Le groupe NSO a exploité une vulnérabilité de WhatsApp même après un procès, selon des documents judiciaires

NSO Group Technologies Ltd. a continué à développer des logiciels espions utilisant plusieurs vulnérabilités zero-day de WhatsApp même après que la société de messagerie a poursuivi la société israélienne de surveillance pour violation des lois fédérales et étatiques anti-hacking, a révélé un document judiciaire déposé par l’application de messagerie et sa société mère Meta, publié jeudi.

Les documents judiciaires révèlent que NSO a continué à utiliser les serveurs de WhatsApp pour installer le logiciel espion Pegasus sur des téléphones en appelant le dispositif ciblé, même après que la plateforme de messagerie a détecté et bloqué l’exploitation en mai 2019.

Les allégations proviennent d’une série de cyberattaques contre des utilisateurs de WhatsApp, y compris des journalistes, des dissidents et des défenseurs des droits de l’homme.

« En tant que question préliminaire, NSO admet avoir développé et vendu le logiciel espion décrit dans la plainte, et que le logiciel espion de NSO—spécifiquement son vecteur d’installation sans clic appelé “Eden”, qui faisait partie d’une famille de vecteurs basés sur WhatsApp connus collectivement sous le nom de “Hummingbird” (collectivement, les “Vecteurs de Malware”)—était responsable des attaques décrites dans la plainte. Le responsable R&D de NSO a confirmé que ces vecteurs fonctionnaient précisément comme allégué par les plaignants. » lit le document judiciaire.

NSO admet que ses clients ont utilisé sa technologie Eden dans des attaques contre environ 1 400 dispositifs. Suite à la détection des attaques, WhatsApp a corrigé les vulnérabilités d’Eden et désactivé les comptes WhatsApp de NSO. Cependant, l’exploitation d’Eden est restée active jusqu’à ce qu’elle soit bloquée en mai 2019.

Malgré cela, la société de surveillance a développé un autre vecteur d’installation, connu sous le nom d’“Erised”, qui utilisait les serveurs de WhatsApp pour installer le logiciel espion Pegasus dans des attaques sans clic, a admis NSO. Cette exploitation serait restée active et disponible pour les clients de NSO même après que WhatsApp a poursuivi la société en octobre 2019, jusqu’à ce que d’autres changements de sécurité sur la plateforme de messagerie bloquent son accès quelque temps après mai 2020.

Des témoins de NSO auraient refusé de confirmer si le fabricant de logiciels espions avait continué à développer des vecteurs de malware basés sur WhatsApp par la suite.

La société a reconnu que ses employés avaient créé et utilisé des comptes WhatsApp pour développer des logiciels malveillants pour eux-mêmes et leurs clients. Cela violait les conditions de service de WhatsApp de plusieurs manières, y compris l’ingénierie inverse de la plateforme, la transmission de code malveillant, la collecte de données non autorisée et l’accès illégal au service.

Meta a affirmé que ces actions violaient également la loi sur la fraude et les abus informatiques (CFAA) et la loi californienne sur l’accès aux données informatiques et la fraude (CDAFA), causant des dommages à WhatsApp.

NSO a longtemps soutenu qu’elle n’était pas au courant des opérations de ses clients et avait un contrôle minimal sur l’utilisation de son logiciel espion par les clients, niant toute implication dans l’exécution de cyberattaques ciblées.

Cependant, les nouveaux documents judiciaires publiés révèlent que le fournisseur de logiciels espions a opéré son logiciel espion Pegasus, les clients n’ayant besoin que de fournir un numéro cible.

Dans l’un des documents judiciaires, WhatsApp a soutenu que « le rôle des clients de NSO est minimal », étant donné que les clients gouvernementaux n’étaient tenus que de saisir le numéro de téléphone du dispositif cible et, citant un employé de NSO, « d’appuyer sur Installer, et Pegasus installera l’agent sur le dispositif à distance sans aucun engagement. »

« En d’autres termes, le client passe simplement une commande pour les données d’un dispositif cible, et NSO contrôle chaque aspect du processus de récupération et de livraison des données grâce à sa conception de Pegasus, » a ajouté WhatsApp.

Les documents judiciaires citaient également un employé de NSO disant que « c’était notre décision de déclencher [l’exploitation] en utilisant des messages WhatsApp ou non », faisant référence à l’une des exploitations que la société offrait à ses clients.

Dans sa défense, Gil Lanier, vice-président des communications mondiales de la société israélienne, a déclaré dans un communiqué à TechCrunch : « NSO soutient ses déclarations précédentes dans lesquelles nous avons répété que le système est opéré uniquement par nos clients et que ni NSO ni ses employés n’ont accès aux informations recueillies par le système. »

« Nous sommes confiants que ces allégations, comme beaucoup d’autres dans le passé, seront prouvées fausses devant le tribunal, et nous attendons avec impatience l’occasion de le faire, » a-t-il ajouté.