- Depuis 2019, WhatsApp exige l’accès au code du spyware Pegasus de NSO Group, et un tribunal américain a estimé que l’entreprise devait divulguer des informations sur l’ensemble des fonctionnalités du spyware concerné, au-delà de la seule couche d’installation
- Au cœur de la procédure se trouve l’affirmation de WhatsApp selon laquelle Pegasus a surveillé 1 400 utilisateurs de WhatsApp pendant deux semaines et a accédé sans autorisation à des données sensibles, y compris des messages chiffrés
- La juge fédérale américaine Phyllis Hamilton a estimé qu’il est difficile de comprendre, à partir de la seule couche d’installation, comment les données ont été consultées et extraites, et a donc inclus dans le périmètre de divulgation les autres spywares de NSO visant les serveurs de WhatsApp ou utilisant WhatsApp d’une manière ou d’une autre
- En revanche, le tribunal a exclu les détails sur l’architecture serveur de NSO ainsi que les demandes d’identification de ses clients, et a aussi rejeté la requête de NSO visant à obtenir les communications postérieures au procès entre WhatsApp et Citizen Lab
- La divulgation des experts des deux parties est prévue pour le 30 août 2024, et l’ouverture du procès pour le 3 mars 2025 ; l’étendue réelle des capacités de Pegasus devrait donc constituer un élément clé du jugement au fond
Décision de justice autour de la divulgation des capacités de Pegasus
- WhatsApp a intenté une action en justice en affirmant que Pegasus, développé par NSO Group, avait été utilisé pendant deux semaines en 2019 pour surveiller 1 400 utilisateurs de WhatsApp
- WhatsApp affirme que Pegasus a accédé sans autorisation à des données sensibles, y compris des messages chiffrés
- À l’époque, cette action était considérée comme une mesure juridique sans précédent contre une industrie non régulée qui vend des services sophistiqués de malware à des gouvernements du monde entier
- NSO a tenté de bloquer l’ensemble de la procédure de discovery en invoquant diverses restrictions aux États-Unis et en Israël, mais sa demande de blocage global a été rejetée
La seule couche d’installation ne suffit pas
- La juge fédérale américaine Phyllis Hamilton n’a pas retenu l’argument de NSO selon lequel l’entreprise ne devait fournir que des informations sur la couche d’installation de Pegasus
- Le tribunal a fait droit à la demande de WhatsApp en ordonnant la communication d’informations sur « l’ensemble des fonctionnalités du spyware concerné »
- Selon le tribunal, les informations sur la seule couche d’installation ne permettent pas au demandeur de comprendre comment le spyware exécute ses fonctions d’accès et d’extraction des données
- Sont concernés les spywares liés de NSO qui visaient les serveurs de WhatsApp ou utilisaient WhatsApp de quelque manière que ce soit pour accéder aux appareils ciblés
- La période couverte va d’un an avant à un an après l’attaque alléguée
Les capacités de Pegasus avancées par WhatsApp
- WhatsApp affirme que Pegasus peut intercepter les communications entrantes et sortantes sur un appareil
- Les services visés incluent iMessage, Skype, Telegram, WeChat, Facebook Messenger et WhatsApp
- WhatsApp soutient également que Pegasus peut être personnalisé selon l’objectif recherché
- Interception des communications
- Capture d’écran
- Exfiltration de l’historique du navigateur
Informations exclues du champ de divulgation
- La juge Hamilton n’a pas accepté l’intégralité des demandes de discovery de WhatsApp
- Certaines informations sur l’architecture serveur de NSO sont exclues de la divulgation
- Le tribunal estime que WhatsApp peut obtenir ces éléments via les informations sur les fonctionnalités complètes des spywares concernés
- NSO ne sera pas contraint d’identifier ses clients
- NSO ne divulgue pas publiquement les gouvernements ayant acheté ses spywares
- Selon The Guardian, la Pologne, l’Arabie saoudite, le Rwanda, l’Inde, la Hongrie et les Émirats arabes unis auraient utilisé Pegasus pour cibler des opposants
- En 2021, les États-Unis ont placé NSO sur liste noire, l’accusant de diffuser des « outils numériques utilisés à des fins de répression »
Rejet de la demande liée à Citizen Lab
- Dans la même décision, la juge Hamilton a aussi rejeté la requête de NSO demandant la divulgation des communications postérieures au litige entre WhatsApp et Citizen Lab
