaepora) July 22, 2021 Every single "methodology ruled sound" by Citizen Lab here can be faked with absolutely no effort. This is simply outrageously bad research practice, and what happens when your politically aligned buddies are charged with peer reviewing your research. https://t.co/kDOFD22U0t — Nadim Kobeissi (@kaepora) July 22, 2021 «Ce que je veux dire », précise-t-il, « c'est qu'il est non seulement possible sans effort, mais aussi très rentable, qu'un logiciel malveillant adopte intentionnellement le comportement de Pegasus. Ce fait important est ignoré», prévient Nadim Kobeissi. What I'm saying is: it is not only effortlessly possible, but highly profitable, for malware to exist that intentionally adopts Pegasus's behavioral patterns. This important fact is being ignored. — Nadim Kobeissi (@kaepora) July 22, 2021 Omerta d'Amnesty et de Forbidden Stories Le chercheur, connu pour son soutien à Wikileaks et à Chelsea Manning, ainsi que pour sa création de Cryptocat, un service de discussion sécurisé lancé en 2011, qui lui avait valu des ennuis (et une tentative de piégeage) du FBI, va plus loin dans son propos : il accuse Amnesty de mensonge, lorsque l'organisation attribue les traces retrouvées sur les téléphones à NSO : «bullshit », « smoke and mirrors », « incompétence », etc. Here's me accusing Amnesty's research team of lying when it came to their ability to do attribution for Pegasus Project, less than 48 hours ago. Here's Amnesty admitting they were lying just a few hours ago: https://t.co/qKSq2mF1yI https://t.co/LnXMHsKCcR — Nadim Kobeissi (@kaepora) July 21, 2021 Face à l'absence de preuves présentées et ce, malgré les relances répétées et successives du Maroc, auxquelles s'ajoutent des appels émanant d'experts en informatique, pour combien de temps encore Amnesty et Forbidden Stories pourront-ils encore faire de la rétention d'information ? Parmi les experts à réclamer plus de données: Kim Zetter, experte, journaliste d'investigation américaine qui couvre les domaines de la cybersécurité et la sécurité nationale depuis 1999 et auteure de plusieurs livres sur la question, Runa Sandvik, qui fut notamment directrice de la sécurité information du New York Times, ou encore The Grugq, un expert en cybersécurité cité par le passé par The New York Times, Washington Post, Forbes, Wired, TechCrunch, BoingBoing, VICE et BBC News, et bien d'autres. This NSO story is getting a bit crazy. Would be great if the media outlets behind NSO story could provide more info about how they verified that this was a list of NSO targets, or potential targets, and not a list of something else. — Kim Zetter (@KimZetter) July 20, 2021 Agree. If every phone number in the world is a potential target, what makes the ones on the list special? — Runa Sandvik (@runasand) July 22, 2021 Well, now I'm not sure about how good the forensics are. One IOC was for an Apple process that runs as standard. I'm back to wanting a lot more data to make sense of what's actually going on — thaddeus e. grugq (@thegrugq) July 21, 2021 The story was not coherent to begin with. The numbers just didn't make sense. It was clear that some number of phones were targets for Pegasus. But beyond that there wasn't any data presented — thaddeus e. grugq (@thegrugq) July 21, 2021 So there has been a list of 50k phone numbers of phones that are apparently attacked with PEGASUS. I did not read all the articles. Were these 50k phone numbers informed about this? Will they be informed at some point? Will the numbers be released? Asking for my phones. — Stefan Esser (@i0n1c) July 19, 2021 Questionnée par un lecteur qui aurait « aimé savoir comment les journalistes ont pu être en possession de cette fameuse liste (une taupe à NSO ?) et par là quelle fiabilité lui donner ? Savoir aussi si cette liste est complète ou partielle ? », la journaliste Elodie Guéguen, membre de la cellule investigations de France Info, a eu la réponse qu'on lui attendait : «on ne peut évidemment pas communiquer sur l'origine de cette liste, puisque la protection des sources est essentielle. La fiabilité des informations qu'elle contient a été démontrée par des analyses techniques réalisées sur certains des téléphones qui y apparaissaient. On y a souvent trouvé des traces qui attestent des attaques, et qui valident la fiabilité de cette liste. » En d'autres termes, la fiabilité de la liste a été déterminée par l'analyse de 67 téléphones, dont seuls 37 auraient montré des signes d'infection (23 des signes d'infection réussie, et 14 des signes d'une tentative d'infection) ... sur 50 000. La « protection des sources » est un prétexte bien commode, lorsqu'il s'agit d'informations de provenance douteuse ou incertaine. Dans ce cas en particulier, nul ne demande l'identité de la source, mais l'origine des données et les données elles- mêmes, soit des éléments qui n'entrent pas le cadre de la protection des sources. À partir de là, toutes les théories sont possibles : d'où provient cette liste ? A-t-elle été caviardée ? Des questions auxquelles nous tenterons de répondre dans les prochains jours, à la lumière des incohérences qui apparaissent dans le récit d'Amnesty et de Forbidden Stories.
