Il y a quelques jours, la justice américaine a tranché en faveur de Meta dans l’affaire qui l’opposait depuis cinq ans à NSO Group, éditeur du spyware Pegasus. Mais on en apprend un peu plus aujourd'hui concernant l'attitude loin d'être irréprochable de ce dernier.
Une victoire judiciaire retentissante pour Meta, mais...
Cinq ans après le dépôt de plainte initial par WhatsApp, le groupe NSO a été condamné à verser plus de 167 millions de dollars pour l'utilisation de son spyware Pegasus contre les utilisateurs du service de messagerie. Le tribunal a également exigé que NSO remette le code source de Pegasus et de ses autres outils de surveillance à WhatsApp. Meta a rapidement salué la décision comme un pas en avant important pour la confidentialité et la sécurité, marquant la fin d’une procédure complexe, dont la transcription s’étend sur plus de 1 000 pages.
Mais on apprend aujourd'hui que Pegasus a continué à espionner WhatsApp, même après le dépôt de la plainte en novembre 2019 et alors qu'une action en justice était en cours. D’après Tamir Gazneli, vice-président R&D de l’entreprise, NSO a continué à exploiter une série de vecteurs baptisés Erised, Eden et Heaven, regroupés sous le nom de code Hummingbird.
Ces outils ciblaient WhatsApp via des attaques dites zéro clic, ne nécessitant aucune action de la part de la victime pour exécuter du code malveillant. Ils ont été activement utilisés jusqu’en mai 2020, démontrant la détermination de NSO à poursuivre ses activités, y compris sous pression judiciaire.
Des implications pour la cybersécurité mondiale
Ces révélations soulignent les méthodes agressives de certains éditeurs de logiciels espions, même lorsqu’ils sont sous le feu des poursuites. NSO, connu pour vendre ses outils à des gouvernements dans le cadre de la lutte contre le terrorisme, a souvent été critiqué pour leur usage abusif à des fins de surveillance politique ou journalistique.
Le procès a également mis en lumière les liens entre vecteurs techniques sophistiqués et clients gouvernementaux. Le vecteur Erised aurait ainsi permis l’infection de cibles sans que celles-ci ne reçoivent de message ou n’aient besoin de cliquer sur quoi que ce soit.
Et la suite ?
Dans la foulée du verdict, Meta a annoncé qu’elle rendrait publiques des transcriptions non officielles du procès afin d’aider les chercheurs en cybersécurité et les journalistes à mieux comprendre les menaces posées par ces technologies. De son côté, NSO Group a annoncé sa décision de faire appel, espérant sans doute réduire l’impact financier et juridique du jugement.
L’affaire Meta vs NSO illustre l’importance croissante des batailles juridiques autour des outils d’espionnage numérique. À mesure que les plateformes renforcent leurs protections, les acteurs offensifs développent des méthodes de plus en plus furtives et sophistiquées. La condamnation de NSO pourrait établir un précédent et inciter d’autres entreprises à poursuivre en justice les auteurs d’intrusions ciblées.
