En 2019, WhatsApp, filiale de Meta, avait porté plainte contre NSO Group, accusant la société israélienne d’avoir utilisé son spyware Pegasus pour espionner plus de 1 400 individus — journalistes, militants, opposants politiques, avocats et diplomates. Six ans plus tard, un juge fédéral américain a rendu deux décisions majeures : une injonction permanente empêchant NSO Group d’attaquer à nouveau les utilisateurs de WhatsApp, et une réduction spectaculaire du montant des dommages et intérêts à verser, ramené de 167 millions à environ 4 millions de dollars.
Une injonction sans précédent pour lutter contre Pegasus
Le tribunal de district de Californie, présidé par la juge Phyllis Hamilton, a jugé NSO Group coupable de violations de deux lois américaines :
- Le Computer Fraud and Abuse Act (CFAA), qui interdit l’accès non autorisé à des systèmes informatiques.
- La California Comprehensive Computer Data Access and Fraud Act, équivalent californien visant la protection des données et la lutte contre la fraude informatique.
En conséquence, NSO Group se voit interdire toute utilisation de Pegasus contre la plateforme WhatsApp. Cette injonction permanente vise à prévenir tout nouveau piratage exploitant les serveurs ou les failles de sécurité de Meta. Elle marque une première victoire d’ampleur pour la protection des communications chiffrées et un précédent juridique important contre l’industrie des logiciels espions.
Une condamnation financière allégée
Initialement, le tribunal avait fixé les dommages et intérêts à 167,25 millions de dollars, somme censée refléter le préjudice subi par l’entreprise et ses utilisateurs. Dans sa plaidoirie, WhatsApp avait souligné l’ampleur du support technique fourni par NSO Group aux gouvernements clients pour orchestrer ces cyberattaques ciblées.
Cependant, face aux arguments de la défense et aux négociations entre les parties, la juge Hamilton a réduit le montant à un peu plus de 4 millions de dollars. Cette décision s’explique notamment par :
- La reconnaissance d’une responsabilité atténuée de NSO Group, en tant que prestataire technique plutôt que commanditaire des attaques.
- L’absence de preuve directe quant à l’étendue totale des dommages financiers réellement occasionnés par Pegasus.
- La volonté d’imposer une sanction symbolique, tout en permettant la restructuration de NSO sous de nouveaux investisseurs américains.
Malgré ce rabais, cette amende demeure la plus importante jamais infligée à un fabricant de logiciels espions, et elle souligne la gravité de l’affaire aux yeux de la justice américaine.
Les modalités de l’injonction
Concrètement, l’ordre judiciaire stipule que NSO Group doit :
- Cesser immédiatement toute exploitation de failles de WhatsApp pour diffuser Pegasus.
- Détruire toutes les sections de code liées aux attaques menées via les serveurs de Meta.
- Mettre en place un contrôle interne et prouver qu’aucune nouvelle version de Pegasus n’est déployée contre les utilisateurs de WhatsApp.
En revanche, la demande d’étendre l’injonction aux autres plateformes sociales de Meta (Facebook, Instagram et Threads) a été rejetée, faute de preuves que NSO Group ait également ciblé ces services.
Un impact sur la relation Meta–NSO et les nouveaux actionnaires
NSO Group, récemment acquis par un consortium d’investisseurs américains, se trouve désormais dans l’obligation de restructurer ses processus et de garantir à Meta le respect de l’injonction. Sans un dispositif de vérification robuste, la mise en application de l’ordre pourrait rester théorique. Meta, de son côté, s’engage à surveiller et à signaler toute tentative de contournement.
Pour WhatsApp, cette décision renforce la confiance des utilisateurs quant à la sécurité de leurs conversations, alors que la messagerie chiffrée représente un enjeu majeur face à la pression des gouvernements en matière de surveillance.
Pegasus : un révélateur des enjeux de cybersécurité
Le logiciel Pegasus, développé par NSO Group, a mis en lumière plusieurs problématiques :
- Usage par des États autoritaires : bien que commercialisé comme outil de lutte contre le terrorisme et la criminalité, Pegasus a été utilisé pour cibler des opposants, journalistes et défenseurs des droits humains.
- Failles zero-click : la capacité à infecter des téléphones sans interaction de la victime a mis en évidence la vulnérabilité des systèmes mobiles modernes.
- Équilibre entre sécurité et vie privée : la condamnation de NSO Group relance le débat sur la régulation des technologies de surveillance et la responsabilité des fournisseurs de solutions.
Au-delà de cette affaire, de nombreuses enquêtes journalistiques et rapports d’ONG continuent de dénoncer l’usage abusif de Pegasus, soulignant la nécessité d’un cadre légal international pour encadrer le commerce de ces outils.
Quelles perspectives pour la lutte contre les logiciels espions ?
La décision de justice ouvre la voie à plusieurs évolutions :
- Renforcement des législations : plusieurs pays envisagent de durcir les lois encadrant la vente et l’utilisation des technologies de hacking.
- Coopération internationale : l’enjeu transcende les frontières, nécessitant une harmonisation entre autorités judiciaires et agences de régulation.
- Améliorations techniques : les éditeurs de messagerie chiffrée multiplient les audits de sécurité et renforcent le patching rapide des vulnérabilités.
Pour les utilisateurs, l’affaire rappelle l’importance de maintenir à jour leurs applications et d’activer toutes les fonctionnalités de protection proposées par leurs messageries.