WhatsApp a déposé une plainte devant les tribunaux américains contre NSO Group. Elle tient cette société pour responsable d'une attaque informatique qui a bénéficié à des activités d'espionnage.

C’est, de l’aveu même de WhatsApp, une première : le mardi 29 octobre, la messagerie instantanée a déposé une plainte devant un tribunal en Californie pour faire condamner NSO Group, une société israélienne, ainsi que sa maison-mère, Q Cyber Technologies. Ce qui leur est reproché ? D’avoir permis et organisé une attaque informatique contre une poignée d’utilisateurs de son service.

Rappel des faits. À la mi-mai, WhatsApp publie un correctif pour son application mobile de façon à boucher une faille utilisée à des fins d’espionnage. Cette vulnérabilité passait par le système d’appel vidéo pour envoyer en toute discrétion des logiciels malveillants sur les smartphones de certaines cibles. L’attaque, pour réussir, n’avait pas besoin que les victimes répondent à ces appels.

WhatsApp
La faille profitait à un logiciel malveillant utilisé à des fins d’espionnage. // Source : WhatsApp

Il s’agissait d’un incident sérieux pour WhatsApp. Le service, qui appartient à Facebook depuis 2014, se targue de proposer un niveau de protection très élevé pour les discussions de sa communauté. L’application propose en effet du chiffrement de bout en bout, c’est-à-dire qu’elle protège le message avant de l’envoyer à travers les réseaux pour atteindre son destinataire.

Cette opération, que la messagerie décrit de « cyberattaque hautement sophistiquée », ne visait pas le tout-venant. Dès le mois de mai, le laboratoire de recherche Citizen Lab, affilié à l’université de Toronto, au Canada, indiquait qu’au moins une tentative de piratage a ciblé un avocat spécialisé dans les droits de l’homme. Cinq mois plus tard, Citizen Lab en a repéré plus de cent autres.

Une « cyberattaque hautement sophistiquée »

Les cibles sont des journalistes et des militants des droits humains et sont réparties dans une vingtaine de pays à travers le monde, y compris en Europe et en Amérique du Nord. De son côté, WhatsApp avance un nombre encore plus vaste : il y aurait eu 1 400 comptes qui auraient été touchés par cette attaque. La plateforme leur a envoyé un message spécial pour les mettre au courant.

Interdire de se servir de WhatsApp

Avec cette plainte, l’objectif de WhatsApp est d’obtenir du tribunal une injonction permanente qui interdise à NSO d’utiliser la messagerie. Pour soutenir juridiquement son action, l’entreprise brandit tout à la fois ses conditions d’utilisation, qui interdisent ce type d’abus, mais aussi la législation californienne et américaine, dont la loi du Computer Fraud and Abuse Act.

La société raconte dans son action en justice comment NSO a perpétré cette attaque. Par ailleurs, elle mentionne un employé de cette entreprise, qui confirme que les mesures par la messagerie instantanée ont été « efficaces » pour bloquer ces méfaits. Outre un correctif au niveau de l’application, WhatsApp a déclaré avoir déployé sans tarder des protections supplémentaires pour ses systèmes.

Comme le rappelle Citizen Lab, NSO exploite un outil d’espionnage tristement célèbre, qui s’appelle Pegasus. Ce nom était déjà apparu dans l’actualité, notamment lorsqu’il a servi contre des journalistes et des activistes au Mexique. Ce nom est aussi lié à l’affaire Jamal Khashoggi, ce journaliste assassiné dans un consulat saoudien en Turquie. D’autres régimes autoritaires ou dictatoriaux s’en servent également.

cible pegasus nso
Ce que peut faire Pegasus. // Source : Citizen Lab

Une fois dans le smartphone pris pour cible, le logiciel malveillant peut faire plus ou moins ce qu’il veut, à l’insu du propriétaire. Il peut activer le micro ou la caméra, fouiller dans les SMS et les mails, connaître la position géographique du terminal, voir l’agenda, prendre des captures d’écran, lire le carnet d’adresses et l’historique de navigation et récolter diverses autres informations, notamment techniques.

Une bonne raison de rejeter les backdoors

Il reste désormais à voir quelles seront les suites de cette affaire. Dans une tribune parue dans le Washington Post, le patron de WhatsApp, Will Cathcart, estime que cela montre en tout cas une chose : mettre des portes dérobées (backdoors) ou laisser des failles dans les logiciels est une erreur, puisqu’elles permettent des utilisations malintentionnées. Si NSO tombe sur une telle brèche, comment croire qu’elle n’en profiterait pas ?

« Les entreprises de surveillance recherchent des solutions de contournement — en implantant des logiciels espions directement sur les appareils », rappelle-t-il. Dès lors, cela « renforce les raisons pour lesquelles les entreprises technologiques ne devraient jamais être tenues d’affaiblir intentionnellement leurs systèmes de sécurité. Les portes dérobées ou autres ouvertures de sécurité présentent tout simplement un danger trop élevé ».

Partager sur les réseaux sociaux