- Citizen Lab participe à cette affaire comme témoin tiers et appuie l’argument de WhatsApp selon lequel des clients de NSO ont détourné Pegasus contre la société civile
- Dans un document déposé au tribunal, NSO a écrit que la nécessité de cette discovery diminuerait fortement si WhatsApp retirait du dossier l’idée de Citizen Lab selon laquelle « Pegasus a été utilisé non pas pour enquêter sur le terrorisme et les crimes graves, mais contre des membres de la société civile »
- La juge Hamilton a refusé la demande de NSO, estimant qu’il était difficile d’établir la pertinence des éléments réclamés
Procédure restante et réactions
- NSO n’a pas encore commenté cette décision
- Un porte-parole de WhatsApp a déclaré au Guardian que ce jugement constitue une étape importante dans l’objectif de long terme visant à protéger les utilisateurs de WhatsApp contre les attaques illégales
- Le porte-parole a ajouté que les sociétés de spyware et les acteurs malveillants doivent comprendre qu’ils peuvent être tenus responsables et ne peuvent pas ignorer la loi
- Le tribunal doit recevoir la divulgation des experts des deux parties le 30 août 2024
- L’ouverture du procès est attendue pour le 3 mars 2025
1 commentaires
Avis sur Hacker News
Il est intéressant de voir que NSO a tenté de bloquer l’ensemble de la procédure de discovery en invoquant « diverses restrictions américaines et israéliennes », mais que cette approche a été rejetée
Un tribunal américain a de fortes chances de ne pas accorder beaucoup d’importance à des restrictions imposées par un autre pays, en l’occurrence la réglementation israélienne
Le gouvernement américain a officiellement mis Pegasus sur liste noire (https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma...), mais il ne serait pas surprenant que certaines agences de renseignement américaines l’utilisent encore
Dans ce cas, Pegasus pourrait aussi demander à des agences de renseignement américaines de faire bloquer la procédure au motif qu’elle divulguerait des informations classifiées ou porterait atteinte à l’intérêt national
Il serait intéressant de voir si, un jour, « quelque chose » se produit soudainement et que l’affaire est mystérieusement rejetée
Il serait bien plus simple de demander les résultats à des services de renseignement alliés qui utilisent Pegasus
Une collecte à distance de bras est juridiquement moins risquée
En revanche, il serait alors plus difficile d’invoquer la sécurité nationale devant un tribunal américain. Cela donnerait : « Utilisez-vous ce logiciel ? » « Officiellement, non. » « Alors sur quelle base invoquez-vous la sécurité nationale ? »
Cela fait longtemps depuis les révélations de Snowden, et déjà à l’époque ce qu’on avait vu était difficile à croire
On n’imagine même pas ce que les services de renseignement utilisent aujourd’hui
Comparé à ce qu’ils possèdent et peuvent employer, on peut se demander ce que Pegasus a vraiment d’exceptionnel
J’ai du mal à comprendre cette affaire
Je ne vois pas pourquoi une juridiction américaine s’appliquerait à un éditeur israélien de spyware étranger déjà mis sur liste noire par le gouvernement américain
Et même si Israël perdait, je ne comprends pas non plus pourquoi il enverrait le code source du spyware à WhatsApp
S’ils ne répondent pas, ils perdront par défaut, et le tribunal pourra ordonner la saisie d’actifs que les États-Unis peuvent atteindre
Même si, hors d’Israël, ils sont payés en shekels, le dollar intervient comme devise intermédiaire lors de la conversion, et c’est là que les États-Unis trouvent leur angle d’attaque
Il y a aussi eu quelque chose d’absurde en France
Les États-Unis ont pratiquement poussé le géant français Alstom à la faillite avant de le racheter à vil prix, puis ils ont tenté de faire tomber Airbus
Dans les deux cas, ils ont utilisé ce droit qu’ils se sont eux-mêmes attribué d’appliquer leur loi à l’extérieur de leur territoire
Cette histoire est racontée dans ce documentaire : https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
On pouvait aussi le voir autrefois sur YouTube via https://youtu.be/Sa22eu1FWyo, mais cela semble être passé en privé aujourd’hui. Était-ce une révélation gênante ?
