« Cette décision est une énorme victoire pour la protection de la vie privée. Nous avons passé cinq ans à défendre notre cause, parce que nous sommes convaincus que les entreprises qui commercialisent des logiciels espions ne peuvent pas se retrancher derrière l'immunité ou éviter de rendre des comptes pour leurs actes illicites », déclare Will Cathcart.
Responsable de WhatsApp chez Meta, il ajoute : « Les sociétés de surveillance doivent savoir que l'espionnage illégal ne sera pas toléré. WhatsApp ne cessera jamais de travailler à la protection des communications privées des personnes. »
Cette réaction fait suite au dénouement d'une procédure judiciaire au long cours aux États-Unis. Une juge américaine a considéré qu'avec son spyware Pegasus, NSO Group est responsable du piratage de WhatsApp. La question des dommages-intérêts fera ultérieurement l'objet d'un procès.
Rappel des faits
L'application de messagerie dans le giron de Meta avait porté plainte en octobre 2019 contre NSO Group. Elle lui reproche l'envoi de Pegasus via WhatsApp pour la compromission d'environ 1 400 appareils mobiles dans le monde.
En mai 2019, WhatsApp avait découvert une vulnérabilité affectant la pile VOIP et permettant une exécution de code à distance par le biais de paquets RTCP spécialement conçus envoyés à un numéro de téléphone pris pour cible.
Ce vecteur d'attaque a permis l'injection du spyware via un appel WhatsApp, sans même devoir y répondre. À des fins de surveillance, les victimes ont notamment été des journalistes, des militants des droits de l'homme et des représentants de gouvernement.
Une décision qui fera date ?
Pour la juge, NSO Group a violé les conditions d'utilisation de WhatsApp, ainsi que la législation Computer Fraud and Abuse Act sur la sécurité des systèmes d'information.
La défense de NSO Group est de mettre en avant une exploitation de Pegasus par des clients enquêtant sur des crimes et des affaires de sécurité nationale. NSO Group affirme que ses produits sont utilisés exclusivement par des agences gouvernementales et des organismes chargés du maintien de l'ordre public, dans le but de lutter contre le crime et le terrorisme.
Chercheur en cybersécurité du Citizen Lab de l'université de Toronto qui a enquêté sur le spyware Pegasus, John Scott-Railton veut croire en un signe fort avec la décision de justice grâce à la pugnacité de WhatsApp. « Les entreprises comme NSO peuvent être amenées à rendre des comptes. »
Après le renoncement d'Apple
Rappelons qu'Apple avait aussi porté plainte contre NSO Group en novembre 2021, pour « endiguer l'utilisation de logiciels espions par des organismes d'État. » Une plainte qui a finalement été abandonnée en septembre dernier.
Selon le Washington Post, Apple a considéré qu'il ne pourrait jamais être en mesure d'obtenir les fichiers les plus critiques sur Pegasus, et que ses propres divulgations pourraient au contraire aider NSO et des entreprises concurrentes.