Un juge fédéral américain a statué que le fabricant israélien de logiciels espions NSO Group avait violé les lois américaines sur le piratage en utilisant WhatsApp zero-days pour déployer le logiciel espion Pegasus sur au moins 1 400 appareils.
NSO Group commercialise Pegasus en tant que logiciel de surveillance pour les gouvernements qui permet aux clients de surveiller les activités des victimes et d’extraire des données des appareils compromis.
« Cette décision est une énorme victoire pour la vie privée », a déclaré Will Cathcart de WhatsApp. « Nous avons passé cinq ans à présenter notre cas parce que nous croyons fermement que les sociétés de logiciels espions ne pouvaient pas se cacher derrière l’immunité ou éviter de rendre des comptes pour leurs actions illégales. »
Cathcart a également souligné l’importance de la responsabilité des entreprises de logiciels espions, en déclarant: « Les entreprises de surveillance devraient être informées que l’espionnage illégal ne sera pas toléré. »
« Fier que nous nous soyons battus pour cela et que WhatsApp continue de mener en matière de confidentialité et de cryptage », a ajouté le PDG de Meta, Mark Zuckerberg.
La décision de la semaine dernière marque une victoire significative pour WhatsApp appartenant à Meta, qui a déposé l’affaire il y a cinq ans, accusant NSO Group d’avoir enfreint la Loi sur la Fraude et les abus informatiques (CFAA) et la Loi californienne sur l’Accès aux Données informatiques et la Fraude (CDAFA).
Alors que le tribunal a déjà statué en faveur de WhatsApp, les dommages dus seront déterminés au début de l’année prochaine.
Les piratages ont continué même après le dépôt de la plainte
Des documents judiciaires déposés le mois dernier ont révélé que NSO aurait exploité les vulnérabilités de WhatsApp en utilisant plusieurs exploits zero-day, dont un auparavant inconnu appelé « Erised », pour déployer Pegasus dans des attaques zéro clic. Les documents indiquaient également que les développeurs de NSO avaient inversé le code de WhatsApp pour créer des outils capables d’envoyer des messages malveillants qui installaient des logiciels espions, violant les lois fédérales et étatiques.
NSO aurait continué à utiliser et à mettre ses exploits à la disposition des clients même après que WhatsApp a intenté une action en justice en octobre 2019, jusqu’à ce que les correctifs du serveur WhatsApp bloquent son accès après mai 2020.
Cependant, la société a nié toute responsabilité pour les actions de ses clients, affirmant qu’elle ne pouvait pas accéder aux données récupérées à l’aide de sa plate-forme de logiciels espions Pegasus.
« NSO soutient ses déclarations précédentes dans lesquelles nous avons détaillé à plusieurs reprises que le système est exploité uniquement par nos clients et que ni NSO ni ses employés n’ont accès aux renseignements recueillis par le système », a déclaré un porte-parole de NSO à Breachtrace le mois dernier.
Malgré ces affirmations, Pegasus a été lié à des incidents de piratage ciblant des personnes de haut niveau, notamment des employés du Département d’État américain, des représentants du gouvernement britannique, des politiciens catalans, des diplomates finlandais, des journalistes et des militants.
En 2021, le Bureau de l’Industrie et de la sécurité (BIS) du Département du Commerce des États-Unis a sanctionné NSO Group et une autre entreprise israélienne, Candiru, pour avoir fourni des logiciels espions utilisés pour cibler des journalistes, des représentants du gouvernement et des militants. La même année, Apple a intenté une action en justice contre NSO pour avoir déployé Pegasus pour pirater les iPhones.