Pegasus : 50 000 « cibles potentielles » ? (2/2)

Plusieurs experts s'interrogent sur la provenance et la fonction de la liste des 50 000 « cibles potentielles » de Pegasus. On y trouve ainsi, étrangement, des numéros de téléphone fixe et américains, qui ne peuvent pourtant pas être infectés par le logiciel espion. Deuxième partie de notre décryptage.

Beaucoup voient dans les révélations du Projet Pegasus, du nom du consortium réunissant 17 médias et ONG autour du logiciel espion de la société israélienne NSO, un scandale au moins aussi (voire plus) dévastateur que les révélations d'Edward Snowden en 2013.

Certains vont même jusqu'à évoquer, sans nuances ni précautions, « 50 000 téléphones espionnés », alors que la liste partagée par l'ONG Forbidden Stories aux membres du consortium porterait sur « 50 000 cibles potentielles » d'une part. D'autre part, sur les 67 terminaux autopsiés, « 23 téléphones ont été infectés avec succès et 14 ont montré des signes de tentative de ciblage », comme nous le relevions dans notre premier volet.

• Pegasus : 50 000 « cibles potentielles » ? (1/2)

Pourtant, plusieurs praticiens fins connaisseurs de ces questions, experts tant des services de renseignement technique que des marchands d'armes de surveillance numérique, abordent cette liste de « 50 000 cibles potentielles » avec pincettes et précautions.

Recruté en 2019 pour conseiller NSO en matière de protection de la vie privée et des droits de l'homme, l'ancien ambassadeur de France aux États-Unis, Gérard Araud, explique ainsi à Paris Match trouver « curieux de s'en prendre à l'entreprise et non à ses clients, qui auraient, pour certains, dévoyé des logiciels achetés », au surplus avec l'aval de l'État d'Israël  : 

« NSO vend à des États ou à des agences gouvernementales, les négociations se déroulent à un niveau étatique. NSO examine scrupuleusement les besoins de ses potentiels clients : ces acheteurs font-ils face à une criminalité endémique ? Doivent-ils lutter contre des mouvements terroristes ? De son côté, le client prend des engagements formels. Ce sont les mêmes procédures que pour les ventes d’armes. D’ailleurs, NSO dépend en Israël de la commission sur les ventes d’armes, car le logiciel Pegasus peut être assimilé à une arme. »

À la question de savoir si les 50 000 numéros de téléphones pourraient bien être des « cibles potentielles » des clients de NSO, Gérard Araud explique être « perplexe », au vu des sommes potentiellement engagées pour cette surveillance de masse et de la nature des contrats qui limitent le nombre de téléphones visés.

Quant à l’usage supposé par le Maroc de ce logiciel pour espionner des journalistes français, il déclare : « Il faut se méfier des apparences, on plonge ici dans le noir total, tout le monde peut mentir, et personne ne pourra jamais débusquer la vérité. »

« Je resterais extrêmement prudent sur l'exploitation immédiate qui est faite de tout ça, parce que ce n'est pas aussi simple », a de son côté expliqué sur Europe 1 Bernard Squarcini, l'ancien patron de la DCRI (le service de contre-espionnage intérieur, successeur de la DST et devenu depuis DGSI), dont le numéro figure lui aussi dans la liste :

« Quant au listing établi, il faut bien distinguer entre une bibliothèque sur laquelle on peut se reposer, quant à des tentatives réelles d'intrusion ou de l'infection véritable [...] entre établir un listing et faire de l'intrusion sur une cible particulière, parce que tout ceci demande énormément de travail et d'exploitation, je ne pense pas que sur les 50 000 abonnés tout le monde ait pu être écouté. »

Rappelant qu'il est courant, en matière de renseignement, d'essayer d'ouvrir des contre-feux, il estime que « tout est possible », et que le silence de l'Élysée est en conformité avec l'attente des résultats de l'enquête.

Interrogé par Le Point sur l'hypothèse que le Maroc aurait fait espionner le président français, Squarcini reste convaincu que le Royaume n’a aucun intérêt à mettre sur écoute le téléphone d’Emmanuel Macron. De même, il ne voit pas comment un service de renseignement institutionnel pourrait surveiller le Roi et la famille de son propre pays. « Ce listing confus de numéros, sorte d’inventaire à la Prévert, nous incite à faire preuve de la plus grande prudence en attendant les résultats des investigations judiciaires », conclut-il.

