L'Arabie saoudite condamnée à une amende de 3 millions de livres sterling pour l'utilisation du logiciel espion Pegasus contre des dissidents à l'étranger

Un jugement historique contre la surveillance parrainée par l'État

En janvier 2026, un tribunal britannique a accordé 3 millions de livres sterling de dommages et intérêts à l'activiste saoudien et youtubeur politique Ghanem Al-Masarir, après avoir jugé le Royaume d'Arabie saoudite responsable du déploiement d'un logiciel espion sophistiqué à son encontre. Ce jugement représente l'une des victoires juridiques les plus significatives contre la surveillance numérique parrainée par l'État ciblant des dissidents vivant à l'étranger.

Al-Masarir, qui est un critique virulent du gouvernement saoudien depuis sa base au Royaume-Uni, a réussi à démontrer que les agents du renseignement saoudien ont utilisé le célèbre logiciel espion Pegasus du Groupe NSO pour infiltrer son appareil mobile. Le tribunal a estimé que cette intrusion numérique faisait partie d'un schéma de harcèlement plus large comprenant une agression physique par des agents saoudiens.

L'indemnité de 3 millions de livres sterling comprend la compensation pour le préjudice psychologique, les coûts associés et la perte de revenus résultant de la campagne de surveillance et des tactiques d'intimidation connexes.

Comment l'opérateur KINGDOM a ciblé les dissidents

Selon les preuves présentées au tribunal, l'Arabie saoudite exploitait un client Pegasus identifié sous le nom de KINGDOM, spécifiquement chargé de surveiller les critiques et les figures de l'opposition au-delà de ses frontières. Cet opérateur envoyait des messages malveillants contenant des liens conçus pour exploiter les vulnérabilités des systèmes d'exploitation mobiles.

Lorsque Al-Masarir a reçu ces messages et a interagi avec les liens intégrés, son appareil a été infecté par le logiciel espion Pegasus. Une fois installé, ce logiciel malveillant sophistiqué a accordé aux attaquants un accès complet à sa vie numérique : messages, e-mails, photos, données de localisation, et même la capacité d'activer le microphone et la caméra à distance à son insu.

Pegasus fonctionne via ce que les chercheurs en sécurité appellent des exploits « zero-click » (sans clic) et « one-click » (un clic). Les attaques zero-click ne nécessitent aucune interaction de l'utilisateur, tandis que les variantes one-click exigent que la cible appuie sur un lien ou ouvre un fichier. L'opérateur KINGDOM semble avoir employé des méthodes one-click, envoyant des messages élaborés avec des URL malveillantes à Al-Masarir et à d'autres cibles.

Ce type de surveillance va bien au-delà du simple espionnage. Il transforme effectivement un appareil personnel en une station d'écoute portable, capturant des conversations privées, suivant les mouvements en temps réel et récoltant des détails intimes sur les relations, les affaires commerciales et les routines quotidiennes.

Le rôle controversé du Groupe NSO

Le Groupe NSO, la société israélienne derrière Pegasus, soutient depuis longtemps qu'elle vend sa technologie exclusivement aux agences de renseignement et de maintien de l'ordre des gouvernements à des fins légitimes, telles que la lutte contre le terrorisme et la criminalité grave. La société prétend mettre en œuvre des processus de vérification stricts et des garanties contractuelles pour prévenir les abus.

Cependant, de nombreuses enquêtes menées par des chercheurs en cybersécurité, des journalistes et des organisations de défense des droits de l'homme ont documenté une utilisation abusive généralisée de Pegasus. Les listes de cibles comprenaient des journalistes, des défenseurs des droits de l'homme, des figures de l'opposition politique, des avocats et même des chefs d'État.

Les révélations sur les activités de KINGDOM s'ajoutent à un ensemble croissant de preuves suggérant que les garanties déclarées par le Groupe NSO se sont révélées inadéquates. Plusieurs gouvernements auraient utilisé Pegasus non pas à des fins de sécurité légitimes, mais pour la répression politique et la surveillance transnationale des dissidents.

