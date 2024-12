Les faits au cœur de l'affaire

NSO Group aurait infecté des dizaines de milliers d'appareils avec son logiciel espion Pegasus

Une décision judiciaire déterminante

Cette décision est une grande victoire pour la protection de la vie privée.



Nous avons passé cinq ans à présenter notre dossier parce que nous sommes fermement convaincus que les fabricants de logiciels espions ne peuvent pas se retrancher derrière l'immunité ou éviter de répondre de leurs actes illégaux.



Les sociétés de surveillance doivent savoir que l'espionnage illégal ne sera pas toléré.



WhatsApp ne cessera jamais de travailler à la protection des communications privées. Cette décision est une grande victoire pour la protection de la vie privée.Nous avons passé cinq ans à présenter notre dossier parce que nous sommes fermement convaincus que les fabricants de logiciels espions ne peuvent pas se retrancher derrière l'immunité ou éviter de répondre de leurs actes illégaux.Les sociétés de surveillance doivent savoir que l'espionnage illégal ne sera pas toléré.WhatsApp ne cessera jamais de travailler à la protection des communications privées.

This ruling is a huge win for privacy.



We spent five years presenting our case because we firmly believe that spyware companies could not hide behind immunity or avoid accountability for their unlawful actions.



Surveillance companies should be on notice that illegal spying will… — Will Cathcart (@wcathcart) December 21, 2024

