De nouveaux détails troublants émergent sur les agissements de NSO Group, la société israélienne connue pour son logiciel espion Pegasus. Des documents judiciaires récemment rendus publics dans le cadre d’un procès intenté par WhatsApp révèlent que NSO a dû couper l’accès à Pegasus pour 10 de ses clients gouvernementaux en raison d’abus de son outil de surveillance.
WhatsApp Obtient une Victoire Juridique Clé
Jeudi dernier, WhatsApp a obtenu une victoire juridique importante en convainquant un juge fédéral américain de rendre publics trois documents judiciaires qui dévoilent de nouvelles révélations sur le fonctionnement interne de Pegasus, le logiciel espion ultra-sophistiqué développé par NSO Group.
Les documents nouvellement déclassifiés comprennent des informations issues de dépositions d’employés de NSO lors de la procédure judiciaire, des documents internes de l’entreprise, ainsi que -ironiquement- des messages WhatsApp échangés entre employés de NSO, que WhatsApp a obtenu en envoyant des assignations à NSO.
NSO Admet Avoir Coupé 10 Clients Pour Abus
Un élément notable qui ressort de ces documents est l’admission par NSO qu’elle a dû déconnecter 10 clients gouvernementaux de l’accès à Pegasus ces dernières années, en raison d’abus de son service d’espionnage. Cela montre l’ampleur des dérives rendues possibles par un outil aussi puissant que Pegasus.
Les preuves dévoilées montrent exactement comment les opérations de NSO ont violé la loi américaine et lancé leurs cyberattaques contre des journalistes, des militants des droits de l’homme et la société civile.
Zade Alsawah, porte-parole de WhatsApp
Des Dizaines de Milliers de Cibles Potentielles
Selon les documents judiciaires, NSO avait développé une suite d’outils de piratage pouvant être utilisés contre des cibles via WhatsApp, capables d’accéder à des données privées sur le téléphone de la cible. Cette suite, baptisée « Hummingbird », comprenait notamment deux exploits appelés « Eden » et « Heaven« .
Cette suite coûtait jusqu’à 6,8 millions de dollars par an aux clients gouvernementaux de NSO (services de police et agences de renseignement), et a rapporté au moins 31 millions de dollars de revenus à NSO en 2019. Grâce à ces outils, NSO a pu installer Pegasus sur « entre des centaines et des dizaines de milliers » d’appareils cibles.
NSO Plus Impliqué qu’il Ne Le Prétend
Pendant des années, NSO a prétendu n’avoir aucune connaissance des opérations de ses clients et ne pas être impliqué dans la réalisation des cyberattaques. Mais les documents judiciaires jettent le doute sur ces affirmations.
WhatsApp a argué que « le rôle des clients de NSO est minime », étant donné que les clients gouvernementaux n’avaient besoin que de saisir le numéro de téléphone de la cible, et « d’appuyer sur Installer pour que Pegasus installe l’agent sur l’appareil à distance sans aucune intervention ».
- « En d’autres termes, le client passe simplement une commande pour les données d’un appareil cible, et NSO contrôle tous les aspects du processus de récupération et de livraison des données via sa conception de Pegasus », a souligné WhatsApp.
Trois Exploits Visant les Utilisateurs de WhatsApp
Les documents révèlent que NSO utilisait trois principaux exploits pour permettre à ses clients de cibler les utilisateurs de WhatsApp :
- « Heaven« , utilisé avant 2018, qui dirigeait les appareils cibles vers un serveur relais malveillant contrôlé par NSO.
- « Eden« , développé après que WhatsApp ait corrigé sa vulnérabilité à Heaven. L’utilisation d’Eden par NSO a conduit WhatsApp à intenter son procès.
- « Erised« , un exploit « zero-click » pouvant compromettre un téléphone sans aucune interaction de la cible, bloqué par WhatsApp en mai 2020.
Des Révélations Qui Pourraient Aider D’autres Victimes
Les détails qui ont émergé cette semaine pourraient aider d’autres personnes ayant poursuivi NSO dans d’autres pays, selon Natalia Krapiva, conseillère juridique tech chez Access Now, une ONG qui a enquêté sur des cas d’abus commis avec le logiciel espion de NSO.
L’action en justice de WhatsApp porte enfin ses fruits. Même si NSO ne partage pas beaucoup d’informations, celles qu’ils ont partagé sont déjà très utiles pour ce cas mais aussi pour les affaires judiciaires contre NSO dans le monde entier.
Natalia Krapiva, Access Now
Ce procès révélateur montre l’importance de la responsabilité des entreprises technologiques et le besoin crucial de réglementation des outils de surveillance, pour empêcher les abus et protéger les droits humains à l’ère numérique. Les révélations de cette semaine ne sont probablement que la partie émergée de l’iceberg des dérives rendues possibles par des logiciels espions comme Pegasus.
