NSO est un groupe israélien de cyber intelligence fondé en 2009. Situé au nord de Tel-Aviv, dans la Silicon Valley israélienne, l’entreprise est notamment connue pour son malware Pegasus. Ce logiciel unique en son genre permet d’infecter n’importe quel smartphone via un simple appel WhatsApp, et ce, même si la cible ne décroche pas. Une fois le smartphone infecté la personne à l’origine de l’attaque peut accéder à la caméra et au micro du téléphone, les contacts, SMS, appels mais également aux messages WhatsApp et Telegram de la cible, pourtant encryptés. Le groupe NSO a toujours certifié ne vendre son logiciel qu’à des gouvernements et services de renseignements responsables et approuvés par le gouvernement israélien. L’entreprise défend son activité en argumentant que des personnes mal intentionnées, comme des terroristes ou des pédophiles, utilisent des messageries encryptées pour communiquer tout en se protégeant des autorités. Pegasus serait donc nécessaire pour notre sécurité. Pour témoigner de son intégrité l’entreprise a indiqué avoir déjà refusé des contrats de 150 et 200 millions de dollars en raison des mauvaises intentions des clients.

Malgré tout, l’entreprise est aujourd’hui accusée par Facebook, derrière WhatsApp, d’avoir vendu Pegasus à des gouvernