Jean-Marc Manach, journaliste spécialiste de la cybersurveillance, affirme que plusieurs experts s'interrogent sur la provenance et la fonction de la liste des 50 000 «cibles potentielles» de Pegasus. «On y trouve ainsi, étrangement, des numéros de téléphone fixe et américains, qui ne peuvent pourtant pas être infectés par le logiciel espion» a-t-il affirmé. Le logiciel espion Pegasus utilisé de façon dévoyée et commercialisé par l'entreprise NSO Group. «50 000 téléphones espionnés» ou «50 000 cibles potentielles» d'une part. Sur les 67 terminaux autopsiés, «23 téléphones ont été infectés avec succès et 14 ont montré des signes de tentative de ciblage» rappelle Jean-Marc Manach, journaliste spécialiste de la cybersurveillance. L'analyse technique d'une dizaine de téléphones réalisée par le Security Lab d'Amnesty International a aurait permis de déterminer qu'ils avaient bien été infectés par Pegasus ne repose sur aucune preuve factuelle solide. L'acquisition d'une licence NSO peut atteindre 25 000 $ par cible. "Sur les 50 000 numéros [de téléphone] espionnés, 10 000 numéros, essentiellement marocains, algériens et français, auraient été surveillés par Rabat" a-t-on affirmé. Des chiffres fantaisistes. «Pourtant, plusieurs praticiens fins connaisseurs de ces questions, experts tant des services de renseignement technique que des marchands d'armes de surveillance numérique, abordent cette liste de "50 000 cibles potentielles" avec pincettes et précautions» rappelle le spécialiste. Alors que seule une analyse technique poussée de ces smartphones peut permettre de dire s'ils ont été effectivement infectés, ou s'ils ont juste fait l'objet d'un ciblage, comment peut-on donc parler d'une opération d'espionnage d'ampleur ? Amnesty International, pour rappel, a publié sa méthodologie très contestée, mais c'est désormais l'Agence nationale de sécurité des systèmes d'information en France, chargée de la protection numérique des appareils de l'Etat, de procéder à ses propres vérifications. Depuis sa création, NSO Group aurait décliné plis de 300 millions de dollars de contrats parce que les acheteurs potentiels n'avaient pas adhéré aux normes internationales en matière de protection des droits de l'homme. De plus, et de mai 2020 à avril 2021, «environ 15 % des nouvelles possibilités pour Pegasus ont été rejetées du fait de préoccupations relatives aux droits de l'homme qui ne pouvaient pas être résolues». Alors que plusieurs organismes ont porté plainte contre X auprès du procureur de Paris, notamment pour ce qu'ils appellent «piratage (accès frauduleux à des systèmes automatisés de données), collecte frauduleuse de données personnelles et violation du secret des correspondances)», visant l'entreprise israélienne NSO Group, qui commercialise le logiciel espion très sophistiqué, Gérard Araud, ancien conseiller de NSO, a expliqué être «perplexe», au vu des sommes potentiellement engagées pour cette surveillance de masse et de la nature des contrats qui limitent le nombre de téléphones visés. Quant à l'usage supposé par le Maroc de ce logiciel pour espionner des journalistes français, il déclare : «Il faut se méfier des apparences, on plonge ici dans le noir total, tout le monde peut mentir, et personne ne pourra jamais débusquer la vérité». L'entreprise NSO, qui «nie fermement les fausses accusations portées » dans l'enquête du « Projet Pegasus», assure pourtant vendre son outil à des fins de lutte contre le crime organisé et le terrorisme. Pourquoi ce fait a été complétement négligé ? Interrogé par Le Point sur l'hypothèse que le Maroc aurait fait espionner le président français, Squarcini est nuancé. «Ce listing confus de numéros, sorte d'inventaire à la Prévert, nous incite à faire preuve de la plus grande prudence en attendant les résultats des investigations judiciaires», conclut-il. Dans une interview au Parisien, François Deruty, ancien directeur du service d'enquête de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et désormais directeur des opérations de l'entreprise de cybersécurité Sekoia, rappelle les basiques : «D'après mon expérience, être placé sur une liste de numéros de téléphone à cibler ne veut pas dire qu'on est victime et qu'on a été attaqué. Il y a beaucoup de faux positifs dans les compromissions. C'est comme lors des fuites de données massives qui font peur à tout à tout le monde alors que ce ne sont souvent que des compilations d'informations données volontairement par les gens.» Le Monde ne parle plus «d'espionnage», mais «de personnes ont vu leur nom apparaître dans une liste de 50 000 numéros de téléphones sélectionnés comme cibles potentielles du logiciel Pegasus». S'agit-il donc d'une «liste de numéros concentrés dans des pays connus pour surveiller leurs citoyens mais également pour avoir été clients de NSO Group» ? Amnesty évoque une «fuite de 50 000 numéros de téléphone de cibles potentielles de surveillance», mais Forbidden Stories une «fuite de plus de 50 000 numéros de téléphones que des clients de NSO avaient sélectionné pour les surveiller», et l'OCCRP une «liste de 50 000 numéros de téléphone qui auraient été choisis comme cibles du logiciel espion». Où est la vérité ? «À ceci près qu'une chose est d'avancer que 37 des 67 téléphones autopsiés (soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total) montreraient bien des signes de tentatives d'infection voire d'infections par Pegasus, une autre est d'extrapoler que les 50 000 autres numéros constitueraient eux aussi des cibles potentielles de clients de Pegasus. D'autant que le consortium n'est parvenu à identifier que 1 000 de leurs détenteurs et ignore donc tout des 49 000 autres» a-t-on mentionné. Les 50 000 numéros, a-t-on affirmé, pourraient constituer des «numéros d'intérêt pour les clients de NSO», pour reprendre l'expression initiale d'Amesty Tech, sans pour autant constituer des «cibles potentielles». 49 000 détenteurs de ces 50 000 numéros n'ont pu être identifiés. Un rapport de 32 pages sur la transparence et la responsabilité de NSO Group, publié en juin 2021, moins de trois semaines avant les dernières révélations, explique que la société compte 60 clients dans 40 pays et promet que «[Pegasus] n'est pas une technologie de surveillance de masse et ne collecte des données qu'à partir des appareils mobiles d'individus spécifiques, soupçonnés d'être impliqués dans des crimes graves et terroristes».
