1 points par GN⁺ 2024-03-02 | 1 commentaires | Partager sur WhatsApp
  • Depuis 2019, WhatsApp exige l’accès au code du spyware Pegasus de NSO Group, et un tribunal américain a estimé que l’entreprise devait divulguer des informations sur l’ensemble des fonctionnalités du spyware concerné, au-delà de la seule couche d’installation
  • Au cœur de la procédure se trouve l’affirmation de WhatsApp selon laquelle Pegasus a surveillé 1 400 utilisateurs de WhatsApp pendant deux semaines et a accédé sans autorisation à des données sensibles, y compris des messages chiffrés
  • La juge fédérale américaine Phyllis Hamilton a estimé qu’il est difficile de comprendre, à partir de la seule couche d’installation, comment les données ont été consultées et extraites, et a donc inclus dans le périmètre de divulgation les autres spywares de NSO visant les serveurs de WhatsApp ou utilisant WhatsApp d’une manière ou d’une autre
  • En revanche, le tribunal a exclu les détails sur l’architecture serveur de NSO ainsi que les demandes d’identification de ses clients, et a aussi rejeté la requête de NSO visant à obtenir les communications postérieures au procès entre WhatsApp et Citizen Lab
  • La divulgation des experts des deux parties est prévue pour le 30 août 2024, et l’ouverture du procès pour le 3 mars 2025 ; l’étendue réelle des capacités de Pegasus devrait donc constituer un élément clé du jugement au fond

Décision de justice autour de la divulgation des capacités de Pegasus

  • WhatsApp a intenté une action en justice en affirmant que Pegasus, développé par NSO Group, avait été utilisé pendant deux semaines en 2019 pour surveiller 1 400 utilisateurs de WhatsApp
  • WhatsApp affirme que Pegasus a accédé sans autorisation à des données sensibles, y compris des messages chiffrés
  • À l’époque, cette action était considérée comme une mesure juridique sans précédent contre une industrie non régulée qui vend des services sophistiqués de malware à des gouvernements du monde entier
  • NSO a tenté de bloquer l’ensemble de la procédure de discovery en invoquant diverses restrictions aux États-Unis et en Israël, mais sa demande de blocage global a été rejetée

La seule couche d’installation ne suffit pas

  • La juge fédérale américaine Phyllis Hamilton n’a pas retenu l’argument de NSO selon lequel l’entreprise ne devait fournir que des informations sur la couche d’installation de Pegasus
  • Le tribunal a fait droit à la demande de WhatsApp en ordonnant la communication d’informations sur « l’ensemble des fonctionnalités du spyware concerné »
  • Selon le tribunal, les informations sur la seule couche d’installation ne permettent pas au demandeur de comprendre comment le spyware exécute ses fonctions d’accès et d’extraction des données
  • Sont concernés les spywares liés de NSO qui visaient les serveurs de WhatsApp ou utilisaient WhatsApp de quelque manière que ce soit pour accéder aux appareils ciblés
    • La période couverte va d’un an avant à un an après l’attaque alléguée

Les capacités de Pegasus avancées par WhatsApp

  • WhatsApp affirme que Pegasus peut intercepter les communications entrantes et sortantes sur un appareil
    • Les services visés incluent iMessage, Skype, Telegram, WeChat, Facebook Messenger et WhatsApp
  • WhatsApp soutient également que Pegasus peut être personnalisé selon l’objectif recherché
    • Interception des communications
    • Capture d’écran
    • Exfiltration de l’historique du navigateur

Informations exclues du champ de divulgation

  • La juge Hamilton n’a pas accepté l’intégralité des demandes de discovery de WhatsApp
  • Certaines informations sur l’architecture serveur de NSO sont exclues de la divulgation
    • Le tribunal estime que WhatsApp peut obtenir ces éléments via les informations sur les fonctionnalités complètes des spywares concernés
  • NSO ne sera pas contraint d’identifier ses clients
  • NSO ne divulgue pas publiquement les gouvernements ayant acheté ses spywares
  • Selon The Guardian, la Pologne, l’Arabie saoudite, le Rwanda, l’Inde, la Hongrie et les Émirats arabes unis auraient utilisé Pegasus pour cibler des opposants
  • En 2021, les États-Unis ont placé NSO sur liste noire, l’accusant de diffuser des « outils numériques utilisés à des fins de répression »

