Meta contraint NSO à dévoiler les coulisses de son logiciel espion Pegasus
Knockin' on Heaven's Door
Un jury populaire états-unien vient d’accorder à Meta 167 millions de dollars de dommages et intérêts. NSO avait en effet été reconnu coupable d’avoir infecté 1 400 terminaux Android entre 2018 et 2020 via la messagerie chiffrée WhatsApp. Les témoignages de responsables de l’éditeur israélien lèvent par ailleurs un coin de voile sur le modus operandi de son logiciel espion, de son prix, et du nombre de personnes qu’il avait ciblé… ou pas.
Un jury composé de huit personnes a accordé à Meta 444 719 dollars de dommages-intérêts compensatoires, « soit le coût monétaire supporté par Meta pour réparer l’attaque », précise Courthouse News Service, et plus de 167 millions de dollars de dommages-intérêts punitifs « destinés à dissuader toute action similaire de la part de NSO à l’avenir ». Une décision notifiée la semaine passée, aux termes d’un procès entamé le 28 avril dernier à Oakland, en Californie.
Meta, propriétaire de WhatsApp, avait porté plainte contre NSO Group après avoir découvert en mai 2019 que l’entreprise israélienne avait exploité la messagerie chiffrée pour installer son logiciel espion Pegasus dans les terminaux de 1 400 personnes, qu’elle avait à l’époque informée.
Le laboratoire de recherche canadien Citizen Lab, qui avait travaillé sur cette attaque avec Meta, avait alors identifié, parmi les personnes identifiées par Meta, plus de 100 défenseurs des droits humains et journalistes dans 20 pays au moins.
Meta aurait en outre l’intention de présenter une demande d’injonction afin d’empêcher NSO, à l’avenir, d’utiliser ses plateformes, d’émuler sa technologie ou de créer de futurs comptes WhatsApp, précise Courthouse News Service. L’entreprise demande également au tribunal d’ordonner à NSO de supprimer tout code en rapport avec ses plateformes.
« Nous sommes fermement convaincus que notre technologie joue un rôle essentiel dans la prévention des crimes graves et du terrorisme et qu’elle est déployée de manière responsable par les agences gouvernementales autorisées », a déclaré Gil Lanier, porte-parole du NSO, à Courthouse News :
« Ce point de vue, validé par de nombreuses preuves concrètes et de nombreuses opérations de sécurité qui ont permis de sauver de nombreuses vies, y compris des vies américaines, n’a pas été pris en compte par le jury dans cette affaire. »
Le CEO de l’entreprise, Yaron Shohat, avait de son côté précédemment déclaré que l’entreprise était en grande difficulté financière, et qu’elle ne serait pas en mesure de payer les dommages-intérêts accordés à Meta. Ces 167 millions représentent en tout état de cause près de trois fois ce que l’entreprise avait à l’époque engrangée en piratant WhatsApp.
Un document, publié à l’occasion du procès, indique en effet que le piratage de la messagerie chiffrée par NSO lui aurait rapporté 61,71 millions de dollars entre le deuxième trimestre 2018 et le deuxième trimestre 2020, pour un bénéfice estimé entre 21,31 et 40,24 millions de dollars, le second montant excluant les dépenses de recherche et développement.
Meta compte faire des dons à des ONG de défense des droits numériques
« Ce procès a également révélé que WhatsApp était loin d’être la seule cible de NSO », précise Meta dans un communiqué : « Pegasus a eu recours à de nombreuses autres méthodes d’installation de logiciels espions pour exploiter les technologies d’autres entreprises afin de manipuler les appareils des gens pour qu’ils téléchargent des codes malveillants et compromettent leurs téléphones ».
NSO a d’ailleurs reconnu dépenser des dizaines de millions de dollars par an pour développer des méthodes d’installation de logiciels malveillants, « notamment par le biais de la messagerie instantanée, des navigateurs et des systèmes d’exploitation » iOS et Android.
« Compte tenu de la quantité d’informations auxquelles les gens ont accès sur leurs appareils, y compris par l’intermédiaire d’applications privées chiffrées de bout en bout comme WhatsApp, Signal et d’autres, nous continuerons à nous attaquer aux fournisseurs de logiciels espions qui ciblent indistinctement des personnes dans le monde entier », souligne le communiqué :
« Ces technologies malveillantes constituent une menace pour l’ensemble de l’écosystème et nous devrons tous nous défendre contre elles. La décision rendue aujourd’hui montre aux fabricants de logiciels espions que leurs actions illégales contre les technologies américaines ne seront pas tolérées. »
Meta précise vouloir « faire un don à des organisations de défense des droits numériques qui s’efforcent de défendre les gens contre de telles attaques dans le monde entier », mais sans préciser le nom des ONG, non plus que les montants qui leur seront versés.
En exergue de son communiqué, Meta publie par ailleurs les transcriptions (non officielles) de quatre vidéos de déposition ayant été diffusées en audience publique, « afin que les chercheurs et les journalistes qui étudient ces menaces et travaillent à la protection du public puissent accéder à ces documents ». Ils recèlent effectivement plusieurs informations fort instructives.
