L’affaire judiciaire a révélé le fonctionnement interne de l’industrie de la surveillance commerciale.
La société de surveillance israélienne NSO Group doit payer près de 168 millions de dollars en dommages-intérêts pour l’exploitation de WhatsApp pour déployer ses logiciels espions notoires de Pegasus contre les utilisateurs du monde entier, a annoncé mardi le jury d’un tribunal américain.
Un jury de huit personnes a accordé à Meta 444 719 $ en dommages-intérêts compensatoires pour couvrir les coûts de lutte contre la violation, plus 167,25 millions de dollars supplémentaires en dommages-intérêts punitifs destinés à décourager des actions futures similaires de l’ONS, selon un tribunal déposant auprès du tribunal de district américain pour le district nord de la Californie.
Le verdict du jury, livré après moins de deux jours de délibération, met en plafonnier une bataille juridique de six ans qui a dévoilé de rares informations sur le monde sombre des cyber-mercenaires et leurs clients gouvernementaux.
Le cas provenait de l’exploitation par le groupe NSO d’une vulnérabilité critique dans l’infrastructure de WhatsApp. En mai 2019, WhatsApp Engineers a découvert que NSO avait développé une attaque zéro clique et zéro-jour qui pourrait installer silencieusement les logiciels espions Pegasus via un simple appel téléphonique, ne nécessitant aucune action de cibles au-delà de la mise sous tension de leurs appareils.
L’attaque a compromis environ 1 400 comptes WhatsApp avant que les ingénieurs ne réparent la vulnérabilité.
« Le verdict d’aujourd’hui dans le cas de WhatsApp est un pas en avant important pour la confidentialité et la sécurité en tant que première victoire contre le développement et l’utilisation de logiciels espions illégaux qui menacent la sécurité et la vie privée de tous », a déclaré Meta dans un communiqué.
Le porte-parole du NSO, Gil Lainer, a déclaré que la société ferait appel du verdict et a déclaré que le tribunal avait ignoré le bien que les logiciels espions pouvaient faire.
«Nous croyons fermement que notre technologie joue un rôle essentiel dans la prévention des crimes graves et du terrorisme et est déployé de manière responsable par des agences gouvernementales autorisées. Cette perspective, validée par de vastes preuves du monde réel et de nombreuses opérations de sécurité qui ont sauvé de nombreuses vies, y compris des vies américaines, ont été exclues de la considération du jury dans cette affaire», a-t-il déclaré par e-mail. «Nous examinerons soigneusement les détails du verdict et poursuivrons des recours juridiques appropriés, y compris de nouvelles procédures et un appel.»
À l’intérieur du modèle commercial de surveillance
Meta a partagé une transcription des procédures judiciaires ainsi que sa déclaration, révélant les détails des opérations et de la structure des prix du groupe NSO. Entre 2018 et 2020, la société a facturé les clients du gouvernement européen un «prix standard» de 7 millions de dollars pour l’accès simultané aux appareils Hack 15. Les clients ont payé des frais de prime de 1 million de dollars à 2 millions de dollars pour cibler les téléphones en dehors de leurs frontières nationales.
« C’est un produit très sophistiqué », a déclaré le méta-avocat Antonio Perez lors du procès, « et il porte un prix élevé. »
Une fois installé, Pegasus a accordé un accès complet aux appareils compromis, y compris les enregistrements téléphoniques, les e-mails, les messages, le contenu vidéo et les données de localisation. Le logiciel espion pourrait même activer à distance les caméras et les microphones pour la surveillance clandestin.
Le procès a également exposé des liens inattendus entre le NSO et l’intelligence américaine. Les dossiers judiciaires ont montré que la CIA et le FBI ont collectivement payé NSO 7,6 millions de dollars, avec des rapports suggérant que la CIA avait financé l’achat par Djibouti du logiciel espion tandis que le FBI l’a acquis à des fins de test.
Une menace persistante malgré les conséquences juridiques
Dans sa déclaration post-verdict, Meta a averti que la menace se poursuit malgré leur victoire légale: «Bien que nous ayons arrêté le vecteur d’attaque qui a exploité notre système d’appel en 2019, Pegasus a eu de nombreuses autres méthodes d’installation de logiciels espions pour exploiter leurs technologies d’autres sociétés.
Le plus préoccupant pour les équipes de sécurité des entreprises était la révélation de Meta dans les récents dossiers judiciaires selon lesquels NSO « ciblait à plusieurs reprises les plaignants, les serveurs des plaignants et le client mobile des demandeurs même après le dépôt de ce litige. » Ce comportement persistant a incité Meta à demander une injonction permanente contre l’entreprise.
La stratégie de défense juridique du groupe NSO a illustré les tactiques évasives souvent employées par les fournisseurs de surveillance. La société a initialement fait défaut en n’ayant pas comparu devant le tribunal, affirmant que son accusateur n’avait pas correctement livré des documents juridiques. Il a ensuite accusé l’entreprise d’hypocrisie, alléguant que les dirigeants avaient approché NSO pour utiliser la technologie pour espionner ses propres clients.
Implications de sécurité de l’entreprise
Pour les dirigeants de la sécurité des entreprises, l’affaire met en évidence les menaces sophistiquées auxquelles les organisations des organisations sont confrontées à partir d’outils de surveillance parrainés par l’État et de surveillance commerciale. Les vulnérabilités zéro cliquez comme celles exploitées par NSO peuvent contourner les mesures traditionnelles de sensibilisation à la sécurité, car elles ne nécessitent aucun lien de phishing, téléchargements malveillants ou interaction utilisateur de toute nature.
« Le logiciel espion mercenaire le plus notoire actuellement disponible est Pegasus du NSO Group », avait déclaré John Scott-Railton, chercheur principal au Citizen Lab, qui a aidé à enquêter sur Pegasus, lors de son témoignage de loger des logiciels spy du Mercenary, ce type de logiciels spydistes très sophistiqués.
Le cas souligne comment les plates-formes de communication fortement utilisées peuvent devenir des vecteurs pour des attaques très ciblées, même lorsqu’elles sont chiffrées. Les organisations ayant des opérations sensibles ou des communications devraient évaluer leurs cadres de sécurité en pensant à ces menaces persistantes avancées.
