Pegasus e NSO Group. Questi due nomi sono sicuramente sconosciuti ai comuni cittadini, ma non ai giornalisti che si occupano di sorveglianza e cyberspionaggio. Da diversi anni gli scandali si moltiplicano sulla scia di questa azienda e dei suoi software. In Messico, Emirati Arabi Uniti, Arabia Saudita e Marocco, dissidenti, giornalisti e difensori dei diritti umani sono stati controllati grazie a questa spia inviata sui loro telefoni. NSO Group è il capo discreto di un’industria ultra-segreta, per la quale stanno lottando una manciata di giornalisti in tutto il mondo. Quali governi hanno acquistato il software di NSO Group? Questo strumento, che il suo ideatore presenta come arma contro la criminalità organizzata e il terrorismo, viene davvero utilizzato per questi scopi? E soprattutto: chi sono le vittime, nel mondo, di questa piaga digitale? Grazie ad un’indagine fatta dai giornalisti di Le Monde e di Forbidden Stories e dei tecnici di Amnesty International sappiamo che
le utenze francese sorvegliate sono diverse migliaia e cioè attivisti e militanti ma anche tanti politici.
Per dimostrare la pervasività di questo software, i giornalisti investigativi francesi hanno posto in essere una procedura invasiva ma efficace: copiarne l’intero contenuto sul computer, per poi inviarne una piccola parte ad un esperto di Amnesty per l’analisi. Amnesty non ha avuto difficoltà a individuare inconsuete tracce nella memoria dell’iPhone di di una giornalista francese. Come impronte nella neve, testimoniano il passaggio di un intruso, un software dannoso che non c’è più ma che era attivo nell’agosto del 2019. Queste tracce non ci permettono di dire cosa sia stato rubato, ma solo che un programma che non ha connessione all’iPhone o a un’applicazione installata è stata eseguito sul dispositivo per un breve periodo di tempo. Ma gli esperti di Amnesty International sono anche in grado di dire come è arrivato questo spyware: in modo completamente silenzioso e invisibile, sfruttando un difetto del software dell’iPhone, sconosciuto al produttore Apple.
Ma gli spyware come Pegasus vanno ben oltre le intercettazioni telefoniche. Trasformano il telefono su cui sono installati in una spia totale: possono attivare il microfono per catturare tutte le conversazioni che si tengono nelle vicinanze. Possono attivare le fotocamere del cellulare per fotografare o filmare a piacimento. Possono recuperare tutte le foto, tutta la cronologia di navigazione in Internet, tutti i contatti della rubrica, tutte le email, tutti gli SMS, tutti i messaggi WhatsApp, Telegram o Signal. Quelli che vengono scambiati quando lo spyware è attivo, ma anche tutto ciò che può essere archiviato nella memoria del telefono. Poiché tutta la nostra vita è contenuta in questi piccoli dispositivi, questo spyware è un’arma formidabile. Questo sistema intrusivo impedisce a qualunque giornalista investigativo di portare avanti indagini riservate.La segretezza è una delle poche armi che restano a disposizione del giornalista, dell’avvocato o dell’attivista, soprattutto nei regimi oppressivi, per allentare la presa del potere. Lo spyware riduce questo spazio a zero.
E con Pegasus non è nemmeno necessario trovarsi nello stesso paese della vittima. Il telefono può essere infettato quasi ovunque ci si trovi, rendendo vulnerabili anche gli attivisti che hanno preso le distanze dal proprio Paese. anche grazie all’indagine di Le Monde e di Amnesty International è stato possibile scoprire che questo spyware, cioè Pegasus, è stato utilizzato potremmo dire quasi a livello globale: Ungheria, India, Kazakistan, Ruanda. Nonostante le promesse del suo produttore, il gruppo israeliano NSO, questo software continua ad essere utilizzato per scopi diversi dalla lotta contro la criminalità, il terrorismo e la pornografia infantile. Per spiare avvocati, giornalisti e attivisti. Ma anche YouTuber, imam, ministri, capi di Stato.In Ungheria e India i giornalisti – che fanno parte anche del consorzio guidato da Forbidden Stories –sono stati intercettati. In Francia, avvocati e attivisti coinvolti nella questione del Sahara Occidentale sono stati spiati dal Marocco. I parenti di Jamal Khashoggi, l’editorialista del Washington Post ucciso e smembrato nell’ambasciata saudita ad Ankara, sono stati presi di mira da Pegasus.
