Comment Chypre est devenue la rampe de lancement des entreprises israéliennes de logiciels espions dans l’UE

Chypre est devenue le point d’entrée privilégié des entreprises israéliennes de cybersécurité dans l’UE, notamment celles qui opèrent dans le monde interlope des logiciels de surveillance.

En juillet 2021, un consortium de journalistes d’investigation a révélé que l’entreprise israélienne NSO avait vendu son logiciel d’espionnage militaire Pegasus à des gouvernements du monde entier, notamment européens, pour surveiller illégalement des responsables politiques, des journalistes et d’autres personnalités publiques.

En réaction à ce scandale, le Parlement européen a créé une commission d’enquête destinée à examiner les abus illégaux de logiciels espions en Europe. En novembre dernier, des députés européens se sont rendus en Grèce et à Chypre dans le cadre de cette enquête.

« Selon un eurodéputé interrogé, il n’y a pas de cadre règlementaire à Chypre, ni pour les fabricants ni pour l’utilisation des logiciels et c’est pourquoi les entreprises de logiciels espions et de surveillance opèrent dans le pays et que des valises de logiciels espions sont utilisées », peut-on lire dans le briefing de la mission des eurodéputés.

En d’autres termes, Chypre n’est pas seulement un pays dont le gouvernement aurait abusé des logiciels espions. En raison de cette absence de cadre règlementaire, l’île est devenue le point d’entrée européen des entreprises de logiciels espions.

La géographie joue également un rôle certain. Chypre est le pays de l’UE le plus proche d’Israël, qui abrite le secteur de la cybersécurité et des logiciels espions le plus important au monde.

L’île de la technologie

Les entreprises israéliennes ne sont pas les seules à être attirées par Chypre. L’île est devenue une plaque tournante internationale pour les entreprises technologiques russes, turques, américaines et britanniques.

Un conseiller juridique d’une entreprise chypriote qui s’est entretenu avec EURACTIV sous couvert d’anonymat a déclaré qu’il existait des exigences minimales pour les entreprises non européennes qui choisissent de fonder un bureau sur l’île méditerranéenne.

Les autorités chypriotes ont confirmé que les « incitations réglementaires, fiscales et en matière de visa » rendaient l’île attrayante pour les entreprises technologiques.

Néanmoins, pour les entreprises israéliennes en particulier, l’île offre un moyen de réduire les coûts d’exploitation, beaucoup plus élevés en Israël. En outre, comme elle fait partie de l’Union européenne, elle peut servir de point d’entrée sur le marché européen, et les entreprises technologiques établies à Chypre peuvent également obtenir des financements de l’UE et participer à des projets de recherche européens.

Il existe par exemple une coopération en matière de recherche et d’innovation, lancée par la Fondation chypriote pour la promotion de la recherche, l’innovation et l’entrepreneuriat, ainsi que des programmes d’échange d’étudiants de l’Université Reichman en Israël, de même que des bourses d’études pour les Chypriotes qui souhaitent étudier en Israël.

En 2022, l’Institut de l’innovation de Pafos, un établissement d’enseignement supérieur fondé par des Israéliens, a également ouvert ses portes sur l’île.

Elias Athanasopoulos, un expert grec en cybersécurité qui travaille à l’Université de Chypre, a expliqué à EURACTIV que des entreprises technologiques se délocalisaient de manière continue à Chypre depuis au moins ces sept dernières années.

Cependant, ces derniers temps, des ingénieurs logiciels ont également commencé à s’installer dans le pays. Elias Athanasopoulos a également indiqué qu’il y avait des vols fréquents entre Israël et Chypre, ce qui permet aux citoyens de faire la navette toutes les semaines.

Andreas Aristidou, professeur assistant au département d’informatique de l’université de Chypre, a insisté pour dire qu’Israël est « un endroit très attrayant pour les Chypriotes qui souhaitent entamer des collaborations ».

« La véritable raison pour laquelle les entreprises de logiciels espions se sont installées à Chypre réside dans la législation stricte en vigueur en Israël, qui exige que l’exportation de logiciels de surveillance soit autorisée par le gouvernement israélien », a expliqué à EURACTIV Thanasis Koukakis, un journaliste d’investigation grec qui a été victime du logiciel espion Predator.

Pour M. Koukakis, sous le gouvernement de l’ancien président Níkos Anastasiádis, Chypre offrait un environnement sûr aux entreprises de logiciels espions, jusqu’à ce que le scandale des fourgonnettes noires pousse plusieurs entreprises à se délocaliser en Grèce et en Macédoine du Nord.

Chypre, Grèce et Israël : la boucle de l’espionnage est bouclée

Tal Dilian, ancien commandant des Forces de défense israéliennes, a opéré à Chypre de 2013 à 2020 environ. Il est devenu un important entrepreneur dans le domaine de la haute technologie et a fondé, entre autres, Intellexa, un consortium qui, selon certains, pourrait devenir le nouveau NSO.

En 2019, le magazine Forbes a rapporté comment Tal Dillian avait fait de la publicité à Chypre pour le WiSpear, une « fourgonnette magique » produite en Israël qui peut « infiltrer » les smartphones dans un rayon d’un kilomètre. Lorsque les forces de l’ordre ont examiné le dossier, elles ont découvert que la fourgonnette WiSpear collectait des données de l’aéroport à proximité.

Tal Dilian a donc dû déménager et relocaliser Intellexa. En avril, l’organe de presse de M. Koukakis, Inside Story, a rapporté que Cytrox, une filiale d’Intellexa, avait développé Predator, un logiciel espion similaire à Pegasus, en Macédoine du Nord, au vu et au su des autorités locales. De là, le logiciel espion a ensuite été exporté vers la Grèce.

Tal Dilian et les représentants d’Intellexa ont refusé d’apporter des commentaires et n’ont pas coopéré avec la commission d’enquête Pegasus du Parlement européen.

Comme l’a rapporté EURACTIV précédemment, l’administration du Premier ministre grec Kyriákos Mitsotákis a facilité la diffusion du logiciel espion Predator d’Intellexa dans des pays tels que l’Arabie Saoudite, le Soudan, Madagascar et le Bangladesh en accordant des licences d’exportation par l’intermédiaire du ministère grec des Affaires étrangères.

L’octroi de ces licences posait non seulement des problèmes parce que certains de ces pays affichent un bilan médiocre en matière de droits humains, mais aussi parce qu’il est contraire aux règles de l’Union européenne sur les technologies à double usage.

En février, la Commission européenne a demandé au gouvernement grec de s’expliquer sur l’octroi de ces licences, mais Athènes doit encore répondre à l’exécutif européen alors que l’audit interne a été conclu il y a plus de six mois.

Depuis que le scandale a éclaté, le chef des services secrets grecs, ainsi que le neveu de M. Mitsotákis, Grigoris Dimitriadis, secrétaire général du cabinet du Premier ministre jusqu’en août 2022, ont démissionné après qu’il a été révélé que Níkos Androulákis, un eurodéputé également président du parti socialiste Pasok, avait été placé sous surveillance par les services de renseignement grecs en 2021.

M. Mitsotákis a affirmé publiquement qu’il n’était pas au courant de cette surveillance. L’opposition a toutefois souligné que l’une des premières mesures prises par M. Mitsotákis après son entrée en fonction avait été de placer les services de renseignement sous sa supervision directe.

La boucle de l’espionnage semblait bouclée alors que Passitora, une firme de Tal Dilian, a vendu un véhicule espion israélien au Bangladesh par l’intermédiaire de Chypre et que de hauts fonctionnaires des forces de sécurité de Dhaka se sont rendus en Grèce pour être formés à l’utilisation des outils de surveillance.

Fermer les yeux

Sophie in ’t Veld, l’eurodéputée néerlandaise qui a mené les travaux de l’enquête Pegasus au Parlement européen, considère que ce n’est pas le manque de règlementations qui constitue le problème à Chypre, mais le manque de mise en œuvre.

Elle a expliqué à EURACTIV que si les autorités ne vérifient pas correctement ou « sont prêtes à fermer les yeux, alors il devient plus facile » de trouver des moyens de contourner les règlementations.

Il a été découvert que Chypre avait vendu des milliers de passeports à de riches individus, notamment des oligarques russes, entre 2008 et 2020.

De même, le rapport du Parlement européen indique que sur « le papier, il existe un cadre juridique solide, y compris les règles de l’UE, mais dans la pratique, Chypre est un endroit attrayant pour les entreprises qui vendent des technologies de surveillance ». Cette situation explique pourquoi « une meilleure mise en œuvre des règles existantes est nécessaire ».

Les autorités chypriotes ont indiqué que le pays « s’engage à imposer des contrôles supplémentaires aux entreprises technologiques opérant dans le domaine de la cybersurveillance (logiciels espions/interception des communications) ». Elles sont également « en train d’améliorer leur cadre national de règlementation, de surveillance et de législation ».

Mme in ’t Veld a déclaré que le Parlement européen avait demandé à la Commission de mener une enquête. Cependant, l’exécutif européen a refusé, estimant qu’il s’agissait d’une question relevant des autorités nationales.

« Dans le cadre du règlement sur les biens à double usage, les autorités compétentes des États membres sont les seules responsables de la prise de décision concernant les demandes de licences d’exportation », a précisé un porte-parole de la Commission à EURACTIV, soulignant que l’application de la loi constituait une compétence nationale.

« La Commission est responsable de l’application des lois européennes. Ils se relâchent et ne font pas leur travail », a rétorqué Mme in ’t Veld, ajoutant que « la Commission européenne porte également une responsabilité à cet égard ».

« Dans l’intérêt d’une coopération sincère avec le Parlement européen », le porte-parole de la Commission a ajouté qu’il avait été demandé aux autorités chypriotes si elles avaient délivré des licences d’exportation de technologies de cybersurveillance au Soudan, ce que Nicosie a nié.

Néanmoins, il pourrait être problématique de s’appuyer uniquement sur les autorités nationales puisque ni Chypre ni la Grèce ne semblent avoir pris de mesures après les révélations au sujet des entreprises de M. Dilian qui auraient enfreint le droit européen et national.

« Si des entreprises sont impliquées dans ce commerce privé [de logiciels espions], vous ne le remarquerez pas parce que personne ne le dira », a déclaré M. Athanasopoulos, ajoutant qu’il y a « sans aucun doute » des entreprises qui ont le talent et les ressources nécessaires pour créer des logiciels espions « de toutes pièces ».

« Il y a tellement de fumée qu’il doit y avoir du feu quelque part », a conclu Mme in ’t Veld.

Luca Bertuzzi a contribué à la rédaction de cet article.

[Édité par Anne-Sophie Gayet]