L'éditeur de logiciels espions NSO Group devra verser plus de 167 millions de dollars de dommages et intérêts à WhatsApp pour une campagne de piratage menée en 2019 contre plus de 1 400 utilisateurs

L'éditeur de logiciels espions NSO Group devra verser plus de 167 millions de dollars de dommages et intérêts à WhatsApp pour une campagne de piratage menée en 2019 contre plus de 1 400 utilisateurs.

L'entreprise à l'origine du logiciel espion Pegasus a été condamnée à verser 167 millions de dollars à WhatsApp pour avoir piraté 1 400 personnes en 2019. Pegasus est un logiciel malveillant qui peut être installé à distance sur des téléphones portables pour accéder, entre autres, aux microphones et aux caméras des personnes. NSO Group, qui vend cette technologie, a été accusé de permettre à des régimes autoritaires de surveiller des journalistes, des militants et même des personnalités politiques.

En 2019, WhatsApp a enclenché une procédure judiciaire formelle, accusant NSO Group d'avoir exploité une faille dans son système pour infiltrer les téléphones de quelque 1 400 utilisateurs dans 20 pays différents. Les documents judiciaires de 2024 ont confirmé que l'éditeur israélien de logiciels espions NSO Group a infecté des centaines, voire des dizaines de milliers d'appareils avec son tristement célèbre logiciel espion Pegasus, à l'aide d'un programme d'exploitation de WhatsApp. Les documents confirment également que malgré les efforts déployés par Meta, le NSO Group a continué à déployer son logiciel espion Pegasus.

Fin 2024, un juge américain a estimé que l'éditeur israélien de logiciels espions NSO Group avait enfreint les lois sur le piratage informatique en utilisant WhatsApp pour infecter des appareils avec son logiciel espion Pegasus. Le juge fédéral de Californie du Nord a tenu NSO Group pour responsable d'avoir ciblé les appareils de 1 400 utilisateurs de WhatsApp, violant ainsi les lois fédérales et nationales sur le piratage ainsi que les conditions d'utilisation de WhatsApp, qui interdisent l'utilisation de la plateforme de messagerie à des fins malveillantes.

Récemment, le jury a décidé que NSO Group devait payer 167 millions de dollars de dommages et intérêts punitifs pour avoir facilité le piratage des téléphones portables de 1400 utilisateurs de WhatsApp. En plus des 167 millions de dollars de dommages-intérêts punitifs, le jury a décidé que NSO devait verser à WhatsApp 445 000 dollars de dommages-intérêts compensatoires pour le dédommager des efforts considérables déployés par ses ingénieurs pour bloquer les vecteurs d'attaque.


L'affaire, qui a duré six ans, est l'aboutissement d'un procès intenté par Meta en 2019, selon lequel l'éditeur, NSO Group, a attaqué WhatsApp à plusieurs reprises avec des vecteurs de logiciels espions, continuant à s'introduire dans ses systèmes alors même que le géant des médias sociaux corrigeait les vulnérabilités. L'affaire de NSO a été sérieusement entravée par son incapacité à offrir au tribunal des détails sur les objectifs de ses clients dans les attaques, ce qui a incité le juge fédéral de Californie du Nord, Phyllis Hamilton, à interdire à l'entreprise de logiciels espions de présenter des preuves liées à son utilisation par les gouvernements pour espionner les terroristes et les criminels.

Ces dernières années, le produit d'espionnage de NSO, un puissant programme d'exploitation sans clic connu sous le nom de Pegasus, a été trouvé sur des dizaines de téléphones appartenant à des membres de la société civile, dont beaucoup figuraient parmi les 1 400 victimes de WhatsApp. "Il y a six ans, nous avons détecté et stoppé une attaque du célèbre développeur de logiciels espions NSO contre WhatsApp et ses utilisateurs, et aujourd'hui, notre procès est entré dans l'histoire comme la première victoire contre un logiciel espion illégal qui menace la sécurité et la vie privée de tout le monde", a déclaré WhatsApp dans un communiqué.

"La décision du jury de forcer NSO à payer des dommages-intérêts est un moyen de dissuasion essentiel pour cette industrie malveillante contre ses actes illégaux visant les entreprises américaines et nos utilisateurs dans le monde entier", ajoute le communiqué. "Ce procès a également révélé que WhatsApp était loin d'être la seule cible de NSO - il s'agit d'une menace à l'échelle de l'industrie et nous devrons tous nous défendre contre elle."

