En 2019, WhatsApp s’est rendu compte que Pegasus, le redoutable malware espion de NSO, exploitait une faille de sa messagerie pour infecter le smartphone de ses utilisateurs. Une fois installé, ce logiciel espion peut notamment extraire les e-mails, les SMS et les photos, et prendre le contrôle du micro et de l’appareil photo.
Après avoir déployé un correctif dans les plus brefs délais, la messagerie instantanée a déposé une plainte contre NSO, la société israélienne controversée à l’origine de Pegasus. Pour WhatsApp, Pegasus a compromis un total de 1400 smartphones entre 2018 et 2020. Parmi les victimes présumées de Pegasus, on trouve des journalistes, des militants des droits de l’homme, des dissidents politiques, des diplomates et de hauts responsables gouvernementaux.
À lire aussi : après Pegasus, un nouveau spyware compromet les iPhone pour les espionner
Les pratiques de NSO révélées au grand jour
Cinq ans après le coup d’envoi du procès opposant WhatsApp à NSO, des documents de l’instruction en cours sont venus entériner les accusations de la messagerie. Les documents, relayés par le média The Record, démontrent que Pegasus s’est bien servi de vulnérabilités WhatsApp dans le cadre d’opérations d’espionnage. Le juge fédéral californien en charge de l’affaire a ordonné la publication des documents la semaine dernière, indique le média.
Les documents, qui comprennent des dépositions d’employés et des messages échangés en interne, confirment que 1400 appareils sont bien tombés sous la coupe de Pegasus à cause des failles de WhatsApp. En 2018, le virus s’est notamment servi d’un faux client WhatsApp pour exploiter une brèche encore inconnue. Cette faille a été corrigée quelques mois plus tard.
En réaction, NSO a utilisé un autre vecteur d’attaque, baptisé Eden, pour contourner les correctifs de WhatsApp et entrer de force sur le téléphone des usagers. Enfin, les documents épinglent aussi un troisième vecteur, baptisé Erised, encore plus redoutable. Il ne nécessite pas la moindre interaction de la victime pour déployer le malware. Le vecteur a été exploité jusqu’en mai 2020, soit quelques mois après le dépôt de la plainte de WhatsApp.
« NSO a continué à utiliser et à mettre Erised à la disposition des clients même après le dépôt de ce litige, jusqu’à ce que les modifications apportées à WhatsApp bloquent son accès », précise WhatsApp.
Les aveux de NSO
Un des responsables de la recherche et développement chez NSO « a confirmé que ces vecteurs fonctionnaient précisément comme le prétendaient les plaignants », peut-on lire dans un dépôt du tribunal. Forcé de faire une déposition, le groupe israélien a admis avoir développé des vecteurs d’attaque en « décompilant le code de WhatsApp » pour « comprendre comment contourner les mesures de sécurité qui y sont intégrées ».
Le responsable admet que ces offensives ciblaient « des centaines, voire des dizaines de milliers d’appareils ». Comme le souligne la messagerie de Meta, les activités de NSO « ont violé la loi américaine ». L’entreprise israélienne s’est toujours défendue en assurant que ce sont ses clients qui sont responsables de la manière dont ils se servent de Pegasus. Les documents montrent de manière formelle que NSO est profondément impliqué dans tout le processus d’infection.
« Le client passe simplement une commande pour les données d’un appareil cible, et NSO contrôle tous les aspects du processus de récupération et de livraison des données grâce à sa conception de Pegasus », constate WhatsApp.
En dépit des preuves, NSO affirme toujours que « le système est exploité uniquement par nos clients et que ni NSO ni ses employés n’ont accès aux renseignements recueillis par le système ».
Pour rappel, WhatsApp n’est pas le seul géant du numérique à avoir porté plainte contre NSO. Apple a également intenté une action en justice à l’encontre de la firme en 2021. Le géant de Cupertino souhaitait que la justice interdise à NSO de se servir de ses services et outils, avant de faire marche arrière. Apple a récemment demandé à la justice américaine d’abandonner sa plainte, craignant que le procès ne l’oblige à divulguer des informations liées à la sécurité de l’iPhone.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : The Record
