WhatsApp vient de porter plainte aux États-Unis contre la startup israélienne NSO Group, suspectée d’avoir intenté une cyberattaque sur la filiale de Facebook en mai 2019. Spécialisée dans la vente d’outils d’espionnage aux gouvernements, NSO a un passé bien sulfureux.

Crédit : Josue Valencia // Unsplash

En mai dernier, l’application de messagerie WhatsApp était frappée par une fulgurante et mystérieuse cyberattaque. L’immense majorité des utilisateurs n’en ont pas vu l’ombre, mais l’attaque avait de quoi faire froid dans le dos. En envoyant un appel vidéo à une personne, les hackeurs pouvaient automatiquement infiltrer un spyware sur son smartphone. La victime n’avait même pas besoin de décrocher.

Un mystérieux spyware

À l’époque, la filiale de Facebook avait déclaré que « l’attaque porte toutes les marques d’une entreprise privée connue pour travailler avec les gouvernements, en distribuant du spyware qui prendrait le contrôle des fonctions des systèmes d’exploitation de téléphones mobiles ». Un nom se retrouvait sur beaucoup de lèvres : NSO Group, une startup israélienne spécialisée dans la conception d’outils d’espionnage pour les autorités.

L’attaque porte toutes les marques d’une entreprise privée connue pour travailler avec les gouvernements

Ce mardi, WhatsApp vient de déposer une plainte dans une cour fédérale américaine à San Francisco, en nommant explicitement NSO comme l’acteur qui aurait fomenté la cyberattaque. La plateforme de messagerie accuse aussi la startup d’avoir « ciblé au moins 100 défenseurs des droits de l’homme, journalistes et autres membres de la société civile à travers le monde ». À titre d’exemple, on a appris qu’une vingtaine d’activistes en Inde ont été ciblés comme le révèle The Indian Express.

NSO nie les accusations en bloc. « Avec le plus de fermeté possible, nous disputons les allégations d’aujourd’hui et les combattrons vigoureusement », martèle la firme de cybersécurité dans un communiqué. « Le seul objectif de NSO est de fournir de la technologie à des agences habilitées de renseignements gouvernementaux et de forces de l’ordre, pour les aider à combattre le terrorisme et les crimes graves ».

L’espionnage israélien se lance dans le business

Israël a une scène technologique florissante, et beaucoup de ses startups les plus en vue sont spécialisées dans la cybersécurité. En effet, l’économie israélienne est très marquée par le complexe militaro-industriel. Les partenariats en la matière sont récurrents entre le privé et le public, et de nombreuses carrières oscillent entre l’un et l’autre. Les entreprises du numérique ne font pas exception.

NSO Group est une de ces startups, créée en 2010 et basée à Herzliya, la banlieue technologique au nord de Tel-Aviv. Ses trois fondateurs, Niv Carmi, Omri Lavie et Shalev Shulio, sont réputés être des anciens de l’Unité 8200, un groupe de l’armée israélienne spécialisé dans le renseignement d’origine électromagnétique (SIGINT).

Le ministère israélien de la Défense lors d’une visite officielle américaine. Crédit : ambassade américaine en Israël.

S’il y a un logiciel pour lequel NSO est connu, c’est Pegasus. Ce spyware est envoyé sur le smartphone de la cible via un SMS contenant un lien cliquable — un type d’attaque dit de spear fishingLe virus s’installe une fois le lien ouvert, et peut alors jailbreaker et prendre le contrôle d’un système iOS, pourtant réputé pour sa sécurité logicielle. Il est ainsi capable d’effectuer des enregistrements audio et vidéo, pister la position GPS de l’appareil, ou encore récolter les messages échangés.

Un tel outil peut bien sûr être utilisé à des fins tout à fait honorables par les forces de l’ordre. Mais NSO l’aurait aussi fourni à des gouvernements peu recommandables, tels que la Turquie, le Kazakhstan, le Togo ou le Qatar. Au Mexique, des dizaines d’avocats, journalistes et enquêteurs internationaux auraient été surveillés par les autorités grâce à Pegasus. Et aux Émirats arabes unis, le dissident Ahmed Mansoor a notamment vu son iPhone 6 piraté de la sorte en août 2016.