Per effettuare un’infezione da Pegasus è sufficiente un numero di telefono. È impossibile comprendere NSO Group e il suo software Pegasus senza tenere presente che essi nascono dall’incontro di un’offerta con una domanda. L’offerta, innanzitutto. Pegasus non esisterebbe se Israele non si fosse impegnato, negli ultimi vent’anni, nello sviluppo di sconcertanti capacità di spionaggio informatico. Pegasus è il frutto di questa frenetica corsa agli armamenti nel cyberspazio. Gran parte della forza lavoro di NSO Group è infatti composta da tecnici di alto livello, specializzati nella ricerca di vulnerabilità o difetti dei software e delle modalità per utilizzarli. Qualsiasi testo, soprattutto se lungo, contiene errori grammaticali o di ortografia. È lo stesso per il codice informatico. Tutti i software del mondo contengono difetti: il codice potrebbe essere scritto male o i meccanismi di sicurezza potrebbero essere stati dimenticati. Alcuni rallentano solo il software, altri ne impediscono il funzionamento: è un bug. Altri ancora, i più rari, sono come una finestra mal chiusa, una recinzione bucata o una serratura troppo semplice: possono, in determinate condizioni, essere utilizzate dai pirati per interrompere il funzionamento del software, o addirittura assumerne il controllo completo.
Per diversi decenni Israele è stato uno dei Paesi più avanzati in termini di sviluppo di capacità di attacco informatico. Una parte importante di questa attività comprende la ricerca delle vulnerabilità, necessarie per alcuni strumenti di attacco e spionaggio. Poiché il servizio militare è obbligatorio in Israele, la maggior parte dei giovani informatici più brillanti finisce nelle unità d’élite dell’IDF o dello Shin Bet. Lì lavorano duramente per sviluppare armi digitali. Alcuni fanno carriera lì. Israele ha anche scelto di sviluppare un’industria della sicurezza informatica che accoglie molti ex coscritti e soldati di carriera quando vogliono passare al settore privato. Questo è il bacino da cui attinge NSO Group. E l’azienda poteva permettersi questi esperti, almeno fino a poco tempo fa.
L’azienda dedica gran parte della propria attività alla ricerca dei difetti. Per fare questo gioca al gatto e al topo con le due aziende che equipaggiano quasi tutti gli smartphone del mondo: Google (Android) e Apple (iOS). Questi grandi nomi delle nuove tecnologie non hanno alcun interesse ad avere dei difetti. Soprattutto Apple, che vende i suoi dispositivi come i più sicuri sul mercato. Alcuni dipendenti di Google e Apple sono specificamente responsabili dell’individuazione dei difetti lasciati dai loro colleghi. Ma è impossibile individuarli tutti.
Dopo l’offerta, la domanda. Quando si tratta di spionaggio, è costante. Invece di cercare di intercettare i dati in entrata e in uscita da un telefono e protetti da algoritmi di crittografia, Pegasus si trova direttamente all’interno del telefono, dove i dati sono accessibili. Con l’emergere di applicazioni come WhatsApp o Signal, che rendono inutilizzabili le intercettazioni telefoniche, e la crescente onnipresenza degli smartphone in tutti i settori della società, si sono moltiplicati gli Stati pronti a tirare fuori il portafoglio per dotarsi di questo tipo di strumenti. Quindi basta pagare qualche milione di euro l’anno per dotarsi di capacità degne dei servizi di intelligence più potenti del mondo. Rapporto qualità prezzo purtroppo imbattibile. Il Gruppo NSO ha inoltre beneficiato di una relazione quasi simbiotica con lo Stato di Israele. Oltre a trarne parte della sua forza lavoro, l’azienda venne utilizzata dallo Stato ebraico per sostenere i suoi obiettivi diplomatici.
