Ce printemps, une équipe d’ingénieurs de WhatsApp a détecté une série d’appels suspects sur les réseaux du service de messagerie, dont beaucoup émanaient de numéros de téléphone de Suède, des….
Ce printemps, une équipe d’ingénieurs de WhatsApp a détecté une série d’appels suspects sur les réseaux du service de messagerie, dont beaucoup émanaient de numéros de téléphone de Suède, des Pays-Bas, d’Israël, et d’autres pays. Au début, WhatsApp n’était pas certain de ce qui se passait. Puis, les ingénieurs, en collaboration avec ceux de Facebook, qui possède WhatsApp, ont réalisé que les appels vocaux et vidéo infectaient d’une manière ou d’une autre les téléphones ciblés avec des logiciels espions de pointe, utilisant une méthode de pénétration que la société n’avait jamais rencontrée jusqu’à présent. Le plus troublant pour les enquêteurs, c’est qu’il apparaissait que bon nombre des téléphones ciblés avaient été infectés, qu’il ait été répondu ou non aux appels – ce que l’on appelle une vulnérabilité zéro-clic.
Le logiciel malveillant (malware) a donné instruction aux téléphones ciblés de télétransmettre leur contenu à des serveurs appartenant à Amazon Web Services et à d’autres sociétés, où les données volées ont été stockées et ont pu être accessibles à des intrus. Une fois le malware chargé sur certains des téléphones ciblés, les registres des appels étaient effacés. Les victimes qui ont entendu leur téléphone sonner pendant la nuit n’ont trouvé le matin aucune trace de l’appel.
Le 13 mai, WhatsApp a annoncé qu’elle avait découvert la vulnérabilité. Dans un communiqué, la société déclare que le logiciel espion devait être l’œuvre d’une entité commerciale, mais qu’elle n’avait pas identifié l’auteur par son nom. WhatsApp a corrigé la vulnérabilité et, dans le cadre de son enquête, elle a identifié plus de 1400 numéros de téléphone que le malware avait ciblés. Dans la plupart des cas, WhatsApp n’avait aucune idée des propriétaires de ces numéros, en raison des règles de confidentialité et de conservation des données de la société. WhatsApp a donc communiqué la liste des numéros de téléphone à Citizen Lab, un laboratoire de recherche de l’École Munk des Affaires internationales de l’Université de Toronto, où une équipe de cyber-experts a tenté de déterminer si certains des numéros appartenaient à des membres de la société civile.
Mardi, WhatsApp a pris l’extraordinaire mesure d’annoncer qu’elle avait remonté la trace du malware jusqu’à NSO Group, un fabricant de logiciels d’espionnage basé en Israël, et elle a intenté un procès contre cette société – et contre sa société mère, Q Cyber Technologies – devant un tribunal de Californie du Nord, l’accusant d’ « accès et utilisation illicites » des ordinateurs de WhatsApp. Selon le procès, NSO Group développait le malware afin d’accéder à des messages et autres communications après avoir décrypté les systèmes ciblés, permettant aux intrus de contourner le cryptage de WhatsApp.
Le procès détaille également la façon dont NSO Group a pu planifier l’attaque, notant que la société avait créé une série de comptes WhatsApp qui avaient été utilisés pour initier des appels qui injectaient le logiciel espion sur les téléphones des victimes. Un employé de NSO Group apparaissait pour établir un contact directement avec quelqu’un d’impliquer dans la correction de la vulnérabilité WhatsApp après sa révélation, écrivant, « Vous venez de fermer notre plus grande télécommande pour cellulaire… c’est aux actualités partout dans le monde », selon le procès.
NSO Group a affirmé dans un communiqué en réponse au procès, « Dans les termes les plus fermes possibles, nous contestons les allégations d’aujourd’hui et nous les combattrons énergiquement. Le seul but de NSO est de fournir une technologie à des organismes de renseignements gouvernementaux autorisés et à des organismes de maintien de l’ordre pour les aider à combattre le terrorisme et la criminalité. Notre technologie n’est pas destinée ni conçue pour être utilisée contre des militants des droits de l’homme et des journalistes ». En septembre, NSO Group annonçait la nomination de nouveaux conseillers de haut niveau, dont Tom Ridge, le premier secrétaire à la Sécurité intérieure aux USA, dans une tentative d’améliorer son image mondiale.
Dans un communiqué à ses utilisateurs, mardi, WhatsApp déclare, « Il faut une forte surveillance juridique des armes cybernétiques comme celle qui a servi dans cette attaque afin de s’assurer qu’elles ne sont pas utilisées pour violer les droits et libertés individuels que les personnes méritent où qu’elles soient dans le monde. Des groupes de défense des droits de l’homme ont fait état d’une tendance inquiétante vers l’utilisation de tels outils pour attaquer des journalistes et des défenseurs des droits de l’homme ».
L’enquête du Citizen Lab sur l’identité des victimes se poursuit. Jusqu’à présent, le laboratoire universitaire a indiqué que les attaques avaient ciblé au moins une centaine de membres de la société civile dans au moins vingt pays. La liste des cibles comprend d’éminents dirigeants religieux de confessions diverses, des journalistes et des personnalités de télévision bien connus, ainsi que des militants et avocats défendant les droits de l’homme. John Scott-Railton, chercheur principal au Citizen Lab affirme, « c’est l’attaque la plus importante sur la société civile que nous connaissons utilisant cette sorte de vulnérabilité ». Il ajoute que le Citizen Lab ne divulgue pas le nom des victimes pour le moment, en raison des restrictions de confidentialité.
En plus de cibler des membres de la société civile, le logiciel malveillant a été utilisé contre des diplomates et des représentants de gouvernements étrangers, vraisemblablement par des clients de NSO Group, notamment des organismes de maintien de l’ordre et des services de renseignements.