Aux termes d'une procédure judiciaire entamée il y a cinq ans, l'entreprise israélienne NSO Group a été reconnue coupable par un juge états-unien d'avoir exploité un bug dans l'application de messagerie WhatsApp pour installer son logiciel espion Pegasus, rapporte l'agence Reuters, reprise par Le Monde.

WhatsApp avait porté plainte en 2019, accusant NSO d’avoir contribué au piratage, à des fins d’espionnage, d’une centaine d’utilisateurs de sa messagerie. On a depuis découvert que la faille exploitée, faisant croire à un appel vidéo manqué, avait permis d'infecter environ 1 400 smartphones pendant cette seule année, dont des journalistes, militants des droits humains et dissidents.

• Pegasus a bien infecté environ 1 400 smartphones via WhatsApp en 2019

« Nous avons passé cinq ans à plaider notre cause, parce que nous pensons fermement que les entreprises qui commercialisent des logiciels espions ne peuvent prétendre à l’immunité ni échapper à leurs responsabilités », a tweeté Will Cathcart, le directeur de WhatsApp. Il qualifie cette décision de « victoire pour la protection de la vie privée » :

« Les sociétés de surveillance doivent savoir que l’espionnage illégal ne sera pas toléré. »

John Scott-Railton, du Citizen Lab (le laboratoire de recherche universitaire qui étudie et documente les logiciels espions étatiques depuis des années), a pour sa part qualifié le jugement de « cas emblématique » avec d' « énormes implications » pour l'industrie des logiciels espions :

« L’ensemble du secteur s’est caché derrière l’affirmation selon laquelle, quoi que fassent leurs clients avec leurs outils de piratage, cela ne relève pas de leur responsabilité. La décision d’aujourd’hui montre clairement que NSO Group est en fait responsable de la violation de nombreuses lois. »

Natalia Krapiva, avocate spécialiste de ces questions et conseillère juridique principale en matière de technologie de l'ONG Access Now, qui représente les victimes de Pegasus, qualifie elle aussi cette décision de « victoire majeure ».

La cour a notamment jugé que NSO avait violé le Computer Fraud & Abuse Act en envoyant des messages via les serveurs WhatsApp pour pirater les utilisateurs de la messagerie. NSO avait aussi violé les conditions d'utilisation de WhatsApp qui interdisent l'envoi de code malveillant, la collecte d'informations sur les utilisateurs et l'utilisation de l'application à des fins illégales.

Pour sa défense, NSO avait fait valoir que Pegasus aide les forces de l’ordre et les agences de renseignement à arrêter les terroristes, les pédophiles et les criminels. Un procès, qui débutera le 3 mars 2025, devra fixer le montant des dommages et intérêts, a précisé la juge du district Phyllis Hamilton.