« Il y a encore bien plus grave que les bourricots ailés »

Dans une interview au Parisien, François Deruty, ancien directeur du service d’enquête de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et désormais directeur des opérations de l’entreprise de cybersécurité Sekoia, fait lui aussi montre de prudence :

« D’après mon expérience, être placé sur une liste de numéros de téléphone à cibler ne veut pas dire qu’on est victime et qu’on a été attaqué. Il y a beaucoup de faux positifs dans les compromissions. C’est comme lors des fuites de données massives qui font peur à tout à tout le monde alors que ce ne sont souvent que des compilations d’informations données volontairement par les gens. »

S'il ne s'est pas officiellement prononcé au sujet de Pegasus, Guillaume Poupard, actuel directeur général de l'ANSSI, a pour sa part ironisé sur LinkedIn sur ce qu'il a qualifié de « bourricots ailés et leurs avatars… 😩 », allusion à peine voilée au nom du logiciel espion de NSO.

À l'en croire, la « vaste campagne de compromissions touchant de nombreuses entités françaises » et usant d'un mode opératoire jusque-là attribué à une entité chinoise, que vient de découvrir l'Agence, serait « bien plus grave », même si bien moins médiatisée, que les révélations au sujet des « people » potentiellement ciblés par les clients de NSO.

Plusieurs experts ès-cyber s'interrogent

D'autres experts des affaires cyber ont eux aussi exprimé plusieurs réserves, notamment au sujet de ce que représenterait pour les clients de NSO cette « liste » des 50 000 numéros de « cibles potentielles », dont l'origine n'a pas été explicitée, mais dont l'interprétation qu'en font les membres du consortium semble varier.

Ils ne remettent pas en doute l'analyse technique d'Amnesty Tech, ni que Pegasus aurait été utilisé pour espionner des dizaines de défenseurs des droits de l'homme et de journalistes, notamment. Ils ne s'en interrogent pas moins sur les hypothèses, conclusions voire extrapolations faites autour de ces 50 000 numéros, qui relèveraient de « cibles potentielles » (comme le précisent soigneusement tous les partenaires du Projet Pegasus) plutôt que de cibles avérées, réellement espionnées (raccourci effectué par de nombreux médias non membres du consortium).

De nombreux médias ont ainsi titré que le téléphone d'Emmanuel Macron avait été « ciblé » par le logiciel espion, quand d'autres, plus prudents, se sont  contentés d'expliquer que son numéro figurait dans une liste de « cibles potentielles » présumées, mais dont l'objet et la source reste indéterminés, comme le rappelle la journaliste d'investigation Kim Zetter, qui enquête sur ces questions depuis plus de 20 ans.

Ex-responsable sécurité informatique du New York Times, Runa Sandvik tente de son côté d'aggréger tous les articles au sujet de cette affaire, mais également de répertorier les tentatives d'infection qui avaient été documentées par le Citizen Lab puis Amnesty Tech. Elle en a dénombré 365 depuis 2016, dont 85 tentatives, et 29 infections avérées. Cherchant à comprendre ce delta entre les 50 000 « cibles potentielles » et les quelques dizaines de victimes avérées, Sandvik a aussi comparé les présentations faites par plusieurs des partenaires du consortium, et découvert qu'ils ne semblent pas en avoir la même interprétation.

Le Washington Post et PBS Frontline en parlent en effet comme d'une « liste de numéros concentrés dans des pays connus pour surveiller leurs citoyens mais également pour avoir été clients de NSO Group ». Ce, quand bien même 6 000 des 10 000 numéros reliés au Maroc étaient algériens et 1 000 français, par exemple.

Amnesty évoque une « fuite de 50 000 numéros de téléphone de cibles potentielles de surveillance », mais Forbidden Stories une « fuite de plus de 50 000 numéros de téléphones que des clients de NSO avaient sélectionné pour les surveiller », et l'OCCRP une « liste de 50 000 numéros de téléphone qui auraient été choisis comme cibles du logiciel espion ».

I couldn't find anything that definitely says what this list is -- only speculation. And then there is NSO denying that it's an actual target list and saying that the journalists misinterpreted what the list is. Obviously it's imp that some on the list were indeed infected...

