– Article invité, rédigé par Vincent Lautier –
Un jury fédéral américain a condamné NSO Group à verser 168 millions de dollars à WhatsApp pour avoir utilisé le logiciel espion Pegasus sur plus de 1 400 utilisateurs. Une décision inédite, qui pourrait avoir des répercussions importantes contre l’industrie du spyware.
NSO Group condamné pour piratage massif de WhatsApp
La justice américaine vient donc de porter un coup sévère à NSO Group. Un jury fédéral a ordonné à l’entreprise israélienne de verser 168 millions de dollars à WhatsApp, propriété de Meta, pour avoir exploité ses serveurs dans le but d’infecter plus de 1 400 utilisateurs avec le logiciel espion Pegasus. Cette décision arrive après six années de procédure judiciaire entamée en 2019, au terme desquelles NSO a été reconnue coupable de violation de lois fédérales et californiennes sur la fraude informatique. Cette condamnation est une première contre un fabricant de spyware, dont l’activité, bien que légalement encadrée sur le papier, repose surtout sur une zone grise juridique.
Pegasus, un outil de surveillance détourné
À l’origine, Pegasus est présenté comme un outil destiné à aider les gouvernements à lutter contre le terrorisme et la grande criminalité. Mais dans la pratique, les preuves accumulées par Citizen Lab et d’autres ONG montrent une utilisation systématique contre des journalistes, des avocats, des militants des droits de l’homme et des opposants politiques. Dans le cas jugé, Pegasus a exploité une faille de sécurité critique (CVE-2019-3568) dans la fonction d’appel vocal de WhatsApp pour infiltrer les appareils de victimes réparties dans 51 pays. Les documents du procès indiquent par exemple 456 victimes au Mexique, 100 en Inde, 82 à Bahreïn, et plusieurs dizaines dans des États comme le Maroc ou le Pakistan.
Des attaques répétées malgré les alertes
Ce que WhatsApp reproche à NSO, ce n’est pas seulement un incident isolé. Selon les éléments du dossier, NSO aurait tenté à 43 reprises en mai 2019 de passer par les serveurs californiens de WhatsApp pour propager son logiciel espion. Meta affirme avoir mobilisé ses ingénieurs pour contrer les attaques, à hauteur de plus de 400 000 dollars en coûts internes. Malgré cela, NSO a continué à affiner ses techniques, y compris après le dépôt de plainte, prouvant selon Meta sa volonté manifeste de contourner les défenses mises en place. Cette obstination a pesé lourd dans la décision du jury, qui a estimé que NSO agissait avec “oppression, fraude ou malveillance”.
Un signal envoyé à l’industrie du spyware
Le verdict comprend donc 167,25 millions de dollars de dommages, mais aussi 444 719 dollars (c’est précis) de dommages compensatoires. C’est un précédent juridique majeur dans un secteur jusqu’ici peu inquiété, et ça envoie surtout un avertissement clair aux autres entreprises actives dans la surveillance numérique. Meta compte d’ailleurs poursuivre l’affaire pour obtenir une injonction interdisant à NSO de cibler à nouveau WhatsApp, tout en versant une partie des fonds récupérés à des associations de défense des droits numériques.
NSO se défend, mais reconnaît ses capacités offensives
NSO, de son côté, continue à défendre la légitimité de son activité. L’entreprise soutient que son logiciel est vendu uniquement à des gouvernements “autorisés”, qu’elle ne contrôle pas les cibles finales, et qu’elle respecte un cadre légal strict. Sauf que les témoignages entendus au tribunal contredisent ce narratif : NSO adapte ses attaques selon les cibles et les appareils visés, y compris iOS et Android, en utilisant des vecteurs différents selon les besoins, comme les navigateurs ou les messageries. L’entreprise a même reconnu investir des dizaines de millions de dollars chaque année dans le développement de ces vecteurs d’infection.
Malgré la décision, NSO reste active et compte faire appel. L’entreprise a déjà été placée sur liste noire par le département du Commerce américain en 2021, ce qui limite de fait ses relations commerciales avec des entreprises américaines. L’Union européenne a également ouvert des enquêtes sur l’usage de Pegasus dans certains États membres. De son côté, Apple avait lancé une procédure judiciaire similaire à celle de WhatsApp, avant d’y renoncer en 2024 pour ne pas révéler des données sensibles sur ses systèmes de sécurité. Cela montre à quel point ces affaires peuvent mettre les entreprises dans une position délicate, entre transparence judiciaire et protection des infrastructures.
Article invité publié par Vincent Lautier. Vous pouvez aussi me suivre sur Bluesky, faire un saut sur mon blog, ou lire les tests que je publie dans la catégorie “Gadgets Tech”, comme cette visseuse ou ce SSD minuscule !
Sources : The Washington Post, Meta
Source link
Subscribe to our email newsletter to get the latest posts delivered right to your email.
Comments