WhatsApp attaque en justice les logiciels-espions d'une startup israélienne

Même à l'écrit, Will Cathcart semble excédé. Le patron de WhatsApp a raconté mardi par le menu comment son application a été piratée, par qui, dans quel but, et pourquoi cette fois, la solution devra en passer par la justice.

Pour les géants du logiciel, les failles de sécurité sont une réalité du quotidien. Des failles à combler le plus rapidement possible, pour protéger leurs utilisateurs des cybercriminels. Un combat encore plus ardu quand ceux qui exploitent ces failles ont pignon sur rue, et le font contre des centaines de millions de dollars, payés par des clients pas toujours reluisants. Plus que la faille, c'est cela qui met Will Cathcart hors de lui.

Cible de sa plainte : NSO Group, une startup israélienne spécialiste de la cybersécurité. Si sur son site, l'entreprise revendique son expertise en "Cyber-intelligence pour la sécurité et la stabilité globale", expliquant qu'elle aide les Etats à lutter contre le terrorisme et la criminalité, la réalité que met en lumière la plainte de WhatsApp est plus complexe, et passe souvent de sérieuses lignes blanches, côté éthique.

Comme le décrit Will Cathcart, en mai dernier, WhatsApp avait annoncé avoir détecté une faille dans sa fonction d'appels vidéo. En lançant un appel vers sa cible, l'attaquant pouvait transmettre un spyware capable d'infecter le smartphone de sa victime, sans même qu'elle ne réponde. Après enquête, WhatsApp aurait déterminé que le logiciel-espion venait bien de chez NSO. 

Chez NSO, on a un logiciel star, Pegasus, un outil capable de récupérer les données contenues dans un smartphone, en utilisant toutes les failles de sécurité qui pourraient s'y trouver. Un outil utilisé par des forces de police ou des services de renseignement dans des dizaines de pays. Un outil qui se vend cher, très cher. Selon une liste de prix découverte en 2016, Pegasus coûtait 650.000 dollars (un peu moins de 600.000 euros) pour déverrouiller une dizaine d'appareils cibles, sans compter des frais d'installation d'un demi-million de dollars. Un outil de luxe pour des cibles de haut niveau dans des enquêtes criminelles ou contre le terrorisme, mais pas seulement. Ce que WhatsApp a pu déterminer, c'est que la faille a été exploitée au bénéfice d'une attaque visant au moins une centaine de défenseurs des droits de l'Homme et de journalistes de par le monde. Une attaque à laquelle WhatsApp affirme que NSO aurait apporté son soutien actif, malgré les dénégations de l'entreprise.

Si WhatsApp, propriété de Facebook, se défend à la fois vigoureusement et publiquement, c'est d'abord parce qu'il a une réputation à tenir. L'application de messagerie instantanée a été parmi les premières a chiffrer de bout en bout les communications de ses utilisateurs. Les messages que l'on échange sur WhatsApp ne sont lisibles que par leurs destinataires, même WhatsApp n'y a pas accès. De son côté, s'il a jusque-là nié être à l'origine de l'attaque de mai dernier, NSO Group semble avoir compris que son avenir se jouait aussi du côté de sa communication.

Au mois de septembre dernier, Shalev Hulio, patron de NSO, a publiquement reconnu que l'usage de ses logiciels pouvait poser des questions éthiques, et a promis qu'il se conformerait désormais aux recommandations des Nations Unies, pour que ses outils ne puissent être utilisés pour violer certains droits fondamentaux. L'entreprise s'est aussi entourée de "senior advisors" de luxe, un comité consultatif où l'on trouve l'américain Tom Ridge, premier patron de la Homeland Security américaine post-11 Septembre, mais aussi Buky Carmeli, l'ancien patron de la cyberdéfense israélienne. On y trouve aussi le français Gérard Araud, diplomate fraîchement retraité, ex-Ambassadeur de France aux États-Unis, après avoir été notre représentant permanent aux Nations Unies. Qu'attend exactement NSO de ses nouveaux conseillers de haut vol ? Sollicité par LCI.fr, Gérard Araud n'a pas, jusque-là, accepté de répondre à nos questions.