Un riavvicinamento al Marocco? Viene accompagnato dalla vendita segreta di Pegaso al regno. Nuovi collegamenti con l’India? La vendita di spyware al regime di Narendra Modi non è lontana. Una visita eccezionale di Benyamin Netanyahu in Ungheria? Nelle foto ufficiali possiamo vedere gli emissari del Gruppo NSO, spalla a spalla con il Primo Ministro israeliano. Lo strumento è così potente, così efficace, che funge da merce di scambio, da facilitatore delle relazioni diplomatiche. In ogni caso è il ministero della Difesa israeliano ad autorizzare l’esportazione di questo strumento. Abbastanza per mettere in discussione la responsabilità israeliana nella fornitura di software a regimi dittatoriali come l’Azerbaigian, il Kazakstan o anche l’India, la cui deriva autoritaria è provata, e il Messico, dove gli abusi palesi sono ampiamente documentati.
Tuttavia uno degli episodi più incredibili è successo proprio in Francia quando alcuni giornalisti si sono recati all’Eliseo comunicando che Macron era stato oggetto di spionaggio. In particolare i giornalisti Laurent Richard e Sandrine Rigaud di Forbidden Stories, ed Élodie Guéguen di Radio France hanno portato la notizia all’Eliseo. Ovviamente queste rivelazioni mettono in imbarazzo l’Eliseo: non è mai bene apprendere dalla stampa che forse la massima autorità dello Stato è stata spiata. Poi, il rapporto con il Marocco è altamente infiammabile. Nel 2014, un giudice istruttore francese ha avuto l’audacia di convocare il capo dei servizi di sicurezza del regno per un’indagine su atti di tortura. Abdellatif Hammouchi era sfuggito alla convocazione saltando su un aereo per il Marocco. L’Eliseo non ha quindi avuto problemi a spiegare l’indipendenza dei giudici francesi. Rabat ha comunque vissuto l’episodio come un’umiliazione e ha ordinato ai suoi servizi segreti di cessare ogni collaborazione con i loro omologhi francesi. Una piaga, nella misura in cui, in materia di terrorismo o traffico di droga, la Francia ha disperatamente bisogno dell’aiuto del Marocco.
Il comprovato spionaggio da parte di una potenza straniera di giornalisti, attivisti e avvocati francesi ha messo in evidenza la maldestra difesa dello spionaggio francese. L’Eliseo non si è mai pronunciato ufficialmente su questo argomento. A seguito delle inchieste giornalistiche decine di telefoni vengono esaminati dai servizi francesi per individuare un’eventuale compromissione da parte di Pegasus, nell’ambito dell’indagine giudiziaria ma anche “amministrativa”, al di fuori di qualsiasi procedura. Questa campagna è seguita molto da vicino dall’Eliseo. È stata messa in campo un’organizzazione consolidata: saranno i tecnici dell’ANSSI ad esaminare questi telefoni. Poiché Pegasus non è mai stato considerato una minaccia prioritaria, gli specialisti “cyber” dello Stato non hanno conoscenze particolari su come sia possibile individuarlo. In passato hanno analizzato i cellulari dei ministri, ma sempre cogliendo al volo i dati che entrano ed escono dal telefono. Vagliando i telefoni di personalità che potrebbero interessare i servizi stranieri, almeno due telefoni, appartenenti a soggetti che lavorano su argomenti delicati o addirittura segreti della difesa, hanno dimostrato la presenza di spyware. Ma torniamo al presidente Macron.
Il telefono di Emmanuel Macron è stato preso di mira nel pieno della crisi in Algeria, un Paese vicino che ossessiona le autorità marocchine, e mentre il presidente francese conduceva consultazioni diplomatiche sull’argomento. Senza poterlo esaminare direttamente, è impossibile sapere con certezza se l’apparato del Presidente della Repubblica sia stato semplicemente preso di mira o se anch’esso sia stato infettato. Ai massimi livelli dello Stato, non c’è dubbio che gli attacchi e le infezioni attribuiti al Marocco siano effettivamente opera del regno sceriffo. I servizi francesi hanno confermato che Rabat era cliente di questo spyware, nonostante le continue smentite di quest’ultimo. Tuttavia, di fronte alle possibili ripercussioni diplomatiche, Parigi è stato riluttante ad accusare pubblicamente il Marocco. I servizi segreti cercano le prove definitive che indicheranno sicuramente i responsabili della campagna di spionaggio che ha preso di mira la Francia. Emmanuel Macron e il suo allora Primo Ministro, Jean Castex, erano seccati per non averlo ottenuto. I servizi segreti hanno adottato anche un’altra tecnica per saperne di più su Pegasus. Sono riusciti ad ottenere, durante l’estate, un elenco di numeri presi di mira, in data recente, da Pegasus in Francia. Secondo una fonte si tratterebbe di obiettivi non francesi e legittimi dal punto di vista degli Stati stranieri: diplomatici, oppositori.