Le Groupe NSO fait face à une pression juridique et commerciale croissante. L'entreprise a été placée sur une liste noire commerciale américaine en 2021, et Apple a engagé des poursuites judiciaires contre elle pour avoir ciblé les utilisateurs d'iPhone. Plusieurs pays ont lancé des enquêtes sur les déploiements de Pegasus sur leur sol.

Le modèle plus large de répression transnationale

Le cas d'Al-Masarir illustre un phénomène inquiétant que les experts en sécurité appellent la répression transnationale : des gouvernements autoritaires franchissant les frontières pour faire taire, intimider ou nuire aux dissidents et critiques vivant dans des pays démocratiques.

Les outils de surveillance numérique comme Pegasus sont devenus des facilitateurs clés de ces campagnes. Ils permettent aux gouvernements de maintenir un renseignement détaillé sur les communautés de la diaspora sans les complications et les risques diplomatiques liés au déploiement d'agents physiques. Les informations recueillies via les logiciels espions peuvent ensuite alimenter des tactiques de harcèlement plus traditionnelles, notamment des menaces contre les membres de la famille restés au pays, des campagnes de dénigrement ou même de la violence physique.

Le tribunal a entendu des preuves selon lesquelles des agents saoudiens ont physiquement agressé Al-Masarir, suggérant que la surveillance numérique faisait partie d'une stratégie d'intimidation intégrée. Cela reflète les schémas observés chez d'autres critiques saoudiens de premier plan, notamment le journaliste Jamal Khashoggi, assassiné au consulat saoudien à Istanbul en 2018.

Freedom House, une organisation de défense de la démocratie et des droits de l'homme, a documenté des centaines de cas de répression transnationale dans des dizaines de pays. L'Arabie saoudite apparaît régulièrement dans ces rapports, aux côtés de pays comme la Chine, la Russie, l'Iran et le Rwanda.

Implications juridiques et techniques

Le jugement de 3 millions de livres sterling contre l'Arabie saoudite pourrait établir des précédents importants pour tenir les gouvernements responsables des violations des droits numériques commises de manière extraterritoriale. Cependant, l'exécution reste difficile. Les doctrines d'immunité des États protègent souvent les gouvernements contre les poursuites devant les tribunaux étrangers, bien que des exceptions existent pour certaines catégories de dommages.

D'un point de vue technique, l'affaire souligne le besoin urgent d'une sécurité robuste pour les appareils mobiles. Apple et Google ont mis en œuvre diverses protections contre les logiciels espions, notamment des mises à jour de sécurité qui corrigent les vulnérabilités exploitées et de nouvelles fonctionnalités du système d'exploitation conçues pour détecter les activités suspectes.

Les chercheurs en sécurité recommandent plusieurs étapes pratiques pour les personnes à risque élevé :

Redémarrages réguliers de l'appareil : De nombreuses infections Pegasus ne peuvent pas persister après un redémarrage, nécessitant une réinfection. Redémarrer quotidiennement peut perturber la surveillance.

Mode Isolement (Lockdown Mode) : L'iOS 16 d'Apple et les versions ultérieures incluent le mode Isolement, qui désactive de nombreux vecteurs d'attaque utilisés par les logiciels espions sophistiqués. Android propose des options de renforcement similaires.

Mettre à jour rapidement : Les correctifs de sécurité traitent souvent les vulnérabilités exploitées par les logiciels espions. Installer les mises à jour dans les jours suivant leur sortie réduit considérablement les fenêtres d'exposition.

Appareils séparés : Les personnes à haut risque devraient envisager de maintenir des appareils distincts pour les communications sensibles, en utilisant des applications de messagerie cryptées sur un téléphone dédié gardé hors ligne sauf en cas de besoin.

Expertise médico-légale professionnelle : Des organisations comme Amnesty International et Citizen Lab proposent des services de détection de logiciels espions pour les activistes et journalistes à risque.

