Attaque de logiciel espion WhatsApp – NSO Group condamné à 168 millions de dollars

Dans une décision historique, un jury fédéral américain en Californie a ordonné mardi à la société israélienne de logiciels espions NSO Group de payer près de 168 millions de dollars en dommages-intérêts punitifs à Meta Platforms Inc., la société mère de WhatsApp.

En plus de cela, la société devra également payer 444 719 dollars en dommages-intérêts compensatoires à Meta pour les efforts significatifs que ses ingénieurs WhatsApp ont déployés pour bloquer les vecteurs d’attaque.

Cette décision découle de l’utilisation par NSO Group du logiciel espion Pegasus pour pirater environ 1 400 utilisateurs de WhatsApp pendant deux semaines entre avril et mai 2019. Cette décision établit un précédent important pour tenir les développeurs de logiciels espions responsables des activités de surveillance non autorisées.

« Le verdict d’aujourd’hui dans l’affaire WhatsApp est un pas en avant important pour la vie privée et la sécurité en tant que première victoire contre le développement et l’utilisation de logiciels espions illégaux qui menacent la sécurité et la vie privée de tous », a déclaré Meta dans un communiqué après l’annonce du verdict.

« Aujourd’hui, la décision du jury de contraindre NSO, un marchand de logiciels espions étrangers notoire, à payer des dommages-intérêts est un moyen de dissuasion critique contre cette industrie malveillante pour leurs actes illégaux visant les entreprises américaines et la vie privée et la sécurité des personnes que nous servons. »

Contexte de l’affaire

Le procès, initié par WhatsApp le 29 octobre 2019, devant le tribunal de district du district nord de la Californie, accusait NSO Group d’exploiter une vulnérabilité dans la fonction d’appel vidéo de WhatsApp pour installer le logiciel espion Pegasus sur les appareils des utilisateurs à leur insu. Les cibles comprenaient des militants des droits de l’homme, des journalistes, des diplomates et des défenseurs de la société civile.

Selon les documents judiciaires (PDF), le logiciel espion Pegasus de NSO a été installé via un appel WhatsApp qui ne nécessitait même pas que le destinataire réponde. Une fois l’appel passé, le code malveillant se déployait, accordant l’accès à un large éventail de données personnelles, y compris les appels téléphoniques, les e-mails, les messages privés chiffrés, les images, la géolocalisation et d’autres données sensibles — le tout sans la connaissance de l’utilisateur.

En décembre 2024, la juge de district américaine Phyllis Hamilton a déclaré NSO Group coupable d’avoir violé la loi américaine sur la fraude et les abus informatiques (CFAA) et la loi californienne sur l’accès aux données informatiques et la fraude (CDAFA). Elle a également constaté que les actions de NSO enfreignaient les conditions d’utilisation de WhatsApp en accédant à ses serveurs sans autorisation pour déployer des logiciels espions.

Réponse de NSO Group

Après sa défaite au tribunal, NSO Group a déclaré qu’il prévoyait de faire appel de la décision, maintenant que son logiciel Pegasus est destiné à être utilisé par des gouvernements autorisés pour lutter contre la criminalité et les opérations antiterroristes dans le monde entier.

« Nous examinerons attentivement les détails du verdict et poursuivrons les recours juridiques appropriés, y compris d’autres procédures et un appel », a ajouté Lainer, déclarant que la société « reste pleinement engagée dans sa mission de développer des technologies qui protègent la sécurité publique » tout en travaillant dans le cadre de la légalité.

Entre-temps, Meta a décidé de faire un don à des organisations de défense des droits numériques qui travaillent pour défendre les personnes contre de telles attaques dans le monde entier.

« Notre prochaine étape est d’obtenir une ordonnance du tribunal pour empêcher NSO de cibler à nouveau WhatsApp », a conclu la société.