Lo Stato ha giocato anche una carta diplomatica. Ci sono stati scambi con il Marocco, ma anche con Israele. Emmanuel Macron ha parlato con Naftali Bennett l’allora primo ministro israeliano. La Francia avrebbe anche ottenuto da Israele che i numeri francesi non potessero più essere monitorati da Pegasus. NSO Group ha fatto di tutto per annoverare la Francia tra i suoi clienti.Sono stati organizzati numerosi incontri tra emissari della compagnia israeliana e possibili acquirenti francesi, in particolare presso la Direzione generale della Sicurezza interna (DGSI), il servizio di intelligence e di polizia responsabile delle indagini più delicate. La reputazione di Pegasus era ben consolidata tra le fila di questi agenti di polizia d’élite. Molti dei loro colleghi europei erano già clienti e i francesi non hanno ricevuto altro che complimenti per questo spyware. Gli agenti di polizia e i magistrati francesi sapevano quanto fosse efficace contro gli iPhone, particolarmente diffusi nel mondo della criminalità organizzata. I sospettati non comunicano più tramite conversazioni telefoniche o SMS, ma tramite varie applicazioni, impermeabili alle tradizionali intercettazioni. Tuttavia, la legge francese autorizza gli investigatori, a determinate condizioni, a utilizzare spyware e magistrati e agenti di polizia specializzati lo richiedono da anni. Sono state organizzate dimostrazioni dello strumento e anche una proposta di contratto è stata presentata da NSO Group: 15 milioni di euro all’anno (con un aumento del 20% all’anno) .
Le dimostrazioni hanno convinto la polizia: passano solo pochi minuti dal momento in cui il poliziotto inserisce un numero di telefono da una semplice interfaccia di un browser web all’arrivo dei primi dati sottratti. L’iPhone funziona come se nulla fosse, il bersaglio non ha modo di sapere cosa sta succedendo e non sono richieste competenze tecniche: NSO Group e Pegasus si occupano di tutto! Lo Stato francese, in particolare i servizi del Primo Ministro, hanno messo in dubbio il seguito da dare a queste richieste. Certamente lo strumento è efficace. Ma l’azienda non ha una buona stampa. Ed è, inoltre, molto vicina allo Stato israeliano. Pegasus non è uno strumento che NSO consegna ai clienti per poi lasciarli a se stessi: è una piattaforma, un software, che viene aggiornato regolarmente. In altre parole, non c’è modo di essere certi che gli elenchi di obiettivi che la DGSI sceglierebbe in Pegasus non sono, in un modo o nell’altro, accessibili agli israeliani.
Alla fine del 2020 è stato quindi deciso al massimo livello dello Stato di non intrattenere rapporti commerciali con NSO Group. Secondo varie fonti, la Francia attualmente ha la capacità di infettare alcuni telefoni, ma a livello artigianale.Siamo lontani da ciò che NSO Group può fare con i suoi spyware. Le nostre rivelazioni segnano l’inizio di un periodo molto difficile per l’azienda. Nonostante le sue smentite, è ancora una volta indebolita da questa valanga di rivelazioni su una sorveglianza che non ha nulla a che fare con la lotta alla criminalità o al terrorismo. Una serie di ulteriori insulti colpirono l’azienda nei mesi successivi. Gli Stati Uniti, adducendo rischi per la sicurezza nazionale, lo hanno inserito in una lista nera. Oltre alle difficoltà operative che ciò comporta – questa decisione impedisce, in teoria, all’azienda di acquistare computer americani – si tratta di un colpo terribile per l’immagine di un’azienda che si è presentata come la punta di lancia dell’industria di uno dei più stretti alleati degli Stati Uniti.
