WhatsApp remporte une victoire historique contre le groupe NSO qui dveloppe et commercialise le logiciel espion Pegasus Qui a servi cibler plus de 1 400 utilisateurs du service de messagerie

WhatsApp remporte une victoire historique contre le groupe NSO qui dveloppe et commercialise le logiciel espion Pegasus Qui a servi cibler plus de 1 400 utilisateurs du service de messagerie



Un juge amricain a estim que le fabricant isralien de logiciels espions NSO Group avait enfreint les lois sur le piratage informatique en utilisant WhatsApp pour infecter des appareils avec son logiciel espion Pegasus. Dans une dcision historique rendue vendredi, un juge fdral de Californie du Nord a tenu NSO Group pour responsable d’avoir cibl les appareils de 1 400 utilisateurs de WhatsApp, violant ainsi les lois fdrales et nationales sur le piratage ainsi que les conditions d’utilisation de WhatsApp, qui interdisent l’utilisation de la plateforme de messagerie des fins malveillantes.

Cette dcision intervient cinq ans aprs que la socit WhatsApp, dtenue par Meta, a intent un procs NSO Group, allguant que l’entreprise de logiciels espions avait exploit une vulnrabilit de la plate-forme de messagerie en matire d’appels audio pour installer son logiciel espion Pegasus sur les appareils d’utilisateurs peu mfiants. WhatsApp a dclar que plus de 100 dfenseurs des droits de l’homme, journalistes et autres membres de la socit civile ont t cibls par le logiciel malveillant, ainsi que des fonctionnaires et des diplomates.

Les faits au cur de l’affaire

Laffaire remonte 2019. Cette anne-l, en mai, des chercheurs de WhatsApp ont dcouvert quune vulnrabilit dans lapplication de messagerie qui appartient Facebook avait t exploite pour injecter des spywares sur les tlphones tournant sur Android et iOS. lpoque, Citizen Lab, un laboratoire de recherche sur la cyberscurit bas l’Universit de Toronto qui a travaill avec WhatsApp pour enquter sur le piratage des tlphones, avait dit quen utilisant la faille, les pirates pourraient charger un logiciel espion sur un tlphone par le biais d’un appel vido, mme si la personne n’a jamais rpondu l’appel.

Citizen Lab a dclar Reuters que les cibles comprenaient des personnalits connues de la tlvision, des minentes femmes qui avaient fait l’objet de campagnes de haine en ligne et des personnes qui avaient fait l’objet de tentatives d’assassinat et de menaces de violence . Toutefois, ni Citizen Lab ni WhatsApp n’ont identifi les cibles par leur nom.

Quelques mois plus tard, WhatsApp a enclench une procdure judiciaire formelle, accusant NSO Group d’avoir exploit une faille dans son systme pour infiltrer les tlphones de quelque 1 400 utilisateurs dans 20 pays diffrents. NSO aurait utilis son logiciel Pegasus pour cibler des activistes, des journalistes, des diplomates et des dfenseurs des droits humains. Pegasus est un logiciel capable de sintroduire dans un appareil linsu de son propritaire, permettant un accs complet aux messages, appels, photos et autres donnes sensibles.

La plainte de Whatsapp stipule que NSO Group a cr des comptes WhatsApp partir de janvier 2018 qui ont lanc des appels via les serveurs WhatsApp et inject du code malveillant dans la mmoire des appareils cibls. Les tlphones cibls utiliseraient alors les serveurs WhatsApp pour se connecter des serveurs malveillants prtendument entretenus par NSO. Voici, ci-dessous, un extrait de ce que dclare la poursuite ce propos :

Afin de compromettre les dispositifs cibles, les dfendeurs ont rout et fait router le code malveillant par les serveurs des demandeurs, y compris les serveurs de signalisation et les serveurs relais, dissimuls dans une partie du protocole rseau normal. Les serveurs de signalisation de WhatsApp ont facilit l’initiation d’appels entre diffrents appareils utilisant le service WhatsApp. Les serveurs relais WhatsApp ont facilit certaines transmissions de donnes via le service WhatsApp. Les dfendeurs n’taient pas autoriss utiliser les serveurs des demandeurs de cette manire .

