Nouvelles révélations en Serbie
Le 14 février 2025, deux journalistes de BIRN ont reçu, sur Viber, un message suspect en langue serbe provenant d’un numéro lié à Telekom Srbija, l’opérateur public de télécommunication. L’apparente banalité du texte – qui renvoyait prétendument à un article d’actualité – cachait en réalité un lien malveillant pointant vers l’infrastructure Pegasus de NSO Group. Le Security Lab d’Amnesty International, contacté dès les premières suspicions, a confirmé la tentative d’infection : « Nous avons découvert que les messages contenaient des liens hypertextes vers un nom de domaine en langue serbe dont nous avons déterminé, avec un haut degré de certitude, qu’il était lié au logiciel espion Pegasus. »
Selon BIRN, cette offensive numérique cible des journalistes travaillant sur des sujets sensibles tels que la corruption ou des investissements étrangers entachés d’irrégularités. Les reporters Jelena Veljkovic et Bogdana (nom d’emprunt) ont expliqué avoir supprimé immédiatement ces messages, évitant de cliquer sur le lien. Un excellent réflexe. Toutefois, cet incident rappelle que Pegasus n’a pas disparu de la scène et continue d’être l’arme de prédilection pour espionner des acteurs de la société civile.
Un vecteur d’infection via Viber
En Serbie, l’application Viber est l’une des messageries les plus utilisées pour des communications personnelles et professionnelles. En ciblant cette plateforme, la campagne d’infection s’appuie sur la confiance (voire la familiarité) que les usagers accordent à leurs contacts. Un clic imprudent sur un lien piégé peut ouvrir la porte à l’exfiltration de données sensibles, à l’activation du micro ou de la caméra et à la surveillance en temps réel de l’utilisateur. Les capacités intrusives de Pegasus sont désormais bien connues de tous. Jelena Veljkovic résume le sentiment général : « Il s’agissait d’une attaque ciblée contre des journalistes d’investigation – une forme de pression et un avertissement. »
Techniques d’infection de Pegasus via les messageries chiffrées
Pegasus, développé par NSO Group, s’est imposé comme l’un des logiciels espions les plus sophistiqués de l’ère numérique, capable de s’introduire dans un smartphone sans forcément laisser de traces évidentes. Plusieurs mécanismes lui permettent de s’implanter via des messageries chiffrées comme WhatsApp, Telegram ou, récemment, Viber :
– Les attaques « zero-click », où l’infection s’opère sans qu’aucune action ne soit requise de la part de l’utilisateur. Il suffit parfois d’un appel manqué ou d’un message silencieux pour exploiter une faille non corrigée.
– Les vulnérabilités zero-day, qui profitent de failles inconnues dans des applications réputées sûres (WhatsApp, iMessage, etc.). On se souvient qu’en 2019, Pegasus aurait pu pirater plus d’un millier de téléphones via un simple faux appel WhatsApp.
– Le « spear phishing », méthode plus classique mais toujours efficace : un lien piégé transmis via SMS ou messagerie, sur lequel la cible est incitée à cliquer.
– L’injection réseau, qui nécessite de surveiller le trafic Internet de la cible pour rediriger sa navigation vers un site piégé.
Un climat de surveillance persistant
La tentative de février 2025 n’est pas la première attaque Pegasus visant des membres de la société civile serbe. Deux précédents cas, en 2023, avaient déjà inquiété les organisations de défense des droits humains. Amnesty International, Access Now, la Fondation SHARE et Citizen Lab avaient révélé des infections « zero-click » cherchant à faire taire des militants et des journalistes engagés.
Cette récurrence suscite des interrogations sur le rôle des autorités. NSO Group affirme ne fournir Pegasus qu’à des « clients gouvernementaux soigneusement contrôlés », tandis qu’Amnesty International estime que les agressions numériques constatées en Serbie sont vraisemblablement pilotées par un acteur étatique. Faute de réponses de l’Agence serbe de sécurité de l’information, les soupçons de surveillance illégale à l’encontre des journalistes se renforcent.
NSO Group après le scandale Pegasus
Depuis 2021, la réputation de NSO Group a été mise à mal par les révélations du « Projet Pegasus », qui ont démontré l’ampleur de l’espionnage orchestré à l’échelle mondiale contre des personnalités politiques, des militants et des journalistes. Malgré des sanctions internationales et des difficultés financières, l’entreprise continue d’exister et, comme le démontre le cas serbe, son logiciel espion demeure actif sur le terrain. NSO Group a pourtant fait l’objet d’actions en justice, notamment par WhatsApp et Apple, pour avoir exploité des failles dans leurs solutions et surveillé illégalement des utilisateurs.
Une pression constante sur les journalistes
Le BIRN, lauréat de nombreux prix pour ses investigations, n’est pas un cas isolé. Les journalistes d’investigation sont régulièrement visés par des manœuvres d’intimidation, de harcèlement en ligne ou de surveillance abusive, surtout quand ils s’attaquent à des dossiers de corruption au plus haut niveau. « C’est un sentiment très perturbant », confie Bogdana, qui craignait que ses sources n’encourent des représailles pour avoir communiqué avec elle.
De leur côté, les organisations de défense des droits humains réclament non seulement un moratoire immédiat sur l’utilisation de ce type de spyware, mais aussi un véritable cadre légal sanctionnant les abus et protégeant les victimes. Amnesty International souligne qu’à l’heure où des manifestations étudiantes se poursuivent en Serbie, l’usage de Pegasus pourrait intensifier les pressions sur les mouvements de contestation.
En guise de prévention, il est conseillé d’adopter des pratiques numériques plus sûres (mises à jour fréquentes, prudence face aux liens suspects, usage d’outils de détection spécialisés). Et pour ceux qui souhaitent en apprendre plus sur le fonctionnement des logiciels espions, je vous recommande ma vidéo sur ma chaîne Youtube « Christophe Boutry » : https://youtu.be/n30v5vzED-Q?si=GyR4DS_pp-w9vawg
