Les prétendues ‘’révélations’’ d’Amnesty International et du consortium de journalistes de Forbidden Stories, accusant le logiciel « Pegasus » d’avoir espionner des journalistes, des politiciens, ainsi que des chefs d’Etats, ont fait réagir de multiples experts en informatique et en cybersécurité.
Pour les experts, les révélations d’Amnesty International et Forbidden Stories sont infondées et manquent de preuves matérielles techniques et scientifiques, et se limitent simplement à des informations inexactes.
Ainsi, pour Runa Sandvik, une experte norvégienne en sécurité informatique, qui s’est fait connaître chez Forbes avant de devenir la patronne de la sécurité informatique au New York Times, relève l’incohérence des accusations rapportées par les médias de « Forbidden Stories ». Elle a publié à travers son tweet 10 extraits d’articles publiés par différents médias en soulignant les contradictions concernant les sources citées.
Dans le même sillage, la journaliste d’investigation américaine, Kim Zetter, connue pour ses investigations sur la cybersécurité et la sécurité nationale depuis 1999 et auteure de plusieurs livres sur la question, s’étonne sur les données fournies par ‘’Forbidden Stories’’.
« Cette histoire de NSO devient un peu dingue », lance-t-elle. Et d’ajouter : « ce serait formidable si les médias à l’origine de cette histoire pouvaient fournir plus d’informations sur la manière dont ils ont pu vérifier qu’il s’agissait bien d’une liste de cibles ou de cibles potentielles de la NSO, et non d’une liste d’autre chose ».
Pour « The Grugq », un expert en cybersécurité, selon « Forbes, The New York Times et Washington Post », a souligné, par le biais d’un récent tweet, la « nuance » entre les « cibles potentielles », présenté en tant que tel par Amnesty International et Forbidden Stories, et les « cibles infectées ».
L’expert critique aussi les chiffres invraisemblables présentés par Amnesty et Forbidden Stories.
Le Grugq est un chercheur pionnier en cybersécurité avec plusieurs années d’expérience. Il a travaillé avec les renseignements sur les menaces, la désinformation, l’analyse médico-légale numérique, la rétro-ingénierie binaire, les rootkits, la sécurité des téléphones portables, la voix sur IP, la sécurité des télécommunications et des services financiers.
L’autre expert Nadim Kobeissi, un chercheur libanais en informatique et cryptographie appliquée connu et reconnu. Cet expert indique dans une série de tweet la facilité avec laquelle il peut fabriquer des preuves de piratage par Pegasus « en 30 secondes ».
Les preuves d’Amnesty et de Forbidden Stories sont, à son avis, extrêmement faibles, vu qu’elles se basent essentiellement sur de simples certificats SSL/TLS auto-signés que n’importe qui peut produire et insérer dans un jeu de données.
Pour sa part, l’expert en informatique « Aimable N. » s’étonne qu’aucune donnée des « cibles » n’a été publiée et Il se demande où sont les données.
Les experts ont souligné qu’il est difficile de fournir des preuves techniques convaincantes prouvant l’implication d’un pays ou d’un autre dans cette affaire de Pegasus, affirmant que les allégations d’Amnesty International et de Forbidden Stories ne se sont basées que sur des suppositions et des hypothèses.
