Jeudi, WhatsApp a remporté une victoire juridique en convainquant un juge fédéral américain de rendre publique sa décision trois documents judiciaires qui incluent de nouvelles révélations sur le fonctionnement interne de Pegasus, le logiciel espion fabriqué par le fabricant israélien de technologies de surveillance NSO Group.
Les documents récemment descellés comprennent des informations provenant de dépositions d’employés de NSO au cours des procédures judiciaires, des documents internes de l’entreprise, ainsi que – ironiquement – des messages WhatsApp échangés entre les employés de NSO, que WhatsApp a obtenus en envoyant des assignations à comparaître à NSO.
Les documents révèlent également que NSO a empêché 10 clients gouvernementaux ces dernières années d’accéder au logiciel espion Pegasus, invoquant un abus de son service.
Cette publication de nouvelles révélations est le dernier développement dans le procès que WhatsApp a intenté en 2019, accusant NSO d’avoir violé la loi anti-piratage, la loi sur la fraude et les abus informatiques, et d’avoir enfreint les conditions d’utilisation de WhatsApp, en accédant aux serveurs WhatsApp et en ciblant des utilisateurs individuels avec des logiciels espions envoyés via l’application de chat. Les accusations sont basées sur une série de cyberattaques contre des utilisateurs de WhatsApp, notamment des journalistes, des dissidents et des défenseurs des droits de l’homme.
« Les preuves dévoilées montrent exactement comment les opérations de NSO ont violé la loi américaine et lancé leurs cyberattaques contre les journalistes, les militants des droits de l’homme et la société civile », a déclaré le porte-parole de WhatsApp, Zade Alsawah, dans un communiqué envoyé à TechCrunch. « Nous allons continuer à travailler pour tenir NSO responsable et protéger nos utilisateurs. »
Des dizaines de milliers de cibles potentielles
Selon les documents judiciaires, vu par TechCrunch, NSO avait développé une suite d’outils de piratage à utiliser contre les cibles utilisant WhatsApp, capables d’accéder aux données privées sur le téléphone de la cible. La suite de piratage s’appelait « Hummingbird », et deux des exploits de la suite ont été surnommés « Eden » et « Heaven ».
Cette suite a coûté aux clients gouvernementaux de NSO – à savoir les services de police et les agences de renseignement – jusqu’à 6,8 millions de dollars pour une licence d’un an, et a rapporté à NSO « au moins 31 millions de dollars de revenus en 2019, selon l’un des documents judiciaires.
Grâce à ces outils de piratage, NSO a installé Pegasus sur « entre des centaines et des dizaines de milliers » d’appareils cibles, selon une déposition du responsable de la recherche et du développement de NSO, Tamir Gazneli.
Jusqu’à présent, il n’était pas clair qui envoyait réellement les messages WhatsApp malveillants pour cibler des individus avec des logiciels espions. Pendant des années, NSO a prétendu ne pas avoir connaissance des opérations de ses clients et ne pas être impliqué dans la réalisation des cyberattaques ciblées. Les documents judiciaires récemment publiés jettent le doute sur certaines des affirmations de NSO.
WhatsApp a fait valoir dans l’un des documents judiciaires que « le rôle des clients de NSO est minime », étant donné que les clients gouvernementaux n’avaient qu’à saisir le numéro de téléphone de l’appareil de la cible et, citant un employé de NSO, « appuyez sur Installer, et Pegasus installera l’agent sur l’appareil à distance sans aucun engagement ».
« En d’autres termes, le client passe simplement une commande pour les données d’un appareil cible, et NSO contrôle tous les aspects du processus de récupération et de livraison des données grâce à sa conception de Pegasus », a fait valoir WhatsApp.
Les documents judiciaires citent un employé de NSO qui a déclaré que « c’était notre décision de déclencher ou non [the exploit] en utilisant ou non des messages WhatsApp », faisant référence à l’un des exploits que l’entreprise proposait à ses clients.