Rejet de la demande liée à Citizen Lab

  • Dans la même décision, la juge Hamilton a aussi rejeté la requête de NSO demandant la divulgation des communications postérieures au litige entre WhatsApp et Citizen Lab
  • Citizen Lab participe à cette affaire comme témoin tiers et appuie l’argument de WhatsApp selon lequel des clients de NSO ont détourné Pegasus contre la société civile
  • Dans un document déposé au tribunal, NSO a écrit que la nécessité de cette discovery diminuerait fortement si WhatsApp retirait du dossier l’idée de Citizen Lab selon laquelle « Pegasus a été utilisé non pas pour enquêter sur le terrorisme et les crimes graves, mais contre des membres de la société civile »
  • La juge Hamilton a refusé la demande de NSO, estimant qu’il était difficile d’établir la pertinence des éléments réclamés

Procédure restante et réactions

  • NSO n’a pas encore commenté cette décision
  • Un porte-parole de WhatsApp a déclaré au Guardian que ce jugement constitue une étape importante dans l’objectif de long terme visant à protéger les utilisateurs de WhatsApp contre les attaques illégales
  • Le porte-parole a ajouté que les sociétés de spyware et les acteurs malveillants doivent comprendre qu’ils peuvent être tenus responsables et ne peuvent pas ignorer la loi
  • Le tribunal doit recevoir la divulgation des experts des deux parties le 30 août 2024
  • L’ouverture du procès est attendue pour le 3 mars 2025

1 commentaires

 
GN⁺ 2024-03-02
Avis sur Hacker News
  • Il est intéressant de voir que NSO a tenté de bloquer l’ensemble de la procédure de discovery en invoquant « diverses restrictions américaines et israéliennes », mais que cette approche a été rejetée
    Un tribunal américain a de fortes chances de ne pas accorder beaucoup d’importance à des restrictions imposées par un autre pays, en l’occurrence la réglementation israélienne
    Le gouvernement américain a officiellement mis Pegasus sur liste noire (https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma...), mais il ne serait pas surprenant que certaines agences de renseignement américaines l’utilisent encore
    Dans ce cas, Pegasus pourrait aussi demander à des agences de renseignement américaines de faire bloquer la procédure au motif qu’elle divulguerait des informations classifiées ou porterait atteinte à l’intérêt national
    Il serait intéressant de voir si, un jour, « quelque chose » se produit soudainement et que l’affaire est mystérieusement rejetée

    • Il semble peu probable que les agences de renseignement américaines l’utilisent encore officiellement
      Il serait bien plus simple de demander les résultats à des services de renseignement alliés qui utilisent Pegasus
      Une collecte à distance de bras est juridiquement moins risquée
      En revanche, il serait alors plus difficile d’invoquer la sécurité nationale devant un tribunal américain. Cela donnerait : « Utilisez-vous ce logiciel ? » « Officiellement, non. » « Alors sur quelle base invoquez-vous la sécurité nationale ? »
    • Ce qui est intéressant, c’est que NSO revendique les protections accordées à un gouvernement, comme si l’entreprise représentait l’État et agissait en son nom
    • Même en laissant de côté les théories du complot, en pratique on verrait probablement non pas « quelque chose », mais plutôt des documents judiciaires déposés sous scellés
    • Si les agences de renseignement américaines utilisaient Pegasus, ce serait très surprenant. Les sanctions sont loin d’être symboliques, et il existe déjà largement assez d’entreprises proches du Five Eyes disposant de capacités comparables
  • Cela fait longtemps depuis les révélations de Snowden, et déjà à l’époque ce qu’on avait vu était difficile à croire
    On n’imagine même pas ce que les services de renseignement utilisent aujourd’hui
    Comparé à ce qu’ils possèdent et peuvent employer, on peut se demander ce que Pegasus a vraiment d’exceptionnel