Trois exploits « 0 click » en deux ans
Tamir Gazneli était à la tête d’une équipe de quatre chercheurs en cybersécurité de NSO chargés, en 2017, de trouver des failles exploitables dans des applications Android, avant de devenir le directeur puis vice-président en charge de la R&D de l’entreprise en 2022.
À l’époque, précise-t-il, WhatsApp n’était que l’une des applications Android qu’ils cherchaient à exploiter afin de pouvoir accéder aux terminaux de leurs cibles. NSO ne disposait pas encore, en effet, d’exploit lui permettant d’infecter n’importe quel terminal Android.
Ses chercheurs parvinrent, entre avril 2018 et mai 2020, à développer trois exploits « 0 click » capables d’y parvenir. Les trois via WhatsApp, sans que la victime n’ait à effectuer quelque interaction que ce soit. Collectivement désignées sous le terme « Hummingbird » (colibri, en français), ils avaient pour noms de code Eden, Heaven et ERISED.
Leur développement était le résultat d’un long travail ayant d’abord nécessité l’identification de failles ou vulnérabilités dans l’écosystème ou les services de WhatsApp au moyen d’IDA (Interactive Disassembler), un désassembleur utilisé en rétro-ingénierie, et de JEB, un logiciel de désassemblage et de décompilation pour les applications Android.
Envoyer une requête falsifiée imitant la réponse d’un serveur
Dans un second temps, ses équipes avaient dû développer une chaîne d’installation et relier le tout à un vecteur d’installation de l’agent, afin de pouvoir finalement le déployer sur les terminaux ciblés. À cette fin, ils avaient notamment déployé un système client-serveur WhatsApp en interne, étudié les trames réseaux, et identifié qu’il était possible d’obtenir l’empreinte d’un client en lui envoyant une requête falsifiée imitant la réponse d’un serveur :
« – Il s’agit d’une réponse que le serveur génère, et qui imite ce message vers le client de la cible.
– Il envoie donc un message qui semble être une réponse du serveur ?
– Oui.
– Donc il s’agit d’un message qui apparaît comme légitime dans l’écosystème WhatsApp, mais qui ne l’est pas, c’est ça ?
– C’est légitime pour la cible qui l’a reçu et pour l’écosystème qui a transféré le message.
– Mais ce n’est pas une vraie réponse des serveurs de WhatsApp ?
– Elle pourrait l’être. »
Rajouter une sixième adresse IP
NSO avait en effet développé son propre « WhatsApp installation server » (WIS) capable d’envoyer des messages initiant un appel vocal. Il profitait du « handshake » d’établissement de la liaison entre le serveur WIS de NSO (se faisant passer pour un client) et le client WhatsApp de la cible, pour rajouter une sixième adresse IP à la liste des cinq serveurs de relais normalement transmise par WhatsApp.
Cette sixième adresse IP permettait à son tour au WIS de NSO d’envoyer des « messages additionnels » au client de la cible à infecter, sans que les serveurs de WhatsApp ne puissent les inspecter, et donc les identifier comme malveillants.
Dit autrement, résume Tamir Gazneli, « le serveur WIS met en œuvre et permet de créer des messages et du contenu qui sont nécessaires pour la phase d’installation ou pour obtenir l’exécution d’un code à distance sur le client WhatsApp de la cible ».
Les employés de NSO communiquaient… sur WhatsApp
Une des craintes de NSO était que WhatsApp puisse récupérer des logs, envoyés automatiquement en cas de crash de l’application, et y découvre ses tentatives d’infection, ainsi que son modus operandi.
NSO disposait même d’une équipe dédiée, intitulée OpSec team, spécifiquement chargée d’anticiper et identifier comment empêcher WhatsApp, ou n’importe quel autre « threat actor », de contrecarrer Pegasus, et au contraire de doter le logiciel espion de capacités de persistance et de furtivité.
NSO était également confronté à un autre problème : WhatsApp mettait son application à jour toutes les deux semaines, et de nombreuses mises à jour cassaient le process d’infection. Or, précise Tamir Gazneli, le fait de les restaurer pouvait prendre « de une journée à une demi année ».
En décembre 2018, une mise à jour avait bloqué l’exploit Heaven. Mi-janvier 2019, l’équipe de R&D expliquait en avoir développé un second, Eden, qui parvenait à infecter WhatsApp dans l’environnement de test déployé en interne par NSO. Un mois plus tard, Eden était envoyé en production.
Sauf que le 12 mai 2019, WhatsApp colmatait à son tour la faille exploitée par Eden. Ironie de l’histoire, c’est sur la messagerie WhatsApp que les employés de NSO échangeaient à ce sujet, comme en témoigne ce message partagé par l’un de ses commerciaux :
« J’ai entendu certains directeurs commerciaux parler de manière dramatique. Votre tâche est de vous assurer qu’ils se souviennent qu’au fil des ans, NSO a prouvé à maintes reprises que l’une de ses plus grandes valeurs est sa capacité à “survivre” à cet environnement difficile du jeu du chat et de la souris. »
Pegasus dépendait d’une faille WhatsApp pour infecter les terminaux Android
Interrogé à ce sujet, Tamir Gazneli précise que NSO ne disposait pas, à l’époque, d’autre faille « 0 click » capable d’infecter des terminaux Android.