Un porte-parole de NSO a déclaré que l'entreprise étudiait la décision et qu'elle pourrait faire appel. "Nous croyons fermement que notre technologie joue un rôle essentiel dans la prévention des crimes graves et du terrorisme et qu'elle est déployée de manière responsable par les agences gouvernementales autorisées", indique le communiqué. "Ce point de vue, validé par de nombreuses preuves concrètes et de nombreuses opérations de sécurité qui ont permis de sauver de nombreuses vies, y compris des vies américaines, n'a pas été pris en compte par le jury dans cette affaire."

Le procès a mis en lumière un grand nombre d'informations nouvelles sur le fonctionnement de Pegasus. Les dirigeants de NSO ont reconnu devant le tribunal que Pegasus peut être installé à l'aide d'un certain nombre de mécanismes différents, notamment par des vecteurs d'attaque ciblant la messagerie instantanée, les navigateurs et les systèmes d'exploitation. L'entreprise a également révélé que son logiciel espion pouvait compromettre les appareils iOS et Android, une capacité qui perdure aujourd'hui.

Les défenseurs de la liberté numérique ont qualifié le verdict du jury de transformateur, affirmant que non seulement l'ampleur des dommages, mais aussi l'atteinte à la réputation de NSO auront des effets durables. "NSO gagne des millions de dollars en aidant les dictateurs à pirater les gens", a déclaré John Scott-Railton, chercheur en criminalistique numérique au Citizen Lab, qui a aidé à diagnostiquer les infections des téléphones dans cette affaire. "L'entreprise sort très affaiblie de ce procès. Outre les énormes dommages-intérêts punitifs, l'impact plus important de cette affaire a également été un coup dur pour les efforts de NSO visant à dissimuler ses activités commerciales."

Natalia Krapiva, défenseur de la liberté numérique dont l'organisation, Access Now, a travaillé avec le Citizen Lab pour diagnostiquer le ciblage et les infections par Pegasus et aider les victimes, a également salué la décision. La décision du jury "donne raison, de façon majeure, à tous les dénis, à l'éclairage au gaz, aux menaces, aux attaques, au harcèlement et aux représailles auxquels les défenseurs des droits de l'homme et les victimes ont dû faire face en raison de leur travail de dénonciation de la conduite de l'ONS", a-t-elle déclaré.

Certains observateurs du secteur de la cybersécurité se sont toutefois montrés moins enthousiastes à l'égard de ces conclusions. NSO pourrait faire faillite, mais une certaine forme de Pegasus restera utilisée, a déclaré Jim Lewis, un cyber-expert de longue date basé à Washington. "Il est probable que le NSO disparaisse, mais le logiciel continuera d'exister et le service se poursuivra sous un nouveau nom", a-t-il déclaré. "Il s'agit donc d'un sacrifice rituel et tout le monde peut se sentir bien."

Tout au long du procès, NSO a été paralysé par ses affirmations selon lesquelles, une fois qu'il a vendu Pegasus à un client du gouvernement, il n'a aucune idée de ce que les clients en font, de qui ils ciblent et pourquoi. Une ligne de défense déjà utilisée en 2022. Le fournisseur israélien de logiciels de surveillance NSO Group a notamment déclaré devant les législateurs de l'Union européenne qu'au moins 50 clients utilisent son logiciel espion Pegasus sur le plan mondial. Chaim Gelfand, avocat général et responsable de la conformité chez NSO Group, a précisé aux législateurs que ces clients comprennent "plus de cinq États membres de l'Union européenne".

Dans l'ordonnance qu'elle a rendue à la fin du mois dernier, expliquant pourquoi elle n'autorisait pas NSO à présenter des preuves concernant son activité consistant à aider les gouvernements à poursuivre les criminels et les terroristes, Hamilton a été cinglante. "Les défendeurs ne peuvent pas prétendre, d'une part, que leur intention est d'aider leurs clients à lutter contre le terrorisme et l'exploitation des enfants et, d'autre part, qu'ils n'ont rien à voir avec ce que leurs clients font de la technologie, si ce n'est des conseils et de l'aide", a écrit la juge.

Et vous ?

Pensez-vous que cette décision est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

NSO Group est entièrement responsable de l'exploitation du logiciel espion Pegasus, et non ses clients, selon des documents judiciaires dans le procès en cours entre WhatsApp et le créateur du logiciel espion

Les clients du NSO Group, spécialisée dans le développement de logiciels espions, se font encore prendre en flagrant délit d'espionnage, perdant la bataille pour rester dans l'ombre

Les gouvernements demandent une réglementation sur les logiciels espions lors d'une réunion du Conseil de sécurité des Nations Unies, initiée par les États-Unis et soutenue par 15 autres pays