Submergée de critiques de scientifiques et sécuritaires du monde entier, l'étude de Forbidden Stories sur le logiciel Pegasus a finalement sombré après des doutes persistants sur la véracité des sources des données primaires. Dans la foulée de sa parution, plusieurs voix ont exprimé leurs doutes sur l'étude, y compris des scientifiques sceptiques sur les bases des révélations. L'examen minutieux de l'étude sur Pegasus soulève «à la fois des appréhensions liées à la méthodologie et à l'intégrité des données». Des dizaines de chercheurs du monde entier avaient dressé une longue liste des points problématiques de l'étude sur le logiciel Pegasus, d'incohérences dans les chiffres dévoilés à des questions éthiques sur la collecte des informations. Plusieurs d'entre eux jugent également que des preuves sont nécessaires pour évaluer l'intégrité des fuites, alors que l'étude controversée n'est qu'une compilation de données préexistantes émanant d'une source inconnue. D'abord, cette déclaration édifiante, passée presque inaperçue : «On a trouvé ces numéros de téléphone, mais on a pas pu faire d'enquête technique évidemment sur le téléphone d'Emmanuel Macron» pour vérifier s'il a été infecté par ce logiciel, et donc «cela ne nous dit pas si le président a été réellement espionné», a expliqué le directeur de Forbidden Stories Laurent Richard sur la chaîne d'information française LCI. Des propos qui n'ont suscité aucune contestation. Les principales critiques portaient sur la fiabilité des données de cette étude (50 000 numéros traqués, un chiffre colossal) collectées par les organisations Forbidden Stories et Amnesty International. Plusieurs sources ont réclamé un audit «indépendant» sur les résultats de l'étude et l'origine des données. Cette affaire pose de nombreuses questions sur les procédés de contrôle des études émanant des ONG les plus réputées. Comment ces publications présentées comme scientifiques fonctionnent-elles, sur quels critères de qualité sont-elles classées et sur quoi repose leur méthodologie ? Forbidden Stories et Amnesty International ont obtenu une liste de 50 000 numéros de téléphone supposément liés à l'entreprise israélienne NSO (qui commercialise Pegasus) pour une surveillance potentielle et l'ont partagée avec un consortium de plusieurs médias qui ont révélé son existence. Deuxième déclaration : Interrogé par les députés sur les fuites liées à la liste Pegasus, le premier ministre Jean Castex avait auparavant indiqué que des investigations pour vérifier «la matérialité» des faits allégués n'avaient «pas abouti». M. Castex reconnaît que «d'importantes questions» planent à son sujet. Quoi qu'il en soit, cette affaire autour de l'étude sur Pegasus «est un immense affront sans preuve très préjudiciable à la communauté scientifique», a souligné sur Twitter Nadim Kobeissi, chercheur libanais en informatique spécialisé dans la cryptographie. «Il y avait une liste qui circulait sur le marché et que celui qui la détenait dit que les serveurs NSO à Chypre ont été piratés et qu'une liste circulait. Nous l'avons examinée. Nous n'avons pas de serveurs à Chypre et n'avons pas ce type de listes, et le nombre divulgué n'a aucun sens, donc cela n'a rien à voir avec nous» avait déclaré le patron de NSO Shalev Hulio. «La moyenne de nos clients est de 100 cibles par an. Si vous prenez toute l'histoire de NSO, vous n'atteindrez pas les 50 000 cibles de Pegasus depuis la création de l'entreprise. Pegasus a 45 clients, avec environ 100 cibles par client et par an. De plus, cette liste comprend des pays qui ne sont même pas nos clients et NSO n'a même pas de liste qui inclut toutes les cibles Pegasus» a-t-il épinglé. Coup de grâce, assurément. L'experte norvégienne en sécurité informatique, @runasand, a relevé l'incohérence des accusations rapportées par @FbdnStories. Elle a publié 10 extraits d'articles publié par # médias en soulignant les contradictions concernant les sources citées par @FbdnStories pic.twitter.com/7aP6iJZzpb — Majda (@Essalkatou) July 25, 2021 Il n'y a absolument aucune preuve publique liant spécifiquement le #Maroc à l'utilisation de #Pegasus sur ces smartphones algériens. C'est la vérité. Les mensonges d'Amnesty et ses partenaires risquent de provoquer de véritables impasses diplomatiques en Afrique du Nord. https://t.co/paJaLiLGF5 — Majda (@Essalkatou) July 25, 2021 @thegrugq expert en cybersécurité, suppose que la liste en question pourrait ne pas être celle de NSO, mais de « Circles ». Il s'agit d'un autre programme espion israélien.#Scandale de @FbdnStories @amnesty @citizenlab pic.twitter.com/moG5N6bJcL — Majda (@Essalkatou) July 25, 2021 Pour le chercheur en informatique et cryptographie appliquée @Kaepora: "Les preuves avancées par @FbdnStories @amnesty sont extrêmement faibles,elles se basent sur de simples certificats SSL/TLS auto-signés que n'importe qui peut produire et insérer dans un jeu de données". pic.twitter.com/5cUOmDnRgt — Majda (@Essalkatou) July 25, 2021 La journaliste d'investigation américaine, @KimZetter, connue pour ses investigations sur des questions énigmatiques liées à la cybersécurité « s'étonne devant l'omerta entourant les données fournies à « @FbdnStories» ». pic.twitter.com/JiqF9pcP4k — Majda (@Essalkatou) July 25, 2021 Selon Kim Zetter, Amnesty dit qu'elle n'a jamais prétendu que la liste était de NSO : « AI n'a jamais présenté cette liste comme une « NSO Pegasus Spyware List », bien que certains médias du monde l'aient peut-être fait. Liste indicative des clients d'intérêts de l'entreprise » pic.twitter.com/4wAl653Xp4 — Majda (@Essalkatou) July 25, 2021
