Pendant deux ans, NSO Group a exploité des failles WhatsApp pour déployer son spyware Pegasus

La société israélienne NSO Group, qui développe et commercialise des logiciels espions tels que Pegasus, a admis qu'elle avait exploité plusieurs vulnérabilités de WhatsApp pour cibler des utilisateurs. L'un des vecteurs d'attaque a même été utilisé quelques mois après la plainte de la messagerie instantanée. Ces informations font suite à la publication le 14 novembre de documents judiciaires par un tribunal californien.

Une suite de trois outils de piratage exploités entre 2018 et 2020

Les différents rapports contiennent à la fois des dépositions d'employés de la société, des documents internes à l'entreprise et des messages envoyés entre salariés. NSO Group a ainsi déployé une suite d'outils de piratage contre des utilisateurs de WhatsApp, permettant d'accéder aux données privées de l'appareil et de surveiller leur activité. En 2018, la société a par exemple exploité une faille 0-day (inconnue jusqu'alors) en utilisant un faux client WhatsApp nommé “WhatsApp Installation Server”. Ce dernier se faisait passer pour le client officiel de WhatsApp, autorisant NSO à déployer le logiciel espion Pegasus à partir d'un serveur tiers qu'elle contrôlait.

La première vulnérabilité a été corrigée quelques mois après le début de son exploitation. NSO Group a néanmoins développé en février 2019 un second vecteur d'attaque, intitulé “Eden”, afin de contourner les mises à jour de sécurité mises en œuvre pour la première faille. Trois mois plus tard, l'application de messagerie a découvert que 1400 appareils avaient été ciblés, avant de porter plainte. Elle soupçonnait alors NSO d'aider ses clients gouvernementaux (majoritairement des services de police et agences de renseignement) à épier des militants, journalistes et universitaires.   

Une faille exploitée pendant plus de six mois après la plainte

La suite d'outils de piratage comprenait un troisième vecteur de logiciels malveillants, nommé “Erised”. Ce dernier utilisait le serveur relais de WhatsApp pour déployer Pegasus. La faille de sécurité a été mise à disposition des clients gouvernementaux de NSO jusqu'en mai 2020, alors que le service de messagerie a porté plainte en octobre 2019. Qualifié d'exploit 0-clic, le vecteur d'attaque pouvait pirater un téléphone sans que sa cible n'interagisse.

NSO Group a reconnu dans une déposition que son logiciel Pegasus exploitait ces failles de sécurité sur WhatsApp pour installer son logiciel de surveillance sur “des centaines, voire des dizaines de milliers d'appareils cibles”. Les documents judiciaires indiquent également que la société israélienne a “développé ces exploits en extrayant et décompilant le code de WhatsApp, en procédant à une rétro-ingénierie de WhatsApp et en utilisant son propre serveur d'installation pour envoyer des messages déformés (qu'un client WhatsApp ne pourrait pas envoyer)”.

Le rapport judiciaire met aussi en évidence le rôle de la société de logiciels espions dans l'installation de Pegasus sur les appareils ciblés. Jusqu'à présent, NSO Group affirmait que ses clients étaient responsables de la gestion de Pegasus et avaient accès aux renseignements recueillis par le logiciel. En réalité, le rôle des clients de NSO serait “minime”, n'ayant qu'à saisir le numéro de téléphone de l'appareil cible et cliquer sur “Installer” pour que Pegasus soit déployé.

Apple souhaite abandonner les poursuites contre NSO Group

D'après une enquête publiée en 2021 par un consortium de 17 médias, le logiciel espion Pegasus aurait ciblé au moins 600 personnalités politiques, 180 journalistes, 85 militants des droits de l'Homme et 65 chefs d'entreprise. Des rapports ultérieurs ont également montré l'implication de NSO Group dans le piratage d'appareils appartenant à des journalistes belges, à des militants des droits de l'Homme à Bahreïn, à des parlementaires européens ou encore à des journalistes indiens.

En novembre 2021, Apple a également porté plainte contre NSO Group, en souhaitant que ce dernier soit interdit d'utiliser ses services, ses logiciels et appareils. La firme de Cupertino a cependant fait marche arrière et a demandé l'abandon des poursuites en septembre dernier. “Poursuivre cette procédure à ce stade présenterait désormais un risque trop important pour le programme de renseignement sur les menaces d'Apple”, expliquait alors la société dans un document judiciaire.