Controverse sur l’enquête du Parlement européen relative aux logiciels espions en Espagne
Une audition parlementaire sur l'implication de l'Espagne dans le scandale du logiciel espion Pegasus, programmée mardi, a suscité la controverse après que des accusations contre deux intervenants ont conduit à ce que l'un d'entre eux soit désinvité du panel.
Une audition parlementaire sur l’implication de l’Espagne dans le scandale du logiciel espion Pegasus, programmée mardi (29 novembre), a suscité la controverse après que des accusations contre deux intervenants ont conduit à ce que l’un d’entre eux soit désinvité du panel.
À la suite de la divulgation du contenu de l’audition, une lettre a été envoyée aux législateurs de la commission chargée de l’affaire Pegasus au Parlement européen (PEGA) par les victimes de Pegasus, à des experts et à des acteurs de la société civile, notamment Access Now, ARTICLE19 et Digital Rights Foundation.
La lettre fait part de préoccupations concernant deux intervenants invités à participer à l’audition. Celle-ci portera sur les allégations selon lesquelles le gouvernement espagnol aurait utilisé des logiciels espions pour surveiller des personnalités liées au mouvement indépendantiste catalan.
Les signataires affirment que deux des intervenants de l’audition, Jose Javier Olivas, politologue à l’Universidad Nacional de Educación a Distancia (Espagne), et Gregorio Martin, professeur émérite d’informatique à l’université de Valence, sont tous deux liés à des recherches discréditées sur le scandale Pegasus ainsi qu’à des allégations diffamatoires concernant des chercheurs et des victimes.
Selon la lettre, M. Olivas s’est « engagé dans une campagne visant à discréditer le travail d’organisations spécialisées », notamment Amnesty International et le Citizen Lab, qui ont tous deux contribué à révéler le scandale Pegasus l’année dernière.
« Il semble que les actions de ces personnes s’inscrivent dans une campagne de désinformation plus large visant à discréditer le travail d’organisations de confiance contre les logiciels espions et à détourner le comité de sa mission d’enquête », ont écrit les auteurs de la lettre, demandant que leurs invitations soient reconsidérées.
À la suite de la réception de la lettre, une réunion des coordinateurs de la commission PEGA s’est tenue lundi (21 novembre), a confié un fonctionnaire européen à EURACTIV. Au cours de cette réunion, Renew, le groupe politique centriste qui avait initialement proposé le nom de M. Olivas en tant qu’intervenant, l’a retiré du programme.
Le groupe PPE de centre droit, qui avait proposé M. Martin en tant qu’intervenant, a conservé son invitation à participer à l’audition de la semaine prochaine.
Suite à sa désinvitation, M. Olivas s’est élevé contre cette décision sur Twitter, accusant le Parlement d’avoir accepté « d’opposer son veto à un chercheur universitaire qui apporte un témoignage d’expert, sur la base d’une lettre diffamatoire d’un groupe de personnes ayant des intérêts particuliers dans cette affaire ».
L’absence de victimes de logiciels espions lors de l’audition prévue a également été soulevée lors de la réunion des coordinateurs. Les audiences précédentes, telles que celles qui se sont tenues ces derniers mois en Pologne et en Grèce concernant l’utilisation de logiciels espions, comportaient pour leur part des témoignages de personnes touchées par cette technologie.
À la suite des discussions, il est désormais prévu qu’une victime soit invitée à l’audition. Par ailleurs, le même jour, le groupe des Verts au Parlement organisera une deuxième rencontre avec d’autres personnes ciblées par les logiciels espions.
« En tant qu’institution, nous devrions peser soigneusement qui nous invitons aux auditions. Je ne peux que regretter le peu d’espace laissé aux victimes pour témoigner lors de cette audition », a déclaré à EURACTIV l’eurodéputée Saskia Bricmont, coordinatrice PEGA pour le groupe des Verts.
« Je regrette également de voir que la majorité était favorable au maintien dans le panel d’une personne accusée de répandre des conspirations et connue pour attaquer le travail de Citizen Lab, dont le travail est constamment salué par des experts, des universitaires et des journalistes d’investigation », a-t-elle ajouté.
Ce n’est pas la première fois que la gestion par la commission de l’implication de l’Espagne dans le scandale Pegasus suscite des critiques. Des questions ont également été soulevées sur les raisons pour lesquelles les législateurs ne se sont pas encore rendus dans le pays pour enquêter sur les allégations, comme cela a été le cas pour d’autres affaires.
Plus tôt ce mois-ci, lors du lancement d’un rapport sur les premières conclusions de la commission depuis le début de ses travaux en avril, l’eurodéputée Sophie in ’t Veld a déclaré qu’elle espérait qu’une majorité soutiendrait bientôt un tel voyage.
Parallèlement aux auditions spécifiques à chaque pays, la commission PEGA continue d’organiser des discussions sur la question et la pratique des logiciels espions de manière générale.
La commission a également tenu, jeudi (24 novembre), une audition sur les vulnérabilités « jour zéro », des failles qui n’ont pas encore été découvertes ou corrigées par les développeurs et qui sont particulièrement susceptibles d’être exploitées.
Cette audition a eu lieu le lendemain de la mise hors service, pendant plusieurs heures, du site web du Parlement européen à la suite d’une cyberattaque revendiquée par un groupe pro-Kremlin.
La Présidente du Parlement, Roberta Metsola, a souligné les implications déstabilisantes du marché croissant des attaques de type « jour zéro » et la complexité de la lutte contre ce phénomène.
« Il est choquant », a noté Ian Beer — un pirate éthique de l’équipe d’experts en sécurité informatique Project Zero de Google, qui suit les attaques de type « jour zéro » — que dans la moitié des 58 cas de vulnérabilités sauvages de type « jour zéro » suivis par Google en 2021, la cause fondamentale était la variante d’un problème que l’industrie connaissait déjà et qu’elle aurait pu traiter plus efficacement.
S’adressant aux experts en réponse, l’eurodéputée Mme in ’ t Veld a déclaré que la discussion lui avait laissé un sentiment de « désespoir et d’impuissance » à l’idée de traiter les vulnérabilités de type « jour zéro ».
« Nous semblons être dans une situation où les autorités gouvernementales et les criminels semblent partager le même intérêt, à savoir entretenir le commerce des vulnérabilités », a-t-elle déclaré.