Ce que cela signifie pour les droits numériques

Le jugement Al-Masarir intervient dans un contexte d'attention internationale croissante portée à l'industrie des logiciels espions mercenaires. Le Parlement européen a mis en place une commission d'enquête pour examiner l'utilisation de Pegasus au sein des États membres de l'UE. Les États-Unis ont pris des mesures diplomatiques, notamment des restrictions de visa pour les personnes impliquées dans l'utilisation abusive de logiciels espions commerciaux.

Plusieurs pays envisagent ou ont adopté des lois pour restreindre le commerce des logiciels espions. Cependant, l'industrie opère dans une zone grise réglementaire, les entreprises étant souvent enregistrées dans des juridictions à faible surveillance tout en menant des opérations à l'échelle mondiale.

Les organisations de défense des droits de l'homme plaident pour un moratoire mondial sur la vente et le transfert de technologies de surveillance jusqu'à ce que des garanties internationales robustes puissent être établies. Elles citent des cas comme celui d'Al-Masarir comme preuve que les contrôles à l'exportation et les programmes de conformité d'entreprise actuels ont échoué à prévenir les abus systématiques.

Le marché des logiciels espions commerciaux reste lucratif, avec des estimations suggérant qu'il génère des milliards de dollars par an. Au-delà du Groupe NSO, de nombreux concurrents proposent des capacités similaires, y compris des entreprises basées en Europe, en Amérique du Nord et ailleurs. Certaines opèrent plus discrètement, évitant l'examen public qui a englouti le Groupe NSO.

Conseils pratiques pour les activistes et les journalistes

Si vous travaillez en tant qu'activiste, journaliste, ou dans toute fonction susceptible de faire de vous une cible pour la surveillance étatique :

Supposez un compromis : Travaillez en partant du principe que vos appareils principaux peuvent être surveillés. Utilisez cette hypothèse pour guider votre posture de sécurité.

Compartimentez : Séparez votre travail le plus sensible de vos communications quotidiennes. Utilisez différents appareils, comptes et réseaux pour différents niveaux de risque.

Développez un soutien communautaire : Connectez-vous avec des formateurs en sécurité numérique et des organisations spécialisées dans la protection des personnes à haut risque. Des ressources comme l'Electronic Frontier Foundation, Access Now et Front Line Defenders offrent des conseils.

Documentez les incidents : Tenez des registres détaillés des messages suspects, des comportements inhabituels de l'appareil ou du harcèlement physique. Cette documentation peut s'avérer cruciale lors de procédures judiciaires.

Demandez des conseils juridiques : Comprenez vos droits dans votre pays de résidence et explorez si des options juridiques existent pour tenir les auteurs responsables.

Priorisez la santé mentale : Être ciblé par une surveillance sophistiquée cause un préjudice psychologique légitime, comme le tribunal l'a reconnu dans l'affaire Al-Masarir. Cherchez un soutien approprié.

Les 3 millions de livres sterling de dommages et intérêts accordés à Ghanem Al-Masarir représentent plus qu'une compensation financière. Ils reconnaissent la violation profonde que les logiciels espions parrainés par l'État infligent aux individus et signalent que les tribunaux des pays démocratiques peuvent tenir les gouvernements autoritaires responsables des violations des droits numériques, même lorsque ces gouvernements opèrent à des milliers de kilomètres.

Sources

• Amnesty International Security Lab - Pegasus Project investigations and technical analyses
• Citizen Lab, University of Toronto - Research publications on NSO Group and Pegasus spyware
• Freedom House - "Out of Sight, Not Out of Reach" report series on transnational repression
• Electronic Frontier Foundation - Documentation of commercial spyware cases
• Apple Security Research - Technical details on spyware exploits and protections
• The Guardian, The Washington Post, BBC News - Reporting on Saudi surveillance campaigns and NSO Group
• European Parliament Committee of Inquiry on Pegasus - Official proceedings and findings