Selon la plainte, les attaquants ont utilis et fait utiliser, sans aucune autorisation, entre avril et mai 2019 environ, des serveurs de WhatsApp afin de compromettre les dispositifs cibles en transmettant des appels. Une fois que les appels des attaquants ont t transmis au tlphone cible, ils ont inject le code malveillant dans la mmoire du dispositif cible – mme lorsque l’utilisateur cible n’a pas rpondu l’appel.

WhatsApp a poursuivi NSO Group devant un tribunal californien, affirmant que ces actes violaient non seulement les lois amricaines sur la cyberscurit, mais aussi les conditions d’utilisation de l’application. NSO Group s’tait dfendu en invoquant l’immunit souveraine, arguant quil agissait au nom des gouvernements clients.

NSO Group aurait infect des dizaines de milliers d’appareils avec son logiciel espion Pegasus

Lors de la bataille juridique qui oppose NSO Group WhatsApp, de nouveaux documents affirment que le fabricant isralien de logiciels espions NSO Group a infect des centaines, voire des dizaines de milliers d’appareils avec son logiciel espion Pegasus, malgr les efforts considrables dploys par les gants amricains de la technologie pour touffer ses activits. NSO Group aurait systmatiquement augment ses vecteurs d’infection par des logiciels espions partir de 2018, afin de maintenir son activit en vie, alors que les gants de la technologie ripostaient avec des correctifs logiciels et des poursuites judiciaires.

Les documents rvlent que NSO a mis au point et dploy un programme d’exploitation de WhatsApp en un clic pour implanter le logiciel espion Pegasus sur les tlphones des victimes, mme aprs que Meta (Facebook) l’ait poursuivie en justice (ce que l’entreprise avait prcdemment ni)

Trois exploits sont mentionns dans le procs intent par Meta contre le fabricant de logiciels espions, baptiss Heaven, Eden et Erised. Aprs que le vecteur Heaven a cess de fonctionner, NSO Group a dploy Eden, qui avait une caractristique cl : il devait passer par des relais contrls par WhatsApp , explique Scott-Railton, ajoutant que l’exploit tait conu pour tre dploy sans tre dtect. En fin de compte, il a t dtect, ce qui a conduit l’action en justice , selon le chercheur de Citizen Lab.

Selon Josh Shaner, un ancien employ de Westbridge, une filiale de NSO base aux tats-Unis, un client n’avait qu’ entrer le numro de l’appareil cible et « appuyer sur Installer ». Pegasus aurait alors install l’agent sur l’appareil distance sans aucun engagement . Et d’ajouter que Le reste est fait automatiquement par le systme . WhatsApp a dclar dans son dossier : En d’autres termes, le client passe simplement une commande pour les donnes d’un appareil cible, et NSO contrle chaque aspect du processus de rcupration et de livraison des donnes grce sa conception de Pegasus .

Pegasus aurait d’ailleurs t utilis par le dirigeant de Duba pour cibler son ex-femme, la princesse Haya. Difficile dans des situations comme celle-ci de confirmer les propos de l’entreprise qui assure qu’elle dveloppe et vend ses logiciels de surveillance pour donner aux forces de l’ordre les outils ncessaires la lutte contre les criminels dangereux, tels que les terroristes.

Une dcision judiciaire dterminante

La Cour suprme des tats-Unis a rcemment refus d’entendre l’appel de NSO Group, laissant en place une dcision d’un tribunal infrieur selon laquelle NSO ne bnficie pas de l’immunit souveraine. Selon les conclusions du tribunal infrieur, NSO Group est entirement responsable de l’exploitation du logiciel espion Pegasus, et non ses clients. Cette dcision signifie que WhatsApp peut continuer sa procdure judiciaire contre NSO pour les violations prsumes.

Ce jugement est considr comme une avance majeure pour responsabiliser les acteurs privs impliqus dans des activits de surveillance illicites. Il tablit un prcdent juridique selon lequel les entreprises ne peuvent pas se cacher derrire leurs contrats avec des gouvernements pour chapper aux consquences de leurs actions.

