Le roi du Maroc Mohammed VI (à droite) s’entretient avec le président Emmanuel Macron à Rabat, au Maroc, le 15 novembre 2018.

La révélation par dix-sept rédactions, dont Le Monde, et Amnesty International du dévoiement du logiciel espion Pegasus, utilisé par les services de sécurité marocains pour viser des cibles françaises a causé une onde de choc mondiale. Elle fait l’objet de vives dénégations de la part de Rabat. L’ambassadeur du Maroc à Paris a réclamé, dans les colonnes du Journal du dimanche, dimanche 25 juillet, les « preuves » de l’implication de son pays et l’établissement de la « matérialité des faits ».

Article réservé à nos abonnés Lire aussi « Projet Pegasus » : un téléphone portable d’Emmanuel Macron dans le viseur du Maroc
  • Pourquoi peut-on dire qu’il s’agit de Pegasus ?

Le Security Lab d’Amnesty International, qui a développé ces dernières années une connaissance fine de Pegasus, a expertisé plus de 40 téléphones compromis, dont plus de 15 en France, suivant une méthode soumise pour validation au Citizen Lab, un laboratoire de recherche de l’université de Toronto qui fait référence dans l’analyse des logiciels espions en général et de Pegasus en particulier. Ce même Citizen Lab a également analysé, en aveugle, certains téléphones : il y a trouvé la même chose que ses homologues d’Amnesty et il est parvenu aux mêmes résultats. Toutes les conclusions techniques d’Amnesty ont été exposées dans un rapport public.

Article réservé à nos abonnés Lire aussi « Projet Pegasus » : dans les coulisses de la traque d’un logiciel espion sophistiqué

Les experts ont fait parler les archives des téléphones d’Apple. Les iPhones ont ceci de particulier qu’à chaque fois qu’un composant d’iOS, le logiciel qui les fait fonctionner, est lancé (par exemple pour prendre une photo ou envoyer un message), une trace est consignée dans la mémoire du téléphone. Les experts du Security Lab d’Amnesty ont découvert dans cet historique des traces de composants qui n’ont pas été développés par Apple, totalement étrangers à iOS. Dans certains cas, le fonctionnement de ces composants étrangers s’accompagnait de l’exfiltration de données. Autrement dit, la preuve qu’un logiciel espion s’était activé sur ces téléphones.

Chaque composant porte un nom, attribué par le développeur du logiciel : on les retrouve à l’identique sur les téléphones dépiautés par Amnesty – certains imitent à un caractère près de vrais composants d’iOS. On les a aussi détectés dans des cas d’infection passées par Pegasus, comme celle du dissident émirati Ahmed Mansour. Les traces de l’infection avaient été analysées par LookOut, une entreprise spécialisée dans la cybersécurité des appareils mobiles : elle y avait alors découvert les mêmes noms de composants aujourd’hui exhumés par Amnesty International. La preuve qu’il s’agit d’un seul et même logiciel espion : Pegasus.