Les chercheurs de WhatsApp ont découvert en mai dernier qu’une vulnérabilité dans l’application de messagerie qui appartient à Facebook avait été exploitée pour injecter des spywares sur les téléphones tournant sur Android et iOS. Dans un article publié mardi, Reuters a rapporté que la société a intenté une poursuite en justice contre le célèbre fournisseur de logiciels espions NSO Group, affirmant que la société basée en Israël était activement impliquée dans le piratage des utilisateurs du service de chat chiffré de bout en bout. Mais NSO Group a vigoureusement nié ces allégations.
La vulnérabilité, qui a été répertoriée comme étant CVE-2019-3568, est une vulnérabilité de dépassement de mémoire tampon dans la pile VOIP WhatsApp qui permet l'exécution de code à distance lorsque des séries de paquets SRTCP spécialement conçues sont envoyées à un numéro de téléphone cible, avait déclaré un représentant de WhatsApp en mai. A l’époque, Citizen Lab, un laboratoire de recherche sur la cybersécurité basé à l'Université de Toronto qui a travaillé avec WhatsApp pour enquêter sur le piratage des téléphones, avait dit qu’en utilisant la faille, les pirates pourraient charger un logiciel espion sur un téléphone par le biais d'un appel vidéo, même si la personne n'a jamais répondu à l'appel.
WhatsApp accuse la société d'avoir aidé des espions du gouvernement à s'introduire par effraction dans les téléphones d'environ 1 400 utilisateurs sur quatre continents au cours d'une série de piratages visant des diplomates, dissidents politiques, journalistes et hauts représentants du gouvernement. Dans un communiqué, WhatsApp a déclaré que 100 membres de la société civile avaient également été pris pour cible. Dans sa poursuite déposée devant la cour fédérale de San Francisco, le service de messagerie accuse NSO d’avoir facilité les piratages gouvernementaux dans 20 pays.
Citizen Lab a déclaré à Reuters que les cibles comprenaient des personnalités connues de la télévision, des éminentes femmes qui avaient fait l'objet de campagnes de haine en ligne et des personnes qui avaient fait l'objet de « tentatives d'assassinat et de menaces de violence ». Toutefois, ni Citizen Lab ni WhatsApp n'ont identifié les cibles par leur nom, d’après Reuters.
WhatsApp, utilisé par environ 1,5 milliard de personnes chaque mois, est un service de messagerie chiffré de bout en bout. Autrement, les messages sur WhatsApp ne peuvent être déchiffrés que par l’expéditeur et le destinataire en communication, et non pas par un tiers ni par WhatsApp. Selon des chercheurs de Citizens Lab, le logiciel espion Pegasus utilisé dans ces attaques a été développé par NSO Group, dont le logiciel a été utilisé par des gouvernements répressifs à travers le monde.
Selon Reuters, les gouvernements se sont de plus en plus tournés vers des logiciels de piratage complexe à un moment où les autorités d’application de la loi cherchent à pousser leur pouvoir de surveillance dans les coins les plus reculés de la vie numérique de leurs citoyens, et alors que les applications Internet intègrent de plus en plus le système de chiffrement de bout en bout. Des entreprises comme NSO affirment que leur technologie permet aux fonctionnaires de démasquer les criminels, mais les gouvernements ne parlent que rarement en public des capacités dont ils disposent, ce qui signifie que les intrusions numériques comme celles qui ont affecté WhatsApp se produisent généralement dans l'ombre, a fait remarquer Reuters.
La procédure de piratage des téléphones via la faille de WhatsApp
La plainte de Whatsapp stipule que NSO Group a créé des comptes WhatsApp à partir de janvier 2018 qui ont lancé des appels via les serveurs WhatsApp et injecté du code malveillant dans la mémoire des appareils ciblés. Les téléphones ciblés utiliseraient alors les serveurs WhatsApp pour se connecter à des serveurs malveillants prétendument entretenus par NSO. Voici, ci-dessous, un extrait de ce que déclare la poursuite à ce propos :
« Afin de compromettre les dispositifs cibles, les défendeurs ont routé et fait router le code malveillant par les serveurs des demandeurs, y compris les serveurs de signalisation et les serveurs relais, dissimulés dans une partie du protocole réseau normal. Les serveurs de signalisation de WhatsApp ont facilité l'initiation d'appels entre différents appareils utilisant le service WhatsApp. Les serveurs relais WhatsApp ont facilité certaines transmissions de données via le service WhatsApp. Les défendeurs n'étaient pas autorisés à utiliser les serveurs des demandeurs de cette manière ».
Selon le procès, les attaquants ont utilisé et fait utiliser, sans aucune autorisation, entre avril et mai 2019 environ, des serveurs de WhatsApp afin de compromettre les dispositifs cibles en transmettant des appels. Une fois que les appels des attaquants ont été transmis au téléphone cible, ils ont injecté le code malveillant dans la mémoire du dispositif cible - même lorsque l'utilisateur cible n'a pas répondu à l'appel.
Mais dans un communiqué, les représentants de NSO ont nié les accusations de Whatsapp et ont défendu les activités du groupe :
« Dans les termes les plus fermes possible, nous contestons les allégations d'aujourd'hui et nous les combattrons vigoureusement. Le seul but de NSO est de fournir de la technologie aux organismes gouvernementaux autorisés de renseignement et d'application de la loi pour les aider à lutter contre le terrorisme et les crimes graves. Notre technologie n'est pas conçue pour être utilisée contre les militants des droits de l'homme et les journalistes. Elle a permis de sauver des milliers de vies au cours des dernières années ».