Contacté pour un commentaire, le porte-parole de NSO, Gil Lainer, a déclaré dans une déclaration à fr.techtribune.net: « NSO maintient ses déclarations précédentes dans lesquelles nous avons détaillé à plusieurs reprises que le système est exploité uniquement par nos clients et que ni NSO ni ses employés n’ont accès aux renseignements recueillis par le système. »
« Nous sommes convaincus que ces allégations, comme beaucoup d’autres dans le passé, seront prouvées fausses devant les tribunaux, et nous attendons avec impatience l’occasion de le faire », a déclaré M. Lainer de NSO.
Les trois exploits de NSO ont ciblé des utilisateurs de WhatsApp
L’une des techniques utilisées par NSO pour permettre à ses clients de cibler les utilisateurs de WhatsApp, décrite dans un document, consistait à mettre en place ce que la société a appelé un « serveur d’installation WhatsApp », ou WIS, que WhatsApp appelle un « faux client ». Il s’agissait essentiellement d’une version modifiée de l’application WhatsApp que NSO a développée et utilisée pour envoyer des messages, y compris leurs exploits malveillants, aux utilisateurs réguliers de WhatsApp. NSO a admis avoir créé de vrais comptes WhatsApp pour ses clients, selon l’un des documents judiciaires.
WhatsApp a été en mesure de vaincre les exploits « Eden » et « Heaven » de NSO avec des correctifs et des mises à jour de Sécurité, selon une communication interne de NSO.
« Eden/Paradis/Hummingbird R.I.P. annonce », peut-on lire dans un message envoyé aux employés de NSO.
Les documents judiciaires montrent que l’exploit Heaven de NSO était actif avant 2018 et a été conçu pour inciter les appareils WhatsApp cibles à communiquer avec un serveur relais WhatsApp malveillant contrôlé par NSO.
Après que WhatsApp a corrigé ses systèmes contre l’exploit Heaven de NSO, NSO a développé un nouvel exploit appelé « Eden », dont un employé de NSO cité par les documents judiciaires a déclaré : « besoin[ed] pour passer par des serveurs relais WhatsApp », ce que l’exploit Heaven avait cherché à éviter. C’est l’utilisation de l’exploit Eden qui a conduit WhatsApp à intenter une action en justice contre NSO, selon une déposition d’un autre employé de NSO.
Un troisième exploit développé par NSO, révélé dans les documents, s’appelait « Erised », un exploit dit « zéro clic » qui pouvait compromettre le téléphone d’une victime sans aucune interaction de sa part. WhatsApp a bloqué l’utilisation de l’exploit Erised de NSO en mai 2020, plusieurs mois après que WhatsApp ait intenté une action en justice.
Limite des clients
Un autre détail intéressant qui a fait surface cette semaine est l’aveu par l’un des employés de NSO déposé au cours du procès que Pegasus a été utilisé contre la princesse Haya de Dubaï, une affaire qui a été rapportée par le Le Gardien et Le Washington Post en 2021, et plus tard par The New Yorker en 2023.
Le même employé de NSO a déclaré que le fabricant de logiciels espions avait « déconnecté » l’accès à Pegasus pour 10 clients, citant l’utilisation abusive du logiciel espion.
À ce stade de l’affaire judiciaire, WhatsApp demande au juge de rendre un jugement sommaire dans l’affaire et attend une décision.
Pendant ce temps, les détails qui ont été révélés de la poursuite cette semaine pourraient aider d’autres personnes qui ont poursuivi NSO dans d’autres pays, selon Natalia Krapiva, conseillère juridique en technologie chez Access Now, une organisation à but non lucratif qui a enquêté sur certains cas d’abus commis avec le logiciel espion de NSO.
« Le fait que WhatsApp s’en tienne à son action en justice récolte enfin certains avantages », a déclaré Krapiva à TechCrunch. « S’il est vrai que NSO n’a pas partagé beaucoup d’informations (en particulier des choses comme les codes Pegasus, la liste des clients, etc.), les informations qu’ils ont partagées sont déjà très utiles pour cette affaire, mais aussi pour les affaires juridiques contre NSO dans le monde entier. »
« Et le fait que NSO cache des informations va également dans les deux sens, car il est également très difficile pour eux de présenter une défense solide », a déclaré Krapiva.