FATCA est possible pour la même raison
C’est ce que le gouvernement appelle sans cesse « l’ordre libéral international »
Israël a signé un traité par lequel il s’engage à respecter et exécuter les décisions des tribunaux américains, et les États-Unis ont signé un traité par lequel ils s’engagent à respecter et exécuter les décisions des tribunaux israéliens
Donc un juge américain signe une ordonnance, l’envoie à un juge israélien, qui l’exécute, et l’inverse fonctionne aussi
Bien sûr, ils peuvent ignorer la procédure, mais dans ce cas les personnes concernées feraient mieux de ne plus jamais remettre les pieds aux États-Unis
Vu la nature apparemment criminelle de leur mode opératoire, on pourrait presque recommander à tous leurs anciens employés d’éviter l’entrée sur le territoire américain
Je me demande si l’une des autres plateformes mentionnées est Signal
Cela ne veut pas dire que la vulnérabilité se trouvait dans l’application concernée, ni que c’était de sa faute
Au fond, je vois cela comme un problème lié à la plateforme, en particulier iOS et Apple, ainsi qu’aux développeurs et courtiers en exploits
C’est pour cela qu’Apple les déteste
Pour le meilleur ou pour le pire, faire pression sur Apple peut aussi être globalement bénéfique pour les autres utilisateurs
À l’inverse, on peut aussi considérer qu’Apple devrait mieux traiter ce type de problèmes et augmenter davantage les récompenses versées aux chercheurs en sécurité
C’est mieux qu’il y a 20 ans, mais il reste probablement toujours plus rentable de vendre des exploits à ces acteurs douteux que d’espérer qu’une grande entreprise rémunère généreusement une découverte
Pour référence, https://grapheneos.org/ et https://signal.org/ existent
Si un spyware sur un appareil a obtenu un accès de niveau ring0, les propriétés de sécurité d’une application comme Signal n’ont plus beaucoup d’importance
Le spyware peut y accéder très facilement
Il est impossible qu’Israël autorise l’exportation du code source
Même si Pegasus perdait, je ne comprends pas pourquoi il devrait envoyer le vrai code source à WhatsApp
Il suffirait d’envoyer n’importe quoi, non ? Est-ce que je rate quelque chose ?
Je ne comprends pas pourquoi NSO Group, et au-delà Israël, n’ont pas été sanctionnés à cause de ce spyware
Cette entreprise vend à certains des pires ennemis antidémocratiques de l’Occident des outils faciles à détourner de leur usage, c’est une entreprise dangereuse
À cause de la politique
La Guinée équatoriale en était un exemple, avec en toile de fond le dictateur Obiang et les contrats d’ExxonMobil
Steve Coll a écrit ceci dans "Private Empire: ExxonMobil and American Power" (2012)
Ce n’est pas du tout bon pour les pays ciblés, mais c’est avantageux pour les services de renseignement israéliens et américains
C’est pour ça que je n’ai pas envie de travailler dans la cybersécurité
Parce qu’il faut avoir affaire à des gens dangereux
Et la cybersécurité couvre un champ très large
Beaucoup de postes consistent davantage à former les employés aux principes et procédures de sécurité, et à mettre en place la classification des données
Tout le monde ne gère pas directement les attaques, et la plupart du travail est de la prévention
Dans notre entreprise, parmi les personnes qui font techniquement de la cybersécurité, moins de 20 % traitent probablement directement les attaques. Cela dit, le fait que notre SOC soit externalisé joue aussi