Dans sa dcision, la juge fdrale Phyllis Hamilton a dclar que NSO ne contestait pas le fait qu’il avait d faire de l’ingnierie inverse et/ou dcompiler le logiciel WhatsApp pour installer son logiciel espion Pegasus sur les appareils, mais elle a soulev la question de savoir s’il l’avait fait avant d’accepter les conditions d’utilisation de WhatsApp.

Toutefois, la juge a dclar que le bon sens dicte que [NSO] doit d’abord avoir obtenu l’accs WhatsApp, soulignant que NSO n’avait offert aucune explication plausible sur la faon dont il aurait pu le faire sans accepter les conditions d’utilisation.

La juge Hamilton a not que NSO avait plusieurs reprises omis de produire des documents pertinents, y compris le code source de Pegasus, en dpit d’une ordonnance du tribunal exigeant qu’il soit remis. Elle a ajout que NSO avait galement refus de produire des communications internes, y compris des communications sur les vulnrabilits de WhatsApp.

Le manque de respect par NSO des ordonnances de divulgation soulve de srieuses inquitudes quant sa transparence et sa volont de cooprer avec le processus judiciaire , a dclar la juge.

Emily Westcott, porte-parole de Meta, a dclar que WhatsApp se flicitait de la dcision rendue vendredi.

NSO ne peut plus viter de rpondre de ses attaques illgales contre WhatsApp, les journalistes, les militants des droits de l’homme et la socit civile , a-t-elle dclar. Avec cette dcision, les socits de logiciels espions doivent savoir que leurs actions illgales ne seront pas tolres. Nous sommes fiers de nous tre opposs NSO et nous remercions les nombreuses organisations qui nous ont soutenus dans cette affaire. WhatsApp ne cessera jamais de travailler la protection des communications prives des gens .

Will Cathcart, le directeur de WhatsApp, a qualifi la dcision de grande victoire pour la vie prive dans un post sur X :

Cette dcision est une grande victoire pour la protection de la vie prive.

Nous avons pass cinq ans prsenter notre dossier parce que nous sommes fermement convaincus que les fabricants de logiciels espions ne peuvent pas se retrancher derrire l’immunit ou viter de rpondre de leurs actes illgaux.

Les socits de surveillance doivent savoir que l’espionnage illgal ne sera pas tolr.

WhatsApp ne cessera jamais de travailler la protection des communications prives.

Gil Lainer, porte-parole de l’ONS, n’a pas souhait faire de commentaires. NSO avait prcdemment fait valoir que Pegasus aidait les forces de l’ordre et les services de renseignement lutter contre la criminalit et protger la scurit nationale.

L’affaire va maintenant faire l’objet d’un procs en mars 2025, au cours duquel un jury dcidera des dommages et intrts que NSO Group devra verser WhatsApp.

Implications pour la cyberscurit mondiale

Cette victoire judiciaire a des implications profondes dans le paysage technologique mondial. Tout d’abord, elle souligne l’importance croissante de la responsabilit des entreprises technologiques dans la lutte contre les cybermenaces. WhatsApp, avec ses deux milliards dutilisateurs dans le monde, a dmontr quil est possible de tenir tte des acteurs sophistiqus et influents comme NSO Group.

Ensuite, cette affaire met en lumire la menace pose par les logiciels espions commerciaux. De nombreux gouvernements et organisations de dfense des droits humains ont exprim leurs inquitudes concernant l’utilisation abusive de Pegasus et d’autres outils similaires, qui sapent la vie prive et la libert d’expression.

Enfin, cette dcision pourrait encourager d’autres plateformes technologiques prendre des mesures similaires pour protger leurs utilisateurs contre les intrusions illgales.

Source : dcision de justice

Et vous ?

Utilisez-vous Whatsapp ou un autre service de messagerie chiffr (lequel ?) ? Pourquoi ? Qu’en pensez-vous ?

La dcision contre NSO Group pourrait-elle inspirer d’autres entreprises technologiques engager des actions judiciaires contre des acteurs similaires ?

La notion d’immunit souveraine (le client est responsable des usages qu’il fait de l’accs l’application que nous lui vendons, pas nous) pour les entreprises prives travaillant avec des gouvernements devrait-elle tre redfinie ?

Comment quilibrer les besoins en surveillance pour la scurit publique avec la protection des droits individuels ?





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.