— Kim Zetter (@KimZetter) July 20, 2021

Le Monde la qualifie de « liste de numéros présélectionnés par des clients de NSO pour une éventuelle mise sous surveillance », évoquant par ailleurs « 50 000 numéros de téléphone potentiellement ciblés par Pegasus ». En réponse à un internaute lui demandant « pourquoi parle-t-on de liste de "cibles potentielles" ? », Martin Untersinger, l'un des journalistes du Monde ayant enquêté à ce sujet, explique avoir « travaillé à partir d'une liste » :

« Nous avons approché plusieurs dizaines de personnes, dans de nombreux pays, qui apparaissent sur ces listes. Dans la majorité des cas, leurs téléphones comportaient des traces de repérages, de tentatives d’infection, voire d’attaques couronnées de succès. C’est ainsi, notamment, que nous avons déterminé que cette liste comportait des numéros qui avaient intéressé les clients de Pegasus en vue d’une potentielle infection. »

Il précise en outre que « dans une grande majorité de cas, des traces techniques laissées par Pegasus y ont été trouvées, souvent quelques secondes après l’apparition sur la liste du numéro de téléphone correspondant », ce pourquoi « la présence d’un numéro dans notre liste de cibles potentielles signifie qu’un client de Pegasus s’y est intéressé et a peut-être envisagé de le pirater ».

À ceci près qu'une chose est d'avancer que 37 des 67 téléphones autopsiés (soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total) montreraient bien des signes de tentatives d'infection voire d'infections par Pegasus, une autre est d'extrapoler que les 50 000 autres numéros constitueraient eux aussi des « cibles potentielles » de clients de Pegasus. D'autant que le consortium n'est parvenu à identifier que 1 000 de leurs détenteurs et ignore donc tout des 49 000 autres.

En réponse à une demande de précision, un responsable israélien d'Amnesty International a de son côté tenu à préciser dans un communiqué que l'ONG « n'a jamais présenté cette liste comme "la liste du logiciel espion Pegasus de NSO", bien que certains des médias aient pu le faire. Amnesty [...] a très clairement expliqué dès le départ en langage très clair qu'il s'agit d'une liste de numéros marqués comme numéros d'intérêt pour les clients de NSO », expression qu'elle avait effectivement utilisée dans le tweet annonçant la publication.

La piste chypriote

La journaliste Kim Zetter relève que Shalev Hulio, patron de NSO, a expliqué qu'un courtier en informations l'avait contacté le mois dernier parce qu'un pirate aurait volé des informations sur des serveurs de NSO à Chypre :

« Il a dit qu'il y avait une liste qui circulait sur le marché et que celui qui la détenait a dit que les serveurs NSO à Chypre ont été piratés et qu'il y a une liste de cibles là-bas et que nous devons être prudents. Nous l'avons examiné, nous n'avons pas de serveurs à Chypre, pas plus que ce type de listes, et le nombre [50 000] n'a aucun sens, donc cela n'a rien à voir avec nous. »

Elle souligne qu'en 2014, NSO avait fusionné avec une entreprise de surveillance par géolocalisation enregistrée à Chypre, Circles Technologies, que NSO avait fermée mi 2020 en licenciant tous ses employés, et ce, alors que la liste des 50 000 numéros de téléphone couvrirait de son côté une période allant « de fin 2017 à fin 2019 ».

« Si vous prenez toute l'histoire de NSO, vous n'atteindrez pas les 50 000 objectifs de Pegasus depuis la création de la société », se défend par ailleurs Hulio :

« Pegasus compte 45 clients, avec environ 100 cibles par client et par an. De plus, cette liste comprend des pays qui ne sont même pas nos clients et NSO n'a même pas de liste qui inclut toutes les cibles Pegasus - simplement parce que l'entreprise elle-même ne sait pas en temps réel comment ses clients utilisent le système. »

Des propos qui ont fait tiquer John Scott-Railton, du Citizen Lab, rappelant que WhatsApp avait enregistré « une attaque contre 1 400 de ses utilisateurs sur une période de deux semaines en 2019 », dont environ 100 journalistes, défenseurs des droits de l'homme et militants. Will Cathcart, directeur de WhatsApp, vient en outre de révéler qu'y figuraient également de hauts responsables gouvernementaux du monde entier – y compris des personnes occupant des postes de haute sécurité nationale « alliées des États-Unis ». 

Hulio n'en déplore pas moins « un manque fou d'informations : ils disent que la liste a fuité, je ne demande pas qui l'a fait fuité, mais d'où sort-elle ? À qui appartient-elle ? Qui la détenait ? Pourquoi n'avons-nous pas cette information ? C'est absurde ». Deux clients auraient également été contactés par un ou des courtiers, et NSO aurait même reçu des captures d'écran de la liste, mais « cela ne ressemblait pas au système Pegasus », plaide-t-il.

