La société de surveillance israélienne NSO Group aurait utilisé plusieurs exploits zero-day, dont un inconnu nommé « Erised », qui exploitait les vulnérabilités de WhatsApp pour déployer le logiciel espion Pegasus dans des attaques sans clic, même après avoir été poursuivi en justice.
Pegasus est la plateforme de logiciels espions de NSO Group (commercialisée comme logiciel de surveillance destiné aux gouvernements du monde entier), avec plusieurs composants logiciels qui offrent aux clients des capacités de surveillance étendues sur les appareils compromis des victimes. Par exemple, les clients de NSO pourraient surveiller l’activité des victimes et extraire des informations à l’aide de l’agent Pegasus installé sur les téléphones mobiles des victimes.
Selon tribunal documents déposé jeudi (repéré pour la première fois par John Scott Railton, chercheur principal au Citizen Lab) dans le cadre de la bataille juridique de WhatsApp avec le groupe israélien NSO, le fabricant de logiciels espions a développé un exploit nommé « Heaven » avant avril 2018 qui utilisait un client WhatsApp personnalisé connu sous le nom de « serveur d’installation WhatsApp » (ou ‘WIS’) capable d’usurper l’identité du client officiel pour déployer l’agent logiciel espion Pegasus sur les appareils des cibles à partir d’un serveur tiers sous le contrôle de NSO.
Cependant, WhatsApp a bloqué l’accès de NSO aux appareils infectés et à ses serveurs avec des mises à jour de sécurité publiées en septembre et décembre 2018, empêchant ainsi l’exploit Heaven de fonctionner.
En février 2019, le fabricant de logiciels espions aurait développé un autre exploit appelé « Eden » pour contourner les protections de WhatsApp mises en œuvre en 2018. Comme WhatsApp l’a découvert en mai 2019, Eden a été utilisé par les clients de NSO dans des attaques contre environ 1 400 appareils.
« À titre préliminaire, NSO admet qu’elle a développé et vendu le logiciel espion décrit dans la plainte, et que le logiciel espion de NSO, en particulier son vecteur d’installation sans clic appelé « Eden », qui faisait partie d’une famille de vecteurs basés sur WhatsApp connus collectivement sous le nom de « Hummingbird » (collectivement, les « vecteurs de logiciels malveillants ») – était responsable des attaques », a déclaré le des documents judiciaires révèlent.
Tamir Gazneli, responsable de la recherche et du développement de NSO, et les « accusés ont admis avoir développé ces exploits en extrayant et en décompilant le code de WhatsApp, en faisant de l’ingénierie inverse sur WhatsApp » pour créer le client WIS qui pourrait être utilisé pour « envoyer des messages mal formés (ce qui un client WhatsApp légitime ne pouvait pas envoyer) via les serveurs WhatsApp et ainsi amener les appareils cibles à installer l’agent logiciel espion Pegasus, le tout en violation des lois fédérales et étatiques et du langage clair des conditions d’utilisation de WhatsApp.
Après avoir détecté les attaques, WhatsApp a corrigé les vulnérabilités d’Eden et désactivé les comptes WhatsApp de NSO. Cependant, même après le blocage de l’exploit Eden en mai 2019, les documents judiciaires indiquent que NSO a admis avoir développé un autre vecteur d’installation (nommé « Erised ») qui utilisait les serveurs relais de WhatsApp pour installer le logiciel espion Pegasus.
Les utilisateurs de WhatsApp ciblés même après le dépôt d’une plainte
Les nouveaux documents judiciaires indiquent que NSO a continué à utiliser et à mettre Erised à la disposition de ses clients même après le dépôt du procès en octobre 2019, jusqu’à ce que des modifications supplémentaires de WhatsApp bloquent son accès quelque temps après mai 2020. Les témoins de NSO auraient refusé de répondre si le fabricant de logiciels espions avait développé davantage. Vecteurs de logiciels malveillants basés sur WhatsApp.
Ils ont également révélé que le fournisseur de logiciels espions avait reconnu devant le tribunal que son logiciel espion Pegasus exploitait le service de WhatsApp pour installer son agent logiciel de surveillance sur « entre des centaines et des dizaines de milliers » d’appareils cibles. L’entreprise a également admis avoir procédé à une ingénierie inverse sur WhatsApp pour développer cette capacité, en installant « la technologie » pour ses clients et en leur fournissant les comptes WhatsApp dont ils avaient besoin pour les attaques.
Le processus d’installation du logiciel espion aurait été lancé lorsqu’un client de Pegasus a saisi le numéro de téléphone mobile d’une cible dans un champ d’un programme exécuté sur son ordinateur portable, ce qui a déclenché le déploiement à distance de Pegasus sur les appareils des cibles.
Ainsi, l’implication de ses clients dans l’opération était limitée puisqu’il leur suffisait de saisir le numéro cible et de sélectionner « Installer ». L’installation du logiciel espion et l’extraction des données ont été entièrement gérées par le système Pegasus de NSO, ne nécessitant aucune connaissance technique ni action supplémentaire de la part des clients.
Cependant, NSO continue de déclarer ils ne sont pas responsables pour les actions de leurs clients ou n’ont pas accès aux données récupérées lors de l’installation du logiciel espion Pegasus, limitant leur rôle dans les opérations de surveillance.
Entre autres cibles, le logiciel espion Pegasus de NSO a été utilisé pour pirater les téléphones d’hommes politiques, de journalistes et de militants catalans, Fonctionnaires du gouvernement britanniquedes diplomates finlandais et des employés du Département d’État américain.
En novembre 2021, les États-Unis ont sanctionné NSO Group et Candiru pour avoir fourni des logiciels utilisés pour espionner des représentants du gouvernement, des journalistes et des militants. Début novembre 2021, Apple a également intenté une action en justice contre NSO pour piratage des appareils iOS des clients Apple et espionnage à l’aide du logiciel espion Pegasus.
Un porte-parole du groupe NSO n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par BleepingComputer plus tôt dans la journée.