Implications pour la cybersécurité mondiale

L’affaire remonte à 2019. Cette année-là, en mai, des chercheurs de WhatsApp ont découvert qu’une vulnérabilité dans l’application de messagerie qui appartient à Facebook avait été exploitée pour injecter des spywares sur les téléphones tournant sur Android et iOS . À l’époque, Citizen Lab, un laboratoire de recherche sur la cybersécurité basé à l'Université de Toronto qui a travaillé avec WhatsApp pour enquêter sur le piratage des téléphones, avait dit qu’en utilisant la faille, les pirates pourraient charger un logiciel espion sur un téléphone par le biais d'un appel vidéo, même si la personne n'a jamais répondu à l'appel.Citizen Lab a déclaré à Reuters que les cibles comprenaient des personnalités connues de la télévision, des éminentes femmes qui avaient fait l'objet de campagnes de haine en ligne et des personnes qui avaient fait l'objet de « tentatives d'assassinat et de menaces de violence ». Toutefois, ni Citizen Lab ni WhatsApp n'ont identifié les cibles par leur nom.Quelques mois plus tard, WhatsApp a enclenché une procédure judiciaire formelle , accusant NSO Group d'avoir exploité une faille dans son système pour infiltrer les téléphones de quelque 1 400 utilisateurs dans 20 pays différents. NSO aurait utilisé son logiciel Pegasus pour cibler des activistes, des journalistes, des diplomates et des défenseurs des droits humains. Pegasus est un logiciel capable de s’introduire dans un appareil à l’insu de son propriétaire, permettant un accès complet aux messages, appels, photos et autres données sensibles.La plainte de Whatsapp stipule que NSO Group a créé des comptes WhatsApp à partir de janvier 2018 qui ont lancé des appels via les serveurs WhatsApp et injecté du code malveillant dans la mémoire des appareils ciblés. Les téléphones ciblés utiliseraient alors les serveurs WhatsApp pour se connecter à des serveurs malveillants prétendument entretenus par NSO. Voici, ci-dessous, un extrait de ce que déclare la poursuite à ce propos :« Afin de compromettre les dispositifs cibles, les défendeurs ont routé et fait router le code malveillant par les serveurs des demandeurs, y compris les serveurs de signalisation et les serveurs relais, dissimulés dans une partie du protocole réseau normal. Les serveurs de signalisation de WhatsApp ont facilité l'initiation d'appels entre différents appareils utilisant le service WhatsApp. Les serveurs relais WhatsApp ont facilité certaines transmissions de données via le service WhatsApp. Les défendeurs n'étaient pas autorisés à utiliser les serveurs des demandeurs de cette manière ».Selon la plainte, les attaquants ont utilisé et fait utiliser, sans aucune autorisation, entre avril et mai 2019 environ, des serveurs de WhatsApp afin de compromettre les dispositifs cibles en transmettant des appels. Une fois que les appels des attaquants ont été transmis au téléphone cible, ils ont injecté le code malveillant dans la mémoire du dispositif cible - même lorsque l'utilisateur cible n'a pas répondu à l'appel.WhatsApp a poursuivi NSO Group devant un tribunal californien, affirmant que ces actes violaient non seulement les lois américaines sur la cybersécurité, mais aussi les conditions d'utilisation de l'application. NSO Group s'était défendu en invoquant l'immunité souveraine, arguant qu’il agissait au nom des gouvernements clients.Lors de la bataille juridique qui oppose NSO Group à WhatsApp, de nouveaux documents affirment que le fabricant israélien de logiciels espions NSO Group a infecté des centaines, voire des dizaines de milliers d'appareils avec son logiciel espion Pegasus, malgré les efforts considérables déployés par les géants américains de la technologie pour étouffer ses activités. NSO Group aurait systématiquement augmenté ses vecteurs d'infection par des logiciels espions à partir de 2018, afin de maintenir son activité en vie, alors que les géants de la technologie ripostaient avec des correctifs logiciels et des poursuites judiciaires.Les documents révèlent que NSO a mis au point et déployé un programme d'exploitation de WhatsApp en un clic pour implanter le logiciel espion Pegasus sur les téléphones des victimes, même après que Meta (Facebook) l'ait poursuivie en justice (ce que l'entreprise avait précédemment nié)Trois exploits sont mentionnés dans le procès intenté par Meta contre le fabricant de logiciels espions, baptisés Heaven, Eden et Erised. « Après que le vecteur Heaven a cessé de fonctionner, NSO Group a déployé Eden, qui avait une caractéristique clé : il devait passer par des relais contrôlés par WhatsApp », explique Scott-Railton, ajoutant que l'exploit était conçu pour être déployé sans être détecté. « En fin de compte, il a été détecté, ce qui a conduit à l'action en justice », selon le chercheur de Citizen Lab.Selon Josh Shaner, un ancien employé de Westbridge, une filiale de NSO basée aux États-Unis, un client « n'avait qu'à entrer le numéro de l'appareil cible et "appuyer sur Installer". Pegasus aurait alors installé l'agent sur l'appareil à distance sans aucun engagement ». Et d'ajouter que « Le reste est fait automatiquement par le système ». WhatsApp a déclaré dans son dossier : « En d'autres termes, le client passe simplement