Le 6 mai 2025, Meta remporte une bataille judiciaire contre NSO Group de l'autre côté de l'Atlantique. La société israélienne devra verser près de 168 millions de dollars à l'entreprise de Mark Zuckerberg pour avoir espionné des échanges sur la messagerie WhatsApp de quelque 1 400 téléphones portables.
Logiciels espions : les juges californiens condamnent la société israélienne NSO
Meta sort victorieux de son procès contre NSO. La société israélienne derrière Pegasus, le logiciel espion qui a infiltré plus d’un millier de téléphones par l’intermédiaire de l’application WhatsApp, devra verser 168 millions de dollars à l’entreprise de Mark Zuckerberg.
L’action en justice avait été engagée en 2019 devant les autorités californiennes, à la suite de la découverte par les équipes de Meta d’une l’attaque du « célèbre développeur de logiciels espions NSO » contre WhatsApp et ses utilisateurs, comme l’indique le groupe propriétaire de WhatsApp, Facebook et Instagram sur son site. Selon lui, cet assaut ciblait plus d'un millier d'utilisateurs de WhatsApp, dont des militants des droits humains, des journalistes, des diplomates et d'autres acteurs de la société civile.
Tout type de données utilisateur sur le téléphone
Pegasus aurait admis au cours du procès avoir eu recours à de nombreuses autres méthodes d'installation de logiciels espions pour exploiter les technologies d'autres firmes et manipuler les appareils des utilisateurs pour les amener à compromettre la sécurité des données stockées dans leurs téléphones. NSO aurait également reconnu injecter chaque année des dizaines de millions de dollars dans le développement de méthodes d'installation de logiciels malveillants, notamment via la messagerie instantanée, les navigateurs et les systèmes d'exploitation. Ses logiciels espions seraient, à l’heure actuelle, toujours en mesure de compromettre des appareils iOS ou Android. Des quantités de données sont concernées : « Tout type de données utilisateur sur le téléphone » selon l’aveu de NSO. Des informations financières et de localisation aux e-mails et SMS. Les logiciels espions offrent même d'activer à distance le micro et la caméra des téléphones, sans y avoir été autorisés par les utilisateurs piégés.
Meta avertit d’ailleurs que les problématiques d’espionnage devraient continuer à prendre de l'ampleur dans le futur. « Ce procès a également révélé que WhatsApp était loin d’être la seule cible de NSO : il s’agit d’une menace à l’échelle de l’industrie et il nous faudra tous nous en défendre.» Ce qui ne l’empêche pas de se réjouir de l'issue de ce procès « historique » , qui marque « la première victoire contre les logiciels espions illégaux qui menacent la sécurité et la vie privée de tous. » Autre point de satisfaction pour Meta : le montant des dommages et intérêts, un « moyen de dissuasion essentiel pour cette industrie malveillante contre ses actes illégaux visant les entreprises américaines et nos utilisateurs dans le monde entier. » John Scott-Railton, chercheur pour Citizen Lab, qui a aidé Meta à enquêter sur les piratages de comptes WhatsApp, déclarait sur X que « NSO gagne des millions en piratant principalement des entreprises technologiques américaines… afin que les dictateurs puissent pirater des dissidents. »
En face, le porte-parole de NSO a sous-entendu que l’affaire n’en finira pas là et que NSO fera appel de la décision des juges. La sévérité de la sanction infligée par la juge du district d’Oakland, Phyllis Hamilton – qui représente plus de la moitié du chiffre d’affaires de NSO pour 2021, estimé à 230 millions de dollars – explique sans doute cette volonté de poursuivre la procédure. L'entreprise avance l'argument sécuritaire : « Nous sommes convaincus que notre technologie joue un rôle essentiel pour empêcher crimes et terrorisme et est utilisée de façon responsable par les agences gouvernementales que nous autorisons ».
Balbutiements d'une régulation
La France et le Royaume-Uni ont lancé en 2024 le « processus de Pall Mall », qui a abouti à la signature d’un « code de bonnes pratiques ». Objectif : limiter les « capacités d’intrusion cyber disponibles sur le marché » et jeter les bases d’un cadre juridique pour l’utilisation de ces technologies et ce marché en plein boom – une centaine de pays se seraient déjà offert les services d’un logiciel espion. Ils ne sont pourtant que 21 à avoir rallié officiellement la cause de la lutte contre les logiciels espions et de piratage. Israël n’avait pas adhéré au mouvement.
L’industrie ne compte pas seulement des États parmi ses clients. Les entreprises y voient un moyen de surveiller l’activité des salariés, tout en invoquant le risque de fuite des données sensibles, l'impératif de sécurité des employés en cas d’urgence ou de les protéger contre le burn-out, voire la discrimination. La banque anglaise Barclays aurait faire marche arrière après l’installation d’un logiciel qui comptait les heures des employés passées au bureau, avec à la clef des avertissements pour ceux qui abusaient des temps de pause. L’homologue britannique de la Cnil avait ouvert une enquête à son encontre en 2020 pour analyser les éventuelles violations de la vie privée des salariés de la banque, surveillés par un logiciel développé par la société Sapience Analytics. En 2023, c’est la banque américaine Citi qui avait annoncé la mise en place un système de surveillance de ses salariés en télétravail. L'industrie de la cybersurveillance semble avoir de beaux jours devant elle.
AL Blouin