Des traces d'un logiciel espion ont été retrouvées dans les téléphones de fonctionnaires européens

A quelques mois des élections européennes en juin 2024, cette nouvelle ne risque pas de faire baisser la pression en matière de sécurité informatique. "Des traces" d'un logiciel espion ont été trouvées dans les téléphones de deux fonctionnaires lors d'un contrôle de routine, membres de la sous-commission "Défense et sécurité" (Subcommittee on Security and Defence, SEDE) du Parlement européen.

Le motif et les conséquences de cette intrusion n'ont pas été dévoilés. Le risque est que les faits et gestes des deux victimes aient été scrutés depuis l'installation du logiciel et jusqu'à sa découverte. Des données potentiellement très sensibles pourraient avoir été dérobées.  

Un vérification obligatoire

Cette découverte a poussé le Parlement européen a envoyé un email à l'ensemble des membres de cette sous-commission afin qu'ils se rendent au service informatique pour un contrôle de leurs téléphones, rapporte le média Politico qui a eu accès à cet email. "Dans le contexte géopolitique donné et compte tenu de la nature des dossiers suivis par la sous-commission, une attention particulière est consacré aux dispositifs de ses membres et de son personnel", s'est justifiée Delphine Colard, la porte-parole adjointe du Parlement.

Comme son nom l'indique, le SEDE a pour mission de permettre le débat public et un contrôle parlementaire approfondis sur l'ensemble des actions de l'Union européenne dans le domaine de la politique de sécurité et de défense commune en matière notamment d'institutions, de capacités et d'opérations.

Une centaine d'opérations de contrôle

Les téléphones des fonctionnaires doivent donc passer entre les mains du service informatique de l'institution. Avec la prolifération de ces logiciels, elle s'est dotée en avril dernier d'un système permettant de vérifier la présence de logiciels espions dans les terminaux des eurodéputés. Elle dit avoir mené "des centaines d'opérations" depuis le lancement du programme. La preuve que ce sujet est loin d'être réglé. 

Le débat sur les logiciels espions – un type de logiciel malveillant installé sur un terminal pour collecter des informations à l'insu de son détenteur – a été relancé en juillet 2021 par l'affaire Pegasus, un vaste réseau d'espionnage mondial de personnalités publiques. Une fois installé, il permet de lire les messages, regarder des photos, écouter les appels téléphoniques, accéder aux mots de passe et déclencher le suivi de la localisation. Commercialisé par l'entreprise israélienne NSO Group, ce spyware aurait également ciblé des membres du gouvernement français ainsi que des eurodéputés. 

Un an plus tard, en août 2022, c'est la vie politique grecque qui a été secouée par une affaire de cyberespionnage. Le logiciel Predator, développé par la société Cytrox, avait été détecté dans les téléphones de deux journalistes et de l'un des chefs de l'opposition, Nikos Androulakis. Ce logiciel espion aurait également ciblé des responsables des Nations Unies, des membres de la Commission européenne, la présidente taïwanaise Tsai Ing-wen ainsi que des représentants parlementaires des États-Unis. C'est ce qui ressortait d'une enquête menée par l'European Investigative Collaborations (EIC), un réseau de 9 médias européens d'investigation.  

Les institutions européennes accusées d'inactions

Face à cette situation, les membres du Parlement européen avaient créé en 2022 une commission d'enquête spéciale sur l’utilisation de Pegasus et de logiciels espions de surveillance équivalents (PEGA). Elle devait notamment investiguer les accusations pesant sur le gouvernement polonais d'avoir utilisé Pegasus pour espionner des membres de l'opposition.

C'est en juin 2023 que la commission PEGA a rendu sa conclusion selon laquelle "ni les Etats membres, ni le Conseil, ni la Commission ne semblent vouloir tout mettre en œuvre pour faire toute la lumière sur le recours abusif à des logiciels espions, et qu’ils protègent ainsi sciemment des gouvernements de l’Union qui portent atteinte aux droits de l’homme à l’intérieur et à l’extérieur de l’Union". Elle appelait également à l'instauration d'une réglementation plus stricte sur l'utilisation de ces dispositifs d'espionnage. 

Le règlement de 2021 est mal appliqué 

Il existe déjà une loi en la matière : le règlement du 20 mai 2021 instituant un régime de l'Union de contrôle des exportations, du courtage, de l'assistance technique, du transit et des transferts en ce qui concerne les biens à double usage. Il prévoit notamment que les exportations de logiciels espions à partir de l'Union européenne sont soumises à une autorisation qui doit prendre en compte les risques en matière de droits de l'Homme.

Or, d'après un rapport d'Amnesty International publié en octobre 2023, des licences d'exportation de technologies de surveillance ont été accordées par des Etats membres alors qu'il existait "un risque substantiel de violations des droits humains par les utilisateurs finaux". L'ONG dénonce également une absence d'application "ferme et transparente" du règlement. C'est la raison pour laquelle la commission PEGA demande l'adoption d'un nouveau cadre. Il reste à convaincre les Etats.