Après les avoir examinées avec ses clients, il en serait arrivé à la conclusion qu'« il s'agit d'une liste conçue sans rapport avec nous », mais émanant probablement d'un serveur de recherche HLR (pour Home Location Register, ou enregistreur de localisation géographique des abonnés, un élément des réseaux cellulaires de téléphonie mobile GSM ou EDGE).

Circles avait précisément créé un opérateur de téléphonie mobile de sorte de disposer d'un HLR, base de données comportant les informations relatives à tout abonné autorisé à utiliser un réseau et notamment sa localisation aproximative dans le réseau.

Cathal McDaid, CTO d'AdaptiveMobile, une entreprise spécialisée dans la sécurité et les renseignements sur les menaces pour les réseaux de téléphonie mobile, explique que « les recherches HLR permettraient à NSO de déterminer si l'appareil était actuellement actif/enregistré - et donc disponible pour une infection par SMS ou par une autre méthode à ce moment ou à un moment ultérieur » :

« La recherche HLR est un terme assez large. En fonctionnement normal, il fait référence aux commandes du réseau de signalisation SS7 telles que les paquets SRI-SM envoyés à un enregistreur de localisation nominal (HLR) d'un opérateur mobile, pour voir si un numéro de mobile spécifique (MSISDN) est enregistré et quel emplacement approximatif (réseau nœud) dans lequel le téléphone est enregistré. Ceci est normalement fait pour la livraison de SMS à ce MSISDN. Mais il peut aussi être le point de départ de nombreuses attaques liées à la signalisation. »

Cela pourrait expliquer pourquoi la liste concernerait des « personnes d'intérêt » ou « cibles potentielles », et non des cibles avérées, à mesure qu'« une recherche HLR est également la première partie de la livraison d'un SMS, qui pourrait être utilisé pour envoyer plus tard un SMS avec le lien vers le malware Pegasus. »

Une source ayant « une connaissance directe des systèmes de NSO » a de son côté déclaré au consortium que les recherches HLR avaient été intégrées dans le système Pegasus après la fusion de NSO et de Circles, relève Kim Zetter. Les recherches HLR pourraient également servir à vérifier si un téléphone est allumé ou basé dans un pays qui autorise le ciblage de Pegasus.

NSO interdit en effet « techniquement » à ses clients de pouvoir cibler des numéros de téléphone américains, russes et chinois, mais également toute tentative d'infection de n'importe quel téléphone dès lors qu'il se trouve aux États-Unis, explique le Washington Post.

Le journal révèle ainsi qu'une réfugiée rwandaise vivant en Belgique a vu son téléphone belge infecté par Pegasus, mais pas son numéro enregistré aux États-Unis. De plus, une attaque visant son téléphone belge avait été bloquée alors qu'elle se trouvait à Boston, aux États-Unis.

Pour Kim Zetter, il peut s'agir de recherches HLR effectuées sur des serveurs contrôlés par NSO, ou via des services tiers par des clients de NSO, voire décorrélés de NSO : « il reste encore beaucoup de questions sans réponse sur la base de données qui a servi de base aux histoires du projet Pegasus. Et on ne sait pas si les réponses à ces questions viendront de si tôt. »

« Trop c'est trop ! »

En réponse aux questions détaillées du consortium d'enquête, NSO a de son coté déclaré qu'elle «surveille la façon dont son logiciel espion est utilisé et annule l'accès au système pour tout client qui en abuse », notant que ce sont les clients, et non l'entreprise elle-même, qui « sont responsables de son utilisation ».

« NSO Group continuera d'enquêter sur toutes les allégations crédibles d'abus et de prendre les mesures appropriées en fonction des résultats de ces enquêtes », indique le communiqué. Dans un autre, publié suite aux révélations concernant les chefs d'État potentiellement ciblés, la firme israélienne a également déclaré qu’elle peut « confirmer qu'au moins trois noms [cités dans l’enquête] ne sont pas, et n'ont jamais été, des cibles ou sélectionnés comme cibles des clients du Groupe NSO ».

Il s’agit d'Emmanuel Macron, du roi Mohammed VI et de Tedros Ghebreyesus, directeur général de l’OMS. De plus, « tous les fonctionnaires ou diplomates français et belges mentionnés dans la liste ne sont pas et n'ont jamais été des cibles de Pegasus », a ajouté la société.