« Nous considérons toute autre utilisation de nos produits que la prévention de la criminalité grave et du terrorisme comme une utilisation abusive, qui est interdite par contrat. Nous prenons des mesures si nous détectons une mauvaise utilisation ».
Selon Reuters, pour essayer de laver son image, NSO a également fait appel à une série de conseillers de haut niveau, dont Tom Ridge, ancien gouverneur de Pennsylvanie, et Juliette Kayyem, maître de conférences en sécurité internationale à l'Université Harvard. Et le mois dernier, NSO a annoncé qu'il commencerait à se conformer aux lignes directrices des Nations Unies sur les violations des droits de la personne.
Un procès inédit qui crée un précédent dans l'industrie des logiciels espions commerciaux
Des sociétés comme NSO Group se contentent de dire que leurs technologies apportent des solutions proportionnées et légales aux questions de criminalité et du terrorisme, sans qu’on ne sache vraiment l’étendue des services qu’elles fournissent aux gouvernements. Un tel procès pourrait créer un précédent et empêcher dorénavant ces sociétés de vendre librement des logiciels espions.
Dans un communiqué, John Scott-Railton, un chercheur senior de Citizen Lab, a déclaré : « L'industrie des logiciels espions commerciaux est une industrie qui a essayé de se tailler une place sans avoir à rendre de comptes, en s'adressant aux gouvernements à qui elle vend des produits tout en niant toute responsabilité pour les abus commis avec ses outils ». « Le procès de WhatsApp, qui est important et crée un précédent, brise cette fausse distinction et indique clairement qu'ils sont prêts à tenir NSO responsable du Far West qui existe dans l'industrie des logiciels espions en général et qui se reflète dans l'objectif fixé », a-t-il ajouté.
Par ailleurs dans un article d’opinion publié dans Washington Post, Will Cathcart, le directeur de WhatsApp, a écrit :
« Cela devrait servir de signal d'alarme pour les entreprises technologiques, les gouvernements et tous les utilisateurs d'Internet. Les outils qui permettent de surveiller nos vies privées sont utilisés à mauvais escient, et la prolifération de cette technologie entre les mains d'entreprises et de gouvernements irresponsables nous met tous en danger ».
« NSO a précédemment nié toute implication dans l'attaque, déclarant qu' « en aucun cas NSO ne serait impliqué dans l'exploitation... de sa technologie ». Mais notre enquête a révélé le contraire. Aujourd'hui, nous cherchons à tenir NSO responsable de ses actes en vertu des lois fédérales et des lois des États américains, y compris la Computer Fraud and Abuse Act des États-Unis ». Cathcart a également dit : « Bien que leur attaque ait été très complexe, leurs tentatives pour couvrir leurs traces n'ont pas été entièrement couronnées de succès ».
Selon Reuters, Scott Watnik, l'avocat spécialisé dans la cybersécurité qui préside le cabinet d'avocats Wilk Auslander à New York, a qualifié la décision de WhatsApp d' « inédite », en expliquant que les principaux fournisseurs de services comme WhatsApp avaient tendance à éviter les litiges par crainte de révéler trop de choses sur leur sécurité numérique. « Cela pourrait certainement créer un précédent », a-t-il déclaré.
Ce n’est pas la première fois que le fabricant de logiciels espions se trouve impliqué dans des poursuites judiciaires. Selon Reuters, le group a fait l’objet d'un examen particulièrement rigoureux à la suite de l'allégation selon laquelle ses logiciels espions auraient joué un rôle dans la mort du journaliste du Washington Post Jamal Khashoggi, assassiné au consulat saoudien à Istanbul il y a un peu plus d'un an.
NSO a été poursuivi en justice en justice en Israël et à Chypre par sept activistes et journalistes, dont Omar Abdulaziz l'ami de Khashoggi, pour des allégations selon lesquelles leurs téléphones auraient été compromis en utilisant la technologie du groupe. Selon Reuters, Amnesty a également intenté une action en justice, exigeant que le ministère israélien de la Défense révoque la licence d'exportation de NSO pour « l'empêcher de profiter de la répression soutenue par les États ».
La poursuite intentée par WhatsApp vise à empêcher NSO d'accéder ou de tenter d'accéder aux services de WhatsApp et de Facebook et vise également à obtenir des dommages-intérêts non précisés. D’autres sociétés, telle qu’Amazon et autres hébergeurs de serveurs mentionnés dans l’affaire, pourraient emboiter le pas à WhatsApp.
Sources : La poursuite, Reuters
Et vous ?
Que pensez-vous de la poursuite intentée par WhatsApp ?
Que pensez-vous du fait que NSO continue de vendre librement des logiciels espions aux gouvernements après des précédentes poursuites ?
Pensez-vous que ce procès changera quelque chose dans l'utilisation faite des spywares pour espionner ?
Lire aussi
Pegasus, l'un des logiciels espions les plus sophistiqués a été détecté sur Android, Google recommande cinq conseils de base pour s'en prémunir
Google, Samsung, Xiaomi, Huawei et autres affectés par une faille zéro-day dans le système d'exploitation mobile Android, qui déverrouille l'accès root des appareils cibles
Les appels vocaux WhatsApp ont été utilisés pour injecter des logiciels espions sur les téléphones, une mise à jour corrective est disponible
Les criminels se tournent vers l'iPhone en raison du chiffrement fort mis en place par le constructeur, d'après les forces de l'ordre
WhatsApp poursuit NSO Group pour avoir prétendument aidé des espions à pirater des téléphones dans le monde entier,
Ciblant des avocats, des journalistes, des dissidents et autres
WhatsApp poursuit NSO Group pour avoir prétendument aidé des espions à pirater des téléphones dans le monde entier,
Ciblant des avocats, des journalistes, des dissidents et autres
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !