Le service de messagerie WhatsApp a déposé plainte ce mardi 29 octobre 2019 contre NSO Group, une entreprise israélienne, pour piratage. L’action intentée devant un tribunal fédéral à San Francisco, accuse NSO de piratage informatique dans 20 pays. Une centaine de journalistes et de « défenseurs des droits humains » auraient été les cibles d’un espionnage numérique, aux « formes indéniables d’abus » déclare WhatsApp dans un communiqué, rapporté par le journal Reuters.
Une démarche sans précédent
Créée en 2009, par Shalev Hulio et Niv Carmi, NSO Group se définit comme une société spécialisée dans les cybertechnologies, fournissant aux agences gouvernementales des moyens de combattre le terrorisme et le crime. Société connue pour détenir le logiciel espion « Pegasus » , capable d’accéder aux données d’un smartphone et de récupérer les contacts, les détails et les contenus des appels, des SMS, des mails, des conversations WhatsApp, Skype, et Telegram – pourtant censée être ultra-sécurisée. Le logiciel peut également prendre le contrôle de la caméra et du micro à distance, et savoir où se trouve son utilisateur.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
La société NSO Group est aujourd’hui accusée par WhatsApp d’aider des gouvernements du Moyen-Orient comme le royaume du Bahreïn, les Émirats arabes unis, et le gouvernement du Mexique, à l’espionnage de personnes ciblées : « Après des mois d’enquête, nous pouvons dire qui a mené cette attaque » a déclaré Will Cathcart, à la tête de WhatsApp, et qui avait fait part des premières détections de piratage en mai 2019. Cette poursuite est sans précédent a déclaré Scott Watnik, responsable de la cybersécurité à la firme d’avocats Wilk Auslander à New York. Jusqu’ici, les sociétés proposant le même type de service que WhatsApp ont toujours eu peur de mener ce genre de cas en procès, de peur d’avoir à révéler le fonctionnement de leur sécurité digitale.
Les pirates ont exploité une faille de sécurité de la messagerie appartenant à Facebook, et ont inséré un logiciel malveillant dans les téléphones en effectuant un appel aux usagers. 1400 appareils auraient été touchés et infectés entre le 29 avril et le 10 mai 2019. L’environnement d’une centaine de personnes aurait ainsi été épié dans les pays cités plus haut, toutes étant soit journalistes, soit défenseurs des droits humains, ou bien encore membre de la société civile dans le monde.
« Nous avons découvert que les attaquants avaient utilisé des serveurs et des hébergeurs internet dont les liens avec NSO ont déjà été établis dans le passé » explique Will Cahart. « Et nous avons pu relier certains comptes WhatsApp utilisés pendant cette opération malveillante à NSO. Leur attaque était ultra sophistiquée, mais ils n’ont pas entièrement réussi à effacer leurs traces». C’est en exploitant le système d’appel vidéo que l’attaque a pu se dérouler, en envoyant des logiciels malveillants sur les appareils mobiles de nombreux utilisateurs, a déclaré WhatsApp. Les clients du logiciel procuré par NSO, étant ainsi capables d’espionner les propriétaires des appareils, soumettant par la même leur « vie numérique à un contrôle officiel » – les clients de NSO étant des services de renseignement ou des gouvernements.
NSO Group affirmait en mai – époque où les téléphones ont été infectés – que sa technologie était « commercialisée par l’intermédiaire de licences à des gouvernements dans le seul objectif de combattre la criminalité et le terrorisme ». L’entreprise s’était même dédouanée, rappelant qu’elle n’était que le fournisseur d’un logiciel, dont elle n’était pas responsable de l’usage que lui réservait ensuite ses clients. NSO avait également déclaré n’utiliser ce logiciel en aucune circonstance.
Si l’entreprise ne peut être tenue responsable de l’usage que font ses clients du logiciel, Amnesty International a cependant rappelé qu’elle pouvait faire preuve de vigilance en choisissant ses clients, et a ainsi accusé NSO Group de vendre ses produits « à des gouvernements qui commettent de façon notoire de révoltantes violations des droits humains ». Nous pourrions faire le même reproche aux marchands d’armes, soit dit en passant. Cette affaire ouvre un large débat sur l’espionnage numérique, qui n’est pas prêt de se terminer.
Voilà plusieurs années que le logiciel vendu par NSO est considéré comme une menace. En 2016, Apple avait effectué une mise à jour sur ses mobiles commercialisés depuis 2011 pour « les protéger contre Pegasus ». Cette démarche avait eu lieu après que des spécialistes du centre de recherche en sécurité informatique américain, Citizen Lab, soient alertés par un journaliste mexicain ayant reçu un SMS suspect. Avec l’aide du spécialiste de la sécurité sur mobile, Lookout, la présence du logiciel espion a ainsi été découverte sur l’iPhone du journaliste.
En 2017, des chercheurs de l’Université de Toronto révélaient que « les membres d’une commission internationale enquêtant sur la disparition de 43 étudiants au Mexique en 2014, mais aussi des journalistes, des défenseurs des droits humains ou des avocats avaient été visés par le logiciel espion vendu au gouvernement mexicain ».
Et la liste ne s’arrête pas là, le logiciel de piratage a déjà été impliqué dans une série de violations des droits de l’homme : en 2015 au Panama, le quotidien national La Prensa dénonçait les actions du gouvernement, ayant dépensé 8 millions de dollars pour mettre sur écoute 300 smartphones grâce à Pegasus. Reuters rapporte également une tentative d’espionnage d’un employé du groupe de défense des droits travaillant pour Amnesty International, posté à Londres.
Affaire plus sombre encore, celle de l’assassinat du journaliste saoudien Jamal Khashoggi, travaillant pour le Washington Post, et abattu au consulat d’Arabie saoudite à Istanbul, en Turquie. Le journaliste, célèbre dissident alors réfugié aux États-Unis, venu remplir des formalités administratives pour un remariage, a succombé à une attaque menée par un commando de 15 agents du royaume, qui, après lui avoir administré une injection létale, avaient découpé le corps pour le faire disparaitre. Corps qui n’a jamais été retrouvé depuis. Agnès Callamard, ancienne experte d’Amnesty International, en sa qualité de rapporteure du Conseil des droits de l’homme des nations unies (ONU) sur les exécutions extrajudiciaires, avait conclu dans son rapport présenté en juin 2019 à la responsabilité de l’Arabie saoudite, et demandé un moratoire sur les exportations de matériel de surveillance en direction de l’Arabie saoudite. « Riyad utiliserait ces équipements pour écouter et surveiller des opposants » rapportait le Figaro. Dans cette affaire macabre, l’Occident était resté pour le moins « discret », de même que les 5 diplomates et membres du Conseil de sécurité, « astreints au secret » lors de leur présence au procès. Procès pour lequel la société NSO avait été mise en cause. Celle-ci avait fait l’objet d’un examen approfondi, suite à l’allégation qui avait été portée contre elle à l’époque, rappelle Reuters. Parmi ses détenteurs, Omar Abdulaziz, ami de Jamal Khashoggi, et faisant partie des 7 activistes, et journalistes, ayant intenté un procès contre les logiciels espions devant les tribunaux israéliens et chypriotes en déclarant que leurs téléphones avaient été « compromis » avec la technologie NSO.
Une alerte citoyenne pour WhatsApp
D’après Will Cathcart, conduire en justice NSO Group est aussi un moyen d’alerter les entreprises technologiques, les gouvernements et les utilisateurs : « Les outils qui permettent d’espionner nos vie privées sont exploités à mauvais escient. Quand cette technologie se retrouve dans les mains d’entreprises et gouvernements irresponsables, elle nous met tous en danger ».
Les représentants de NSO Group ont répondu dans un communiqué, rapporté par TechChrunch : « nous contestons les allégations portées contre l’entreprise aujourd’hui [le 29 octobre 2019] et nous les combattrons avec vigueur ».
Située dans la « Silicon Valley israélienne », au nord de Tel-Aviv, NSO Group revendiquait 250 millions de dollars de revenus et des dizaines de client fin 2018. Le 14 février 2019, les fondateurs font l’acquisition de Francisco Partners, une entreprise mondiale d’investissement de capitaux dans la technologie et dans les entreprises spécialisées en technologie, ayant ses bureaux à San Francisco et Londres. Sur le site de la firme, il est indiqué que le siège social de NSO Group est quant à lui basé au Luxembourg. D’après Reuters, NSO Group a depuis essayé de s’offrir une nouvelle réputation un peu plus tôt cette année, après son rachat par Novalpina Capital, une autre société européenne de « capital-investissement », située à Londres cette fois.
The Cybersecurity 202: Facebook spyware lawsuit opens a new front in encryption battle https://t.co/U6EvQr2pFU
— The Washington Post (@washingtonpost) October 30, 2019
Cette affaire remet au devant de la scène la nécessité de préserver le chiffrage de données dans les conversations privées, indique le Washington Post, qui n’hésite pas à prendre position : « Les démocraties dépendent de la solide indépendance du journalisme et de la société civile, et affaiblir intentionnellement [ce type de] sécurité met ces instituions en danger. Et nous voulons tous protéger nos informations personnelles et nos conversations privées. C’est pourquoi nous continuerons de nous opposer aux demandes des gouvernements qui souhaitent affaiblir le chiffrement de bout-en-bout. ».
Il semble que ce système soit nécessaire, et loin d’être un luxe, puisque cela n’a empêché ni WhatsApp, ni Telegram, d’avoir été victimes d’attaques ciblées et malveillantes. Certains gouvernements préconisent en effet la dissolution du chiffrement de bout-en-bout, à l’image de la Russie, qui, pour cause de lutte anti-terroriste il y a un an, souhaitait accéder aux données des utilisateurs de Telegram. Non content d’avoir essuyé un refus de la part des fondateurs, le gouvernement russe avait alors décidé de couper l’accès à la messagerie, qui depuis a fait part à ses utilisateurs de la manière dont le blocage pouvait être contourné. Pavel Durov, co-fondateur de l’application avait alors déclaré « la confidentialité n’est pas à vendre, et les droits de l’homme ne devraient pas être compromis par peur ou avidité ».