Interrogé à ce sujet par Calcalist, le patron de NSO explique que « le client doit coopérer et nous permettre de mener une recherche. Il ne peut pas mentir car c'est une analyse technique que nous menons dans ses systèmes. Nous avons vérifié tous les numéros qui nous ont été envoyés et nous examinerons chaque numéro que nous recevons. Jusqu'à présent, tous les numéros qui nous ont été donnés n'avaient rien à voir avec Pegasus. »

Il reconnaît cela dit que, par le passé, certains journalistes avaient pu être espionnés : « Nous avons changé notre politique des droits de l'homme en 2020 et sommes entrés dans la norme de l'ONU. Ce sont des données de 2017 et 2018 et nous avons depuis déconnecté cinq systèmes. Nous vérifierons tout, et s'il y a un client existant qui cible un journaliste, il ne sera plus client. » 

Un rapport de 32 pages sur la transparence et la responsabilité de NSO Group, publié en juin 2021, moins de trois semaines avant les dernières révélations, explique que la société compte 60 clients dans 40 pays et promet que « [Pegasus] n'est pas une technologie de surveillance de masse et ne collecte des données qu'à partir des appareils mobiles d'individus spécifiques, soupçonnés d'être impliqués dans des crimes graves et terroristes ».

La société ajoute disposer d'une liste de plus de 55 pays auxquels elle ne vendra pas en raison de leurs antécédents en matière de droits de l'homme, avoir révoqué l'accès à cinq clients depuis 2016 après des enquêtes sur des abus, et résilié des contrats avec cinq autres qui ne respectaient pas les normes des droits de l'homme, ce qui lui aurait fait perdre plus de 100 millions de dollars de revenus.

Depuis sa création, NSO Group aurait au total rejeté plus de 300 millions de dollars de contrats parce que les acheteurs potentiels n'avaient pas adhéré aux normes internationales en matière de protection des droits de l'homme. De plus, et de mai 2020 à avril 2021, « environ 15 % des nouvelles possibilités pour Pegasus ont été rejetées du fait de préoccupations relatives aux droits de l'homme qui ne pouvaient pas être résolues ». 

Dans un troisième communiqué, intitulé « Trop c'est trop ! », NSO « annonce qu'il ne répondra plus aux demandes des médias sur cette question et ne jouera pas avec la campagne vicieuse et calomnieuse » (elle n'a, de fait, pas répondu à nos questions) : 

« La liste n'est pas une liste de cibles ou de cibles potentielles de Pegasus.

Les numéros de la liste ne sont pas liés au groupe NSO.

Toute affirmation selon laquelle un nom dans la liste est nécessairement lié à une cible Pegasus ou à une cible potentielle Pegasus est erronée et fausse. »

Des téléphones fixes et américains

Un détail nous a cependant intrigué. L'une des journalistes membres du consortium a en effet expliqué (à 10'35) au micro de France Culture que « pour certains numéros correspondant à des noms, il y a des choses qui peuvent paraître étranges » :

« Dans la liste des personnes ciblées par le renseignement marocain, c'est un peu un inventaire à la Prévert, vous trouvez de tout, on voit que c'est fait de manière assez industrielle, ils rentrent même des lignes de téléphone fixe, il y a un certain amateurisme derrière alors que ça ne marche évidemment pas avec les téléphones fixes. Il y a des médecins, des syndicalistes policiers français, des journalistes pour qui c'est évident, pour d'autres c'est beaucoup moins... »

De fait, trois articles au moins s'étonnent que des numéros de téléphone fixe – et même américains – figureraient aussi dans la liste, alors même que Pegasus n'a vocation qu'à cibler des téléphones portables, et que le logiciel est configuré pour interdire son installation sur des téléphones américains, russes et chinois.

Évoquant le fait que « les numéros de très nombreux journalistes français du Monde, de France Télévisions et notamment de France 24 sont apparus sur une liste de cibles potentielles, alors même que certains de nos confrères n’avaient jamais traités de sujets liés au Maroc », la cellule d'investigation de Radio France précise : 

« Dans une apparente frénésie, les autorités marocaines ont même sélectionné des numéros de téléphone fixe de journalistes de Radio France, alors que la technologie Pegasus ne fonctionne que sur les smartphones. »

Au détour d'un article consacré aux soupçons de tentative d'espionnage du patron du PSG, Le Monde relève qu'en sus de deux de ses numéros de téléphone portable, aurait également été ciblé « un numéro de téléphone fixe attribué au directeur de la communication du club parisien, Jean-Martial Ribes ».

