La question des dommages-intérêts était encore à trancher. Un jury a décidé qu'ils seront de plus de 167 millions de dollars à verser à WhatsApp et sa maison mère Meta par NSO Group. Avec son spyware commercial Pegasus, NSO Group a été reconnu responsable du piratage de WhatsApp en 2019.

« Le verdict rendu dans l'affaire WhatsApp est une étape importante pour la confidentialité et la sécurité, parce qu'il s'agit de la première victoire contre le développement et l'utilisation de logiciels espions illégaux qui menacent la sécurité et la vie privée de tous », a commenté Meta.

Pour Meta, la décision du jury de forcer NSO à payer des dommages et intérêts constitue un « moyen de dissuasion essentiel » à l'encontre d'une industrie malveillante. La possibilité d'un appel n'est toutefois pas à écarter.

-----

Actualité publiée le 24 décembre 2024

« Cette décision est une énorme victoire pour la protection de la vie privée. Nous avons passé cinq ans à défendre notre cause, parce que nous sommes convaincus que les entreprises qui commercialisent des logiciels espions ne peuvent pas se retrancher derrière l'immunité ou éviter de rendre des comptes pour leurs actes illicites », déclare Will Cathcart.

Responsable de WhatsApp chez Meta, il ajoute : « Les sociétés de surveillance doivent savoir que l'espionnage illégal ne sera pas toléré. WhatsApp ne cessera jamais de travailler à la protection des communications privées des personnes. »

Cette réaction fait suite au dénouement d'une procédure judiciaire au long cours aux États-Unis. Une juge américaine a considéré qu'avec son spyware Pegasus, NSO Group est responsable du piratage de WhatsApp. La question des dommages-intérêts fera ultérieurement l'objet d'un procès.

Rappel des faits

L'application de messagerie dans le giron de Meta avait porté plainte en octobre 2019 contre NSO Group. Elle lui reproche l'envoi de Pegasus via WhatsApp pour la compromission d'environ 1 400 appareils mobiles dans le monde.

En mai 2019, WhatsApp avait découvert une vulnérabilité affectant la pile VOIP et permettant une exécution de code à distance par le biais de paquets RTCP spécialement conçus envoyés à un numéro de téléphone pris pour cible.

Ce vecteur d'attaque a permis l'injection du spyware via un appel WhatsApp, sans même devoir y répondre. À des fins de surveillance, les victimes ont notamment été des journalistes, des militants des droits de l'homme et des représentants de gouvernement.

Une décision qui fera date ?

Pour la juge, NSO Group a violé les conditions d'utilisation de WhatsApp, ainsi que la législation Computer Fraud and Abuse Act sur la sécurité des systèmes d'information.

La défense de NSO Group est de mettre en avant une exploitation de Pegasus par des clients enquêtant sur des crimes et des affaires de sécurité nationale. NSO Group affirme que ses produits sont utilisés exclusivement par des agences gouvernementales et des organismes chargés du maintien de l'ordre public, dans le but de lutter contre le crime et le terrorisme.

Chercheur en cybersécurité du Citizen Lab de l'université de Toronto qui a enquêté sur le spyware Pegasus, John Scott-Railton veut croire en un signe fort avec la décision de justice grâce à la pugnacité de WhatsApp. « Les entreprises comme NSO peuvent être amenées à rendre des comptes. »

Après le renoncement d'Apple

Rappelons qu'Apple avait aussi porté plainte contre NSO Group en novembre 2021, pour « endiguer l'utilisation de logiciels espions par des organismes d'État. » Une plainte qui a finalement été abandonnée en septembre dernier.

Selon le Washington Post, Apple a considéré qu'il ne pourrait jamais être en mesure d'obtenir les fichiers les plus critiques sur Pegasus, et que ses propres divulgations pourraient au contraire aider NSO et des entreprises concurrentes.