Il y a maintenant cinq ans, WhatsApp, qui fait désormais partie du groupe Meta, a porté plainte (PDF) contre l'entreprise israélienne NSO, bien connue maintenant pour son logiciel d'espionnage des smartphones Pegasus. L'entreprise de messagerie instantanée l'accusait d'avoir utilisé ses serveurs pour infecter « approximativement 1 400 téléphones mobiles et appareils » avec son spyware.

Des documents de l'instruction en cours publiés jeudi 14 novembre et repérés par le média The Record confirment que Pegasus a été utilisé pour infecter ces 1 400 appareils. Dans un premier document [PDF], les avocats de Meta expliquent que « NSO a admis qu'Eden [un vecteur d'attaque qu'elle a développé, ndlr] est responsable des attaques décrites dans la plainte ».

Le CEO de NSO a confirmé l'utilisation de ses outils

Cette affirmation fait référence à la déposition de Yaron Shohat, actuel CEO et ancien directeur des opérations de NSO. Dans un second document [PDF], ils citent plus particulièrement la phrase qu'ils considèrent comme un aveu : « NSO a développé la technologie qui a été utilisée lors de l'événement auquel la plainte fait référence ».

Les avocats de Meta écrivent que NSO a admis « avoir développé et vendu le logiciel espion décrit dans la plainte, et que le logiciel espion de NSO – en particulier son vecteur d'installation zero-click appelé "Eden", qui faisait partie d'une famille de vecteurs basés sur WhatsApp connus collectivement sous le nom de "Hummingbird" (collectivement, les "vecteurs de logiciels malveillants") – était responsable des attaques décrites dans la plainte ».

Rappelons que les attaques « zero-click » permettent d'agir sans aucune interaction de l'utilisateur, contrairement, par exemple, aux attaques utilisant le phishing qui piègent l'utilisateur pour qu'il interagisse avec le vecteur d'infection. NSO a percé dans le milieu de l'espionnage, notamment en utilisant ce genre d'attaque avec son logiciel Pegasus.

Création d'un client WhatsApp maison

Meta explique que ces exploits ont été mis en place en « extrayant et en décompilant le code de WhatsApp, en procédant à du reverse ingeniering de WhatsApp, en concevant et en utilisant son propre "serveur d'installation de WhatsApp" (ou "WIS") pour envoyer des messages déformés ».

En s'appuyant sur la déposition du chef de la R&D chez NSO, Tamir Gazneli, l'entreprise américaine explique qu'avant avril 2018, l'entreprise israélienne a développé et testé différents vecteurs en « créant un environnement interne reproduisant les serveurs de WhatsApp et en “décompilant” le code du client officiel pour comprendre comment contourner les mesures de sécurité qui y sont intégrées ». Ce travail a permis de créer un premier vecteur baptisé « Heaven ».

Ce client « était capable de se faire passer pour le client officiel afin d'accéder aux serveurs de WhatsApp et d'envoyer des messages, y compris des paramètres d'appel, ce que le client officiel ne pouvait pas faire ».

Utilisation des serveurs de WhatsApp

Des mises à jour de sécurité de WhatsApp mises en place en septembre et décembre 2018 ont permis de bloquer Heaven. Mais, selon Meta, NSO est revenu à la charge avec son nouveau vecteur nommé Eden en février 2019. La « différence principale » entre les deux vecteurs serait qu'avec Eden, « NSO a intentionnellement décidé d'utiliser les propres serveurs de relais de WhatsApp (y compris ceux situés en Californie) pour envoyer des messages malveillants aux appareils ciblés ».

Pour porter son attaque, NSO aurait créé une fausse identité pour louer un serveur basé en Californie à l'entreprise américaine Greencloud.

Pour Meta l'utilisation de Pegasus était dès lors facilitée : « le client n'avait qu'à entrer le numéro de l'appareil cible et appuyer sur Install, et Pegasus installait l'agent sur l'appareil à distance sans aucun engagement ».

NSO réfute les accusations d'activités sur le sol californien

De son côté, NSO réfute, dans un autre document versé au dossier [PDF], avoir ciblé des serveurs basés en Californie, et remet donc en cause les compétences de la Cour à juger l'affaire. L'entreprise israélienne rejette la responsabilité de l'utilisation de Pegasus sur ses clients et affirme que les « propres documents » de Meta « montrent qu'ils savaient que [les clients de NSO], tous des États-nations, exploitaient Pegasus ».

NSO n'a pas répondu à The Record. WhatsApp a déclaré que les preuves rendues publiques récemment « montrent exactement comment les opérations de NSO ont violé la loi américaine et lancé leurs cyber-attaques contre les journalistes, les militants des droits de l'homme et la société civile ».

Le chercheur du Citizen Lab John Scott-Railton relève en outre que le CEO de NSO a aussi admis que Pegasus avait bien été utilisé pour espionner l'ex-femme de l'émir de Dubaï.

• Le Premier ministre de Dubaï a espionné son ex-femme et ses avocats grâce à Pegasus