NSO Group Admet Avoir Coupé l’Accès au Logiciel Espion Pegasus

Le géant israélien de la surveillance NSO Group se retrouve une nouvelle fois sous les projecteurs. Des documents judiciaires dévoilés cette semaine dans le cadre du procès intenté par WhatsApp contre l'entreprise révèlent que NSO a dû couper l'accès à son célèbre logiciel espion Pegasus pour pas moins de 10 de ses clients gouvernementaux en raison d'abus.

C'est une victoire significative pour WhatsApp qui avait poursuivi NSO en 2019, l'accusant de violation de la loi anti-piratage américaine et d'avoir enfreint ses conditions d'utilisation en accédant à ses serveurs et en ciblant des utilisateurs individuels avec le logiciel espion Pegasus, envoyé via l'application de messagerie. Les attaques visaient notamment des journalistes, dissidents et défenseurs des droits humains.

Des révélations explosives sur le fonctionnement de Pegasus

Les documents désormais publics incluent des dépositions d'employés de NSO, des échanges WhatsApp internes à l'entreprise obtenus par assignation, ainsi que des documents internes. On y apprend notamment que :

• NSO avait développé une suite d'outils de piratage contre WhatsApp, baptisée « Hummingbird », comprenant les exploits « Eden » et « Heaven ».
• Cette suite était vendue jusqu'à 6,8 millions de dollars pour une licence annuelle à des clients gouvernementaux (police, services de renseignement...).
• Pegasus a été installé sur « des centaines à des dizaines de milliers » d'appareils cibles selon un responsable R&D de NSO.

Contrairement aux affirmations répétées de NSO de ne pas être impliqué dans les opérations de ses clients, WhatsApp affirme que « le rôle des clients de NSO est minime », la société contrôlant elle-même l'essentiel du processus d'extraction et de livraison des données une fois le numéro cible entré.

WhatsApp a réussi à contrer les exploits de NSO

Pour atteindre les utilisateurs WhatsApp, NSO a notamment mis en place un « serveur d'installation WhatsApp » ou WIS, une version modifiée de l'application utilisée pour envoyer des messages piégés aux cibles.

WhatsApp est cependant parvenu à bloquer les exploits « Heaven », « Eden » puis « Erised » (ce dernier ne nécessitant aucune interaction de la victime) grâce à des mises à jour de sécurité. C'est d'ailleurs l'utilisation de l'exploit « Eden » qui a déclenché la plainte de WhatsApp.

10 clients gouvernementaux coupés de Pegasus pour abus

Un autre détail notable est l'aveu par un employé de NSO que l'entreprise a « déconnecté » l'accès à Pegasus pour 10 de ses clients étatiques ces dernières années, évoquant des abus de l'outil. L'affaire de l'espionnage de la princesse Haya de Dubaï est également confirmée.

Les informations partagées par NSO, bien que partielles, sont déjà très utiles pour cette affaire mais aussi les procédures judiciaires contre NSO à travers le monde.

Natalia Krapiva, conseillère juridique tech chez Access Now

Alors que WhatsApp attend désormais la décision du juge, ces nouvelles révélations risquent de faire mal à NSO Group, déjà fragilisé par de multiples scandales et procédures. Elles démontrent une fois de plus les dérives d'une industrie de la surveillance qui peine encore à s'autoréguler.