une commande pour les données d'un appareil cible, et NSO contrôle chaque aspect du processus de récupération et de livraison des données grâce à sa conception de Pegasus ».Pegasus aurait d'ailleurs été utilisé par le dirigeant de Dubaï pour cibler son ex-femme, la princesse Haya. Difficile dans des situations comme celle-ci de confirmer les propos de l'entreprise qui assure qu'elle développe et vend ses logiciels de surveillance pour donner aux forces de l'ordre les outils nécessaires à la lutte contre les criminels dangereux, tels que les terroristes.La Cour suprême des États-Unis a récemment refusé d'entendre l'appel de NSO Group , laissant en place une décision d'un tribunal inférieur selon laquelle NSO ne bénéficie pas de l'immunité souveraine. Selon les conclusions du tribunal inférieur, NSO Group est entièrement responsable de l'exploitation du logiciel espion Pegasus, et non ses clients . Cette décision signifie que WhatsApp peut continuer sa procédure judiciaire contre NSO pour les violations présumées.Ce jugement est considéré comme une avancée majeure pour responsabiliser les acteurs privés impliqués dans des activités de surveillance illicites. Il établit un précédent juridique selon lequel les entreprises ne peuvent pas se cacher derrière leurs contrats avec des gouvernements pour échapper aux conséquences de leurs actions.Dans sa décision, la juge fédérale Phyllis Hamilton a déclaré que NSO ne contestait pas le fait qu'il « avait dû faire de l'ingénierie inverse et/ou décompiler le logiciel WhatsApp » pour installer son logiciel espion Pegasus sur les appareils, mais elle a soulevé la question de savoir s'il l'avait fait avant d'accepter les conditions d'utilisation de WhatsApp.Toutefois, la juge a déclaré que « le bon sens dicte que [NSO] doit d'abord avoir obtenu l'accès » à WhatsApp, soulignant que NSO n'avait offert « aucune explication plausible » sur la façon dont il aurait pu le faire sans accepter les conditions d'utilisation.La juge Hamilton a noté que NSO avait à plusieurs reprises omis de produire des documents pertinents, y compris le code source de Pegasus, en dépit d'une ordonnance du tribunal exigeant qu'il soit remis. Elle a ajouté que NSO avait également refusé de produire des communications internes, y compris des communications sur les vulnérabilités de WhatsApp.« Le manque de respect par NSO des ordonnances de divulgation soulève de sérieuses inquiétudes quant à sa transparence et à sa volonté de coopérer avec le processus judiciaire », a déclaré la juge.Emily Westcott, porte-parole de Meta, a déclaré que WhatsApp se félicitait de la décision rendue vendredi.« NSO ne peut plus éviter de répondre de ses attaques illégales contre WhatsApp, les journalistes, les militants des droits de l'homme et la société civile », a-t-elle déclaré. « Avec cette décision, les sociétés de logiciels espions doivent savoir que leurs actions illégales ne seront pas tolérées. Nous sommes fiers de nous être opposés à NSO et nous remercions les nombreuses organisations qui nous ont soutenus dans cette affaire. WhatsApp ne cessera jamais de travailler à la protection des communications privées des gens ».Will Cathcart, le directeur de WhatsApp, a qualifié la décision de « grande victoire pour la vie privée » dans un post sur X :Gil Lainer, porte-parole de l'ONS, n'a pas souhaité faire de commentaires. NSO avait précédemment fait valoir que Pegasus aidait les forces de l'ordre et les services de renseignement à lutter contre la criminalité et à protéger la sécurité nationale.L'affaire va maintenant faire l'objet d'un procès en mars 2025, au cours duquel un jury décidera des dommages et intérêts que NSO Group devra verser à WhatsApp.Cette victoire judiciaire a des implications profondes dans le paysage technologique mondial. Tout d'abord, elle souligne l'importance croissante de la responsabilité des entreprises technologiques dans la lutte contre les cybermenaces. WhatsApp, avec ses deux milliards d’utilisateurs dans le monde, a démontré qu’il est possible de tenir tête à des acteurs sophistiqués et influents comme NSO Group.Ensuite, cette affaire met en lumière la menace posée par les logiciels espions commerciaux. De nombreux gouvernements et organisations de défense des droits humains ont exprimé leurs inquiétudes concernant l'utilisation abusive de Pegasus et d'autres outils similaires, qui sapent la vie privée et la liberté d'expression.Enfin, cette décision pourrait encourager d'autres plateformes technologiques à prendre des mesures similaires pour protéger leurs utilisateurs contre les intrusions illégales.Source : décision de justice Utilisez-vous Whatsapp ou un autre service de messagerie chiffré (lequel ?) ? Pourquoi ? Qu'en pensez-vous ?La décision contre NSO Group pourrait-elle inspirer d'autres entreprises technologiques à engager des actions judiciaires contre des acteurs similaires ?La notion d'immunité souveraine (le client est responsable des usages qu'il fait de l'accès à l'application que nous lui vendons, pas nous) pour les entreprises privées travaillant avec des gouvernements devrait-elle être redéfinie ?Comment équilibrer les besoins en surveillance pour la sécurité publique avec la protection des droits individuels ?