Le Guardian note pour sa part qu'« il y a un très petit nombre de lignes fixes et de numéros américains dans la liste, qui, selon NSO, sont "techniquement impossibles" à accéder avec ses outils – ce qui révèle que certaines cibles ont été sélectionnées par les clients de NSO même s'ils ne pouvaient pas être infectés par Pegasus. »

Le Washington Post relève pour sa part que la liste n'en comprenait pas moins « les numéros de téléphone à l'étranger d'une douzaine d'Américains, dont des journalistes, des travailleurs humanitaires, des diplomates », ainsi que « le numéro de téléphone portable de la région de Washington du principal négociateur iranien de l'administration Biden, Robert Malley, tout comme ceux de plusieurs diplomates des Nations Unies basés aux États-Unis et d'expatriés rwandais opposés au gouvernement du président Paul Kagame. »

« On ne sait pas pourquoi les numéros américains qui, selon NSO, ne seraient pas piratables avec son système, figuraient sur la liste », précise le Post. Pour autant, aucun article du consortium ne semble avoir interrogé cette incongruité, ni le fait que la liste des 50 000 numéros pourrait dès lors correspondre à autre chose que des « cibles potentielles ». 

Vu le prix de Pegasus, on peine à imaginer que ses utilisateurs aient pu entrer dans la liste des « cibles potentielles » des numéros de téléphone fixe ou américains, a fortiori qu'ils auraient voulu pouvoir infecter 50 000 numéros. La liste pourrait bien, a contrario, correspondre à celle de numéros passés à la moulinette d'un HLR, dont la consultation coûte peu cher, d'autant que c'était l'une des prestations de Circles, l'ex-filiale chypriote de NSO.

Quid du « contact chaining » ?

L'Organized crime and corruption reporting project (OCCRP), l'un des membres du consortium, dont la FAQ semble être la plus transparente et complète quant au Projet Pegasus, précise à ce titre que l'enquête collaborative n'a pas permis de savoir combien de numéros de téléphone auraient réellement été espionnés, ni combien en auraient été empêchés ou auraient failli à y parvenir, faute de pouvoir percer les mécanismes de sécurité des iPhone et Android ciblés. « Il y a encore beaucoup de choses que nous ne pouvons pas prouver sur la liste » :

« Comment elle a été compilée, qui l'a compilée ou comment elle a été utilisée. Ce n'est pas nécessairement parce qu'un numéro a été inclus qu'il a été compromis. La liste peut inclure les numéros de téléphone où une tentative d'infection a échoué, ou où aucune tentative n'a été faite. »

Étrangement, ni l'OCCRP ni aucun des membres du consortium ne semble avoir émis l'hypothèse que cette liste pourrait aussi correspondre à des numéros liés ou ayant été en contact avec des personnes réellement ciblées, comme c'est généralement le cas dans les enquêtes reposant en tout ou partie sur la téléphonie (voir notre article sur le livre qu'Haurus, ancien policier de la DGSI, a consacré à ces techniques).

Le « contact chaining », consistant à analyser le « graph social » des personnes en relation avec une cible est en effet l'une des principales fonctionnalités des logiciels de criminalistique téléphonique, et le b.a.-ba des enquêtes tant policières que de renseignement. 

Ces 50 000 numéros pourraient dès lors constituer des « numéros d'intérêt pour les clients de NSO », pour reprendre l'expression initiale d'Amesty Tech, sans pour autant constituer des « cibles potentielles ». Certains auraient certes pu l'être, mais de là à laisser entendre que tous l'auraient été...

Le fait de ne pas le mentionner (ne serait-ce que pour expliquer pourquoi cette piste aurait été exclue), pour ne privilégier que la seule hypothèse, conclusion ou extrapolation qu'il s'agirait de numéros « sélectionnés comme cibles » est, à ce titre, étonnant, d'autant que 49 000 détenteurs de ces 50 000 numéros n'ont pu être identifiés.

Contactés à ce sujet, ni Amnesty ni Forbidden Stories, pas plus que plusieurs des journalistes membres du consortium que nous avons également interrogés, non plus que NSO, n'ont répondu à nos questions. Elles visaient notamment à comprendre pourquoi la piste du « contact chaining » n'a jamais été publiquement évoquée, mais également à savoir combien de numéros de téléphone fixes et/ou américains figurent dans la liste des « cibles potentielles ».