La société israélienne NSO Group est surtout connue pour son logiciel Pegasus, utilisé pour pirater certains outils et applications. L’exemple le plus connu est WhatsApp. NSO Group avait réussi à créer un vecteur d’attaque redoutable : il suffisait d’appeler une personne, sur Android ou iOS, pour installer un malware, que l’appel soit décroché ou pas.
WhatsApp avait colmaté la brèche, et Facebook a attaqué NSO Group en justice dans la foulée. Ironie, Facebook avait tenté d'acheter Pegasus pour ses propres besoins.
Dans un billet au ton sévère, Tom Burt, en charge de la sécurité et de la confiance client chez Microsoft, qualifie l’entreprise israélienne de « cyber-mercenaires du 21e siècle ». Avec Cisco, GitHub, Google, LinkedIn, VMWare et l’Internet Association, elle entre dans la bataille avec un amicus commun.
Un amicus est un document qu’une personne morale ou physique peut remettre au tribunal au cours d’une procédure. Il n’a en tant que tel aucun pouvoir, car il représente seulement un avis.
Dans le cas d’un amicus commun cependant, les entreprises se déclarent prêtes à témoigner si nécessaire et à fournir toute expertise technique dont le tribunal pourrait avoir besoin. C’est aussi – et surtout – une manière de signaler au juge que la procédure de Facebook est largement soutenue.
Microsoft rappelle plus spécifiquement que Pegasus a permis l’infection de 1 400 appareils cette année, dont de nombreux journalistes et activistes, plus particulièrement le cas récent d’Al-Jazeera.
L’éditeur relève plusieurs sérieux problèmes dans le modèle commercial de NSO. D’une part, il n’y a aucune garantie que ces armes ne tomberont pas entre de mauvaises mains, sans même parler du type de gouvernement auquel les produits sont vendus.
D’autre part, les entreprises ne sont pas soumises aux mêmes contraintes que les gouvernements. Par exemple, ces derniers ont des agences responsables de la sécurité qui, le plus souvent, doivent avertir les éditeurs concernés que des failles ont été trouvées. Le cas des États-Unis est un peu trouble puisque la NSA s’occupe à la fois de l’attaque et de la défense.
Surtout, Microsoft estime que ces outils sont des menaces pour la vie privée et les droits de l’Homme. Même si l’objectif de NSO Group n’était pas de violer ces droits, les armes qu’il commercialise peuvent le faire, sans contrôle particulier.
Ce qu’aimerait l’entreprise ? Que les sociétés privées de sécurité comme NSO soient responsables devant toute loi enfreinte par leurs outils, sans pouvoir recevoir la moindre immunité.
Actuellement, la défense de la société israélienne consiste essentiellement à dire qu’elle se borne à commercialiser ces outils et qu’elle n’est en aucun cas responsable de l’utilisation qui en est faite.
Commentaires