Il fallut cette fois plusieurs mois à l’équipe de R&D de NSO avant qu’elle ne parvienne, fin 2019, à identifier une vulnérabilité spécifique à Samsung, et à en développer un troisième exploit, ERISED, permettant de nouveau, et toujours via la messagerie WhatsApp, à Pegasus d’infecter des Android en mode « 0 click ».
Tamir Gazneli précise que l’équipe de R&D de NSO avait en effet découvert, fin 2017, qu’il était possible de manipuler le « champ DESC de la tonalité de connexion » de WhatsApp afin d’y insérer un script bash, sans que les utilisateurs de la messagerie ne s’en aperçoivent. Aucune précision supplémentaire n’est donnée sur le fonctionnement de cette attaque.
7 millions pour 15 cibles simultanées
À une question d’Antonio J. Perez-Marques, l’un des avocats de Meta qui l’interrogeait au sujet du nombre de terminaux compromis par NSO grâce à ces trois exploits pendant ces deux années-là, et plus précisément s’il y en avait eu « des dizaines, centaines, milliers, dizaines de milliers », Gazneli répondit : « pas des dizaines de milliers, mais pas des centaines » non plus, plutôt quelque chose « entre des centaines et des dizaines de milliers ».
Interrogé sur ce que cela coûtait de déployer le logiciel espion sur 15 cibles simultanées, Sarit Bizinsky Gil, qui était alors directeur commercial de Q Cyber Ltd, la maison mère de NSO, expliqua de son côté au tribunal que, « autant que je me souvienne, pour l’Europe, le prix standard était d’environ 7 millions », soit un peu moins de 500 000 dollars par cible.
Un « prix standard » qui ne saurait présumer des tarifs proposés aux clients non-européens, mais auquel pouvaient par ailleurs être rajoutées des options (telles que l’obtention de « vecteurs secrets » d’infection, ou encore le fait d’infecter une cible à l’étranger) facturées à part du fait que les contrats initiaux, datant pour certains clients de 2013, ne comportaient pas à l’époque de telles options, croit se souvenir le directeur de la communication, malgré des trous de mémoire :
« – Cela pouvait-il doubler le prix du système ?
– Je ne me souviens pas que cela ait jamais doublé le prix.
– Vous souvenez-vous du montant facturé ?
– Encore une fois, je ne m’en souviens pas, mais cela pouvait être facturé de 1 à 2 millions, peut-être. »
Or, on peine à imaginer, au vu des 62 millions de dollars de chiffres d’affaires de NSO en 2018 - 2020, mais aussi et surtout des près de 500 000 euros qu’il facturait alors à ses clients par « cible » (sans les « options »), que Pegasus ait pu être déployé sur des « dizaines de milliers » de terminaux.
50 000 « cibles potentielles », vraiment ?
Ces chiffres corroborent par ailleurs le fact-checking que nous avions publié au sujet des révélations du Projet Pegasus des ONG Forbidden Stories et Amnesty International qui, en 2021, avaient rendu publique « une fuite massive de 50 000 numéros de téléphone sélectionnés comme cibles dans une cinquantaine de pays, depuis 2016 ».
Nous avions à l’époque souligné que les 80 journalistes de 17 médias internationaux réunis dans leur consortium n’avaient réussi à identifier que 1 000 des 50 000 numéros de téléphones en question, soit 2 % seulement de leurs titulaires. Y figuraient notamment des journalistes, défenseurs des droits humains et responsables politiques, ce qui ne saurait pour autant présager de l’identité des utilisateurs des 49 000 autres téléphones.
De plus, sur les 67 smartphones expertisés, seuls 35 avaient « montré des signes d’activité de Pegasus » (soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total des soi-disant « 50 000 numéros de téléphone sélectionnés comme cibles »).
Nous relevions en outre qu’à aucun moment les membres du consortium n’avaient expliqué comment ils en étaient parvenus à la conclusion, ou déduction, que les 50 000 numéros de téléphone en question auraient été « sélectionnés comme cibles ».
D’autant qu’aucun n’avait non plus expliqué pourquoi ils auraient écarté le fait que le « contact chaining », consistant à étudier le « graph’ social » (et donc la liste des contacts) des cibles avérées, constitue le b.a-ba de toute enquête criminalistique en matière de téléphonie mobile.
Nous doutions enfin qu’il puisse s’agir d’une liste de 50 000 « cibles potentielles » à mesure qu’y figuraient également des numéros de téléphone fixes ne pouvant pas, par définition, être infectés par le logiciel espion.
De nombreux autres experts avaient, eux aussi, émis de sérieuses réserves quant à la finalité de ladite liste, comme nous l’avions répertorié dans le second volet de notre fact-check. Mais à l’époque, aucun des membres du consortium que nous avions contacté à ce sujet n’avait daigné répondre à nos questions.
Commentaires (4)
Le 12/05/2025 à 14h51
Le 13/05/2025 à 12h18
Le 13/05/2025 à 14h34
Le 19/05/2025 à 16h33
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?