Vente d’armes logicielles à l’étranger

En août 2018, l’ONG Amnesty International faisait campagne pour la libération d’activistes saoudiennes emprisonnées. C’est alors qu’un membre de l’organisation a reçu un SMS évoquant une manifestation devant l’ambassade de l’Arabie saoudite à Washington. Le message incluait un lien URL à l’apparence suspecte. Après vérification, il s’est avéré que celui-ci était bien porteur du virus Pegasus.

« L’attaque sur Amnesty International fut la goutte qui fit déborder le vase », déclarera l’ONG en mai 2019 lors d’un dépôt de plainte contre le ministère israélien de la Défense. « NSO Group vend ses produits à des gouvernements connus pour des violations odieuses des droits de l’homme, leur donnant ainsi les outils pour suivre les activistes et les détracteurs. »

Riyad, la capitale de l’Arabie saoudite. Crédit : B.alotaby // Wikimedia Commons

Armé des produits de NSO, le royaume wahhabite n’en est pas resté là. Quelques mois après la tentative de piratage contre Amnesty, le journaliste et dissident saoudien Jamal Khashoggi a été assassiné dans le consulat de l’Arabie saoudite à Istanbul. Le meurtre a suscité un scandale sur la scène internationale et défrayé la chronique sur toute la fin de l’année 2018.

En décembre, le New York Times a révélé que le téléphone de l’opposant avait été infiltré par Pegasus. Sept activistes et journalistes dont les téléphones auraient été compromis par les malwares de NSO, dont un ami de Jamal Khashoggi, ont alors porté plainte contre NSO en Israël et à Chypre.

Les outils de NSO sont considérés comme des armes par la loi israélienne

Les outils développés par NSO sont suffisamment puissants pour être considérés comme des armes par la loi israélienne. Leur vente à l’étranger doit donc être sanctionnée par le ministère de la Défense, qui octroie une licence spécifique pour autoriser NSO à conclure des contrats hors du pays. Si des pays comme l’Arabie saoudite refusent officiellement de reconnaître l’État d’Israël pour des raisons politiques, d’autres raisons tout aussi politiques les poussent à une certaine collaboration avec.

C’est pour cela qu’Amnesty International a attaqué en justice le ministère en mai 2019, ironiquement quelques jours avant que WhatsApp révèle avoir été ciblé par la cyberattaque. « Le gouvernement israélien doit révoquer la licence d’export de NSO Group pour l’empêcher de profiter de la répression orchestrée par les États. »

Les pays où sont répertoriées le plus d’infections par virus de NSO. Crédit : CitizenLab

WhatsApp s’en va-t-en guerre

Aujourd’hui, les poursuites de WhatsApp représentent un tournant. Joint par l’agence Reuters, l’avocat Scott Watnik a décrit l’action comme « complètement sans précédent ». Les plateformes sont souvent frileuses à l’idée d’aller en justice sur des questions de cybersécurité, car elles ne veulent généralement pas avoir à en dire trop sur leurs propres pratiques. « Cela établirait certainement un précédent juridique. »

« Les entreprises ne devraient tout simplement pas lancer de cyberattaques contre d’autres entreprises », regrette l’éditorial de WhatsApp dans le Washington Post« Les acteurs responsables signalent les vulnérabilités quand ils les trouvent ; ils n’utilisent pas leur technologie pour exploiter ces vulnérabilités. De même, les entreprises ne devraient pas vendre de services à d’autres acteurs engagés dans de telles attaques. »

La messagerie en profite pour rappeler qu’elle est chiffrée de bout en bout depuis 2016. Elle voit dans la cyberattaque un argument supplémentaire soutenant « pourquoi on ne devrait jamais exiger des entreprises technologiques qu’elles affaiblissent intentionnellement leurs systèmes de sécurité ». À une heure où sa maison-mère Facebook est critiquée par les gouvernements occidentaux pour vouloir chiffrer une partie de sa plateforme, le message codé est bien passé.

Corellium : pourquoi la startup de virtualisation iOS dérange Apple