  • J’ai du mal à comprendre cette affaire
    Je ne vois pas pourquoi une juridiction américaine s’appliquerait à un éditeur israélien de spyware étranger déjà mis sur liste noire par le gouvernement américain
    Et même si Israël perdait, je ne comprends pas non plus pourquoi il enverrait le code source du spyware à WhatsApp

    • Parce que NSO Group traite en dollars
      S’ils ne répondent pas, ils perdront par défaut, et le tribunal pourra ordonner la saisie d’actifs que les États-Unis peuvent atteindre
      Même si, hors d’Israël, ils sont payés en shekels, le dollar intervient comme devise intermédiaire lors de la conversion, et c’est là que les États-Unis trouvent leur angle d’attaque
    • Cela s’appelle l’extraterritorialité
      Il y a aussi eu quelque chose d’absurde en France
      Les États-Unis ont pratiquement poussé le géant français Alstom à la faillite avant de le racheter à vil prix, puis ils ont tenté de faire tomber Airbus
      Dans les deux cas, ils ont utilisé ce droit qu’ils se sont eux-mêmes attribué d’appliquer leur loi à l’extérieur de leur territoire
      Cette histoire est racontée dans ce documentaire : https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
      On pouvait aussi le voir autrefois sur YouTube via https://youtu.be/Sa22eu1FWyo, mais cela semble être passé en privé aujourd’hui. Était-ce une révélation gênante ?
    • C’est possible parce qu’il s’agit des États-Unis
      FATCA est possible pour la même raison
    • Il n’y a pas grand-chose à expliquer. Les États-Unis ont des traités réciproques avec leurs alliés
      C’est ce que le gouvernement appelle sans cesse « l’ordre libéral international »
      Israël a signé un traité par lequel il s’engage à respecter et exécuter les décisions des tribunaux américains, et les États-Unis ont signé un traité par lequel ils s’engagent à respecter et exécuter les décisions des tribunaux israéliens
      Donc un juge américain signe une ordonnance, l’envoie à un juge israélien, qui l’exécute, et l’inverse fonctionne aussi
    • Parce que l’action en justice porte sur des actes commis aux États-Unis. Il n’y a là rien de particulièrement compliqué ni exceptionnel
      Bien sûr, ils peuvent ignorer la procédure, mais dans ce cas les personnes concernées feraient mieux de ne plus jamais remettre les pieds aux États-Unis
      Vu la nature apparemment criminelle de leur mode opératoire, on pourrait presque recommander à tous leurs anciens employés d’éviter l’entrée sur le territoire américain
  • Je me demande si l’une des autres plateformes mentionnées est Signal

    • Si l’appareil est rooté, il est possible d’extraire des données depuis n’importe quelle application, donc on dirait surtout qu’ils citent toutes les plateformes à des fins marketing
      Cela ne veut pas dire que la vulnérabilité se trouvait dans l’application concernée, ni que c’était de sa faute
      Au fond, je vois cela comme un problème lié à la plateforme, en particulier iOS et Apple, ainsi qu’aux développeurs et courtiers en exploits
      C’est pour cela qu’Apple les déteste
      Pour le meilleur ou pour le pire, faire pression sur Apple peut aussi être globalement bénéfique pour les autres utilisateurs
      À l’inverse, on peut aussi considérer qu’Apple devrait mieux traiter ce type de problèmes et augmenter davantage les récompenses versées aux chercheurs en sécurité
      C’est mieux qu’il y a 20 ans, mais il reste probablement toujours plus rentable de vendre des exploits à ces acteurs douteux que d’espérer qu’une grande entreprise rémunère généreusement une découverte
  • Pour référence, https://grapheneos.org/ et https://signal.org/ existent