Apple, che ha finalmente capito come uno dei suoi difetti fosse stato utilizzato da Pegasus, lo ha corretto e ha messo in guardia le vittime: numerosi attori della società civile, in El Salvador, Tailandia o Kazakistan si sono scoperti vittime di spyware. NSO Group si è fatto un potente nemico: anche Apple decide di citare in giudizio l’azienda. Sul versante finanziario, minata da conflitti tra azionisti, debiti considerevoli e riserve di liquidità limitate, l’esistenza dell’azienda sembra essere appesa a un filo. Di fronte all’indignazione e alla portata delle rivelazioni, Israele ha anche deciso di limitare il numero di Paesi verso i quali le società israeliane di sorveglianza informatica sono autorizzate ad esportare. Un duro colpo per NSO Group e le sue controparti, che vedono il loro mercato ristretto.
NSO Group è probabilmente l’azienda di maggior successo nel mercato dello spyware per smartphone. Ma non è l’unica. Molti hanno sede in Israele, altri in Europa. Le autorità francesi che, ne stimano in una decina. Candiru, Memento Labs, Paragon, RCS Lab… Uno di loro, Quadream, con sede in Israele, ha chiuso i battenti pochi giorni dopo un rapporto dettagliato sugli abusi commessi con il suo software. Ma le decine, addirittura centinaia di sviluppatori che fanno la fortuna di queste aziende non si riqualificano improvvisamente e molti temono che questo know-how e queste competenze si diffondano altrove. Da parte francese nessuna azienda offre software simili a Pegasus. La Francia vuole evitare questo rischio a tutti i costi. Per due ragioni, non del tutto nobili. Il primo è il timore che questi dispositivi siano rivolti contro la Francia, o meglio contro le autorità francesi. La seconda è che i venditori di spyware forniscono ai piccoli Paesi i mezzi per comprarsi con un semplice assegno un posto tra i paesi più avanzati in termini di offensive informatiche. E la Francia non lo vuole.
Questa strategia soffre di eccezioni? Questo è quello che possiamo pensare leggendo le informazioni pubblicate da Mediapart nell’autunno del 2023. Un consorzio mediatico ha rivelato che due società a guida francese – Nexa, con sede in Francia, e Advanced Systems, con sede negli Emirati Arabi Uniti – avevano svolto il ruolo di intermediari per la vendita dello spyware Predator a tre Paesi noti per i loro abusi in termini di diritti umani: Egitto, Madagascar e Vietnam. Questo software in concorrenza con Pegasus è progettato da Cytrox, un’azienda ungherese-macedone che fa parte dello stesso consorzio di Nexa e Advanced Systems. Il passaggio della vendita di questo software tramite intermediari e una filiale con sede nel Golfo avrebbe dovuto facilitare le procedure di autorizzazione all’esportazione applicabili agli spyware prodotti in Francia. Interrogati da Mediapart, gli amministratori di Nexa hanno assicurato di aver “denunciato” i contratti legati a Predator dopo essere stati interessati dai tribunali in un altro caso e si sono resi conto che le autorizzazioni concesse non ci tutelavano sufficientemente e non costituivano alcuna garanzia contro le violazioni dei diritti umani.
Il problema con Pegasus è che è arrivato nelle mani di paesi come Messico, India, Azerbaigian, Emirati Arabi Uniti, Marocco o Kazakistan e persino Ungheria o Polonia. Dobbiamo quindi chiarire la questione: questo tipo di strumento dovrebbe essere disponibile per un semplice controllo? L’acquisizione di un software così potente, piuttosto che anni di ricerca e sviluppo, formazione interna di esperti di alto livello, insomma un investimento enorme, dovrebbe essere alla portata di qualunque Stato lo richieda? L’unico limite al commercio di software come Pegasus dovrebbe essere fissato da un singolo Stato, in questo caso Israele? Insomma, è il caso di autorizzare il commercio di questo tipo di software? All’improvviso la questione diventa molto più semplice. Si potrebbe obiettare che è possibile commercializzare tale software confinandolo in pochi paesi con robusti contropoteri. Le difficoltà finanziarie del gruppo NSO suggeriscono che questo mercato è troppo ristretto e che gli investimenti necessari per la progettazione di spyware non possono essere ammortizzati vendendo solo ai circa venti paesi che soddisfano questo criterio. La tentazione di fornire quest’arma digitale a un numero sempre maggiore di clienti, compresi quelli meno preoccupati per i diritti umani, è quindi irresistibile.
Giuseppe Gagliano