Le mirage du logiciel espion « éthique » : pourquoi Paragon ignore les procureurs italiens

Bien avant qu'un journaliste ne reçoive une notification d'Apple ou de WhatsApp l'avertissant d'une attaque parrainée par un État, un accord est conclu dans un bureau feutré. Ces transactions — valant des millions — s'échangent dans la monnaie de nos vies numériques. Mais alors que les arguments de vente sont peaufinés et que les brochures marketing promettent « sécurité et éthique », la réalité de l'industrie des logiciels espions ressemble souvent à un tour de passe-passe.

Depuis plus d'un an, les procureurs italiens traquent un fantôme nommé Paragon Solutions. Cette société israélo-américaine, autrefois présentée comme l'alternative « intègre » au groupe NSO entaché par les scandales, serait devenue silencieuse. Malgré des mises en scène publiques antérieures où l'entreprise affirmait vouloir aider à enquêter sur les allégations de piratage, Paragon n'a pas répondu aux demandes judiciaires formelles d'information. En tant que journaliste qui passe mes journées à communiquer via des tunnels chiffrés et à vérifier du code, ce modèle de « responsabilité jusqu'à ce que cela compte vraiment » est un scénario que j'ai vu se jouer bien trop souvent.

Un coup à la porte à minuit à Milan

Le scandale n'a pas commencé par un coup à la porte physique, mais numérique. Fin 2023, WhatsApp et Apple ont envoyé des notifications à un groupe de journalistes et d'activistes italiens. Le message était glaçant : leurs appareils avaient été ciblés par un logiciel espion de qualité gouvernementale. Parmi les cibles figuraient Francesco Cancellato et Ciro Pellegrino, journalistes du site d'information Fanpage, ainsi que des membres de Mediterranea Saving Humans, une organisation à but non lucratif dédiée au sauvetage des migrants.

L'analyse forensique de WhatsApp a pointé directement vers « Graphite », un outil de surveillance sophistiqué développé par Paragon Solutions. Dans le monde de l'espionnage numérique, Graphite est un passe-partout numérique. Il ne se contente pas de surveiller ce que vous faites ; il siphonne les données du cloud, contournant de nombreuses mesures de sécurité traditionnelles sur lesquelles les utilisateurs comptent pour préserver la confidentialité de leurs conversations privées.

Lorsque la nouvelle a éclaté, le public italien a été légitimement indigné. Les parquets de Milan et de Rome ont ouvert des enquêtes. Au début, Paragon a adopté une position audacieuse, presque provocatrice. Ils ont publiquement interpellé le gouvernement italien, affirmant avoir proposé leur aide pour enquêter si un journaliste était piraté, mais avoir été éconduits. Dans un geste de théâtre d'entreprise à enjeux élevés, Paragon a même annoncé qu'elle annulait ses contrats avec les agences de renseignement intérieure et extérieure de l'Italie, l'AISI et l'AISE. Ils voulaient que le monde croie qu'ils étaient trop éthiques pour travailler avec un gouvernement qui ne respectait pas les règles.

Le silence du hacker « éthique »

Avance rapide jusqu'à aujourd'hui, en avril 2026, et cette position de principe ressemble davantage à un accessoire de scène. Les procureurs italiens, cherchant à comprendre comment et pourquoi Graphite a été utilisé contre des civils, ont envoyé des demandes formelles d'information à Paragon via le gouvernement israélien. Un an plus tard, le silence est assourdissant. Pas de données, pas de journaux, pas de coopération.

Ce manque de transparence est un problème systémique dans le secteur du renseignement privé. Du point de vue de la conformité, ces entreprises se cachent souvent derrière la « souveraineté » de leurs nations hôtes. Dans ce cas, le gouvernement israélien — qui doit approuver les licences d'exportation pour ces outils — semble être le goulot d'étranglement. Nous avons déjà vu ce scénario. La Haute Cour d'Espagne a été contrainte de classer son enquête sur le ciblage de politiciens espagnols avec le logiciel espion Pegasus de NSO parce que les autorités israéliennes ont simplement refusé de coopérer.

Dans le monde juridique, nous parlons souvent d'« extraterritorialité » — l'idée qu'un pays peut exercer son autorité au-delà de ses frontières. Mais en ce qui concerne l'industrie des logiciels espions, les frontières sont faites de verre épais et opaque. Vous pouvez voir les dégâts de l'autre côté, mais vous ne pouvez pas atteindre la personne qui tient le marteau.

Le paradoxe américain

Ce qui rend le cas Paragon particulièrement nuancé, ce sont les liens profonds de l'entreprise avec les États-Unis. Alors que le groupe NSO a été mis sur liste noire par le département du Commerce des États-Unis, Paragon a réussi à garder les mains propres à Washington. En fait, l'entreprise maintient un contrat actif avec l'U.S. Immigration and Customs Enforcement (ICE).

L'ICE a déclaré aux législateurs que sa branche chargée de l'application de la loi, Homeland Security Investigations (HSI), utilise Graphite pour traquer les trafiquants de drogue et les terroristes. Cela crée un contraste saisissant : le même outil utilisé pour expulser des milliers de personnes aux États-Unis fait l'objet d'une enquête pour avoir ciblé des défenseurs des droits de l'homme et des journalistes en Europe.

C'est le paradoxe du marché des technologies à double usage. Un outil vendu comme une arme contre « les méchants » est presque inévitablement utilisé pour faire taire « les gêneurs ». Lorsqu'une entreprise prétend avoir un « comité d'éthique » ou un « filtrage rigoureux », nous devrions être sceptiques. Sans normes internationales contraignantes, transparentes et exécutoires, l'« éthique » n'est qu'une façon pour un département marketing de dire « faites-nous confiance ».

La vie privée comme droit fondamental, pas comme option

La Première ministre italienne, Giorgia Meloni, a systématiquement nié que son gouvernement était derrière le piratage des journalistes de Fanpage. Pourtant, une enquête forensique menée par les procureurs a récemment confirmé que le téléphone de Cancellato avait bien été compromis. Si le gouvernement ne l'a pas fait, et que l'entreprise qui a fabriqué l'outil ne veut pas dire qui l'a fait, nous nous retrouvons dans un dangereux vide de responsabilité.

Pour les victimes, il ne s'agit pas d'un débat abstrait sur la cyberpolitique. Pour les activistes de Mediterranea Saving Humans, il s'agit de la sécurité de leurs opérations et de la vie des personnes qu'ils tentent de sauver. Lorsque des logiciels espions sont utilisés contre des ONG, cela transforme leurs empreintes numériques en une piste de miettes de pain pour ceux qui voudraient leur nuire.

En fin de compte, la saga Paragon prouve que nous ne pouvons pas compter sur les « bonnes intentions » des fabricants de technologies de surveillance. La conformité ne devrait pas être un choix ; elle devrait être une condition préalable à l'existence sur le marché. Lorsqu'une entreprise ignore une demande judiciaire d'un allié démocratique, elle ne devrait pas être autorisée à garder son siège à la table du commerce international.

Protéger votre périmètre numérique

En attendant que le paysage réglementaire rattrape la réalité de l'espionnage numérique, il existe des mesures concrètes que les individus — en particulier ceux exerçant des professions à haut risque — peuvent prendre pour minimiser leur vulnérabilité. Considérez votre hygiène numérique non pas comme une corvée, mais comme une armure.

• Verrouillez votre Cloud : Les logiciels espions comme Graphite ciblent souvent les sauvegardes cloud. Si vous n'avez pas besoin que vos messages soient sauvegardés dans le cloud, désactivez cette fonctionnalité. Utilisez des services chiffrés de bout en bout qui ne stockent pas de métadonnées sur leurs serveurs.
• Verrouillez la porte avec du matériel : Pour les comptes qui le permettent, utilisez des clés de sécurité physiques (comme les Yubikeys) pour l'authentification à deux facteurs. Cela rend beaucoup plus difficile pour un attaquant de détourner vos comptes, même s'il possède votre mot de passe.
• Le pouvoir du redémarrage : De nombreuses souches de logiciels espions modernes sont « non persistantes », ce qui signifie qu'elles vivent dans la mémoire temporaire du téléphone et sont effacées lors du redémarrage de l'appareil. Prendre l'habitude de redémarrer quotidiennement peut être un moyen de dissuasion simple mais efficace.
• Auditez vos permissions : Examinez périodiquement quelles applications ont accès à votre microphone, votre caméra et votre localisation. Si une application n'a pas besoin d'une permission pour fonctionner, révoquez-la. La minimisation numérique est votre meilleure défense.

Nous n'obtiendrons peut-être jamais de réponse claire de la part de Paragon, mais nous pouvons rendre les « Graphite » de ce monde beaucoup moins efficaces en étant proactifs concernant nos propres droits numériques.

Sources :

• Règlement général sur la protection des données (RGPD) : Article 5 (Principes relatifs au traitement des données à caractère personnel) et Article 32 (Sécurité du traitement).
• Cour européenne des droits de l'homme : Affaire Szabó et Vissy c. Hongrie (concernant la nécessité d'une surveillance dans la surveillance).
• Code de procédure pénale italien : Articles concernant les commissions rogatoires internationales et la coopération judiciaire.
• Wired Italy : Reportage d'investigation sur le scandale italien Paragon/Graphite.
• Citizen Lab : Analyse technique des déploiements du logiciel espion Graphite.

Avertissement : Cet article est destiné à des fins d'information et de journalisme uniquement et ne constitue pas un avis juridique formel. Les lois sur la protection de la vie privée varient considérablement selon les juridictions, et vous devriez consulter un professionnel du droit qualifié pour les questions spécifiques de conformité ou de droits numériques.