    • J’ai l’impression que c’est hors sujet
      Si un spyware sur un appareil a obtenu un accès de niveau ring0, les propriétés de sécurité d’une application comme Signal n’ont plus beaucoup d’importance
      Le spyware peut y accéder très facilement
  • Il est impossible qu’Israël autorise l’exportation du code source

    • Ce pays est de fait un État voyou, et pourtant il est toujours traité avec une étrange prudence
  • Même si Pegasus perdait, je ne comprends pas pourquoi il devrait envoyer le vrai code source à WhatsApp
    Il suffirait d’envoyer n’importe quoi, non ? Est-ce que je rate quelque chose ?

    • Ce que vous ratez, c’est le tribunal et son autorité légale
  • Je ne comprends pas pourquoi NSO Group, et au-delà Israël, n’ont pas été sanctionnés à cause de ce spyware
    Cette entreprise vend à certains des pires ennemis antidémocratiques de l’Occident des outils faciles à détourner de leur usage, c’est une entreprise dangereuse

    • NSO a déjà été sanctionnée : https://www.state.gov/the-united-states-adds-foreign-compani...
    • Pour la même raison que les 10 milliards de dollars d’aide militaire n’ont pas diminué malgré d’innombrables actes contraires aux intérêts et aux valeurs des États-Unis
      À cause de la politique
    • NSO Group a déjà été sanctionnée : https://www.washingtonpost.com/technology/2021/11/03/pegasus...
    • Israël sert depuis longtemps de canal de contournement pour livrer des armes à des pays qui, selon les critères des « valeurs occidentales », sont horribles, mais restent compatibles avec les intérêts des entreprises américaines
      La Guinée équatoriale en était un exemple, avec en toile de fond le dictateur Obiang et les contrats d’ExxonMobil
      Steve Coll a écrit ceci dans "Private Empire: ExxonMobil and American Power" (2012)

      "Fortunately for Obiang, coup-prone African governments rolling in oil but lacking in arms and intelligence to defend their bounty had a discrete alternative to the Pentagon and C.I.A. for defense support: Israel. Quietly, the Bush Administration encouraged Obiang to enter into security and commercial ties with Tel Aviv."
      L’Azerbaïdjan est un cas similaire. Les ventes d’armes américaines y étaient interdites en raison des atteintes aux droits humains
      Un câble du département d’État américain divulgué par Wikileaks en 2009 indiquait que « grâce à sa relation étroite avec Israël, l’Azerbaïdjan obtient un accès à des systèmes d’armes sophistiqués d’un niveau qu’il ne peut obtenir ni des États-Unis ni de l’Europe en raison de diverses restrictions juridiques »
      Quand des régimes dictatoriaux réinjectent l’argent du pétrole dans le système financier occidental, les États-Unis ferment les yeux sur ce genre de choses, par exemple lorsque l’Arabie saoudite et les Émirats arabes unis utilisent Pegasus pour réprimer les militants prodémocratie
      Sinon, c’est l’heure des sanctions et du changement de régime

    • Si on enfile son chapeau complotiste, on peut imaginer qu’il y a un intérêt profond à ce qu’un partenaire puissant, plutôt qu’un concurrent, vende ce genre de choses
      Ce n’est pas du tout bon pour les pays ciblés, mais c’est avantageux pour les services de renseignement israéliens et américains
  • C’est pour ça que je n’ai pas envie de travailler dans la cybersécurité
    Parce qu’il faut avoir affaire à des gens dangereux

    • C’est aussi le cas dans la police, et encore plus dans l’armée
      Et la cybersécurité couvre un champ très large
      Beaucoup de postes consistent davantage à former les employés aux principes et procédures de sécurité, et à mettre en place la classification des données
      Tout le monde ne gère pas directement les attaques, et la plupart du travail est de la prévention
      Dans notre entreprise, parmi les personnes qui font techniquement de la cybersécurité, moins de 20 % traitent probablement directement les attaques. Cela dit, le fait que notre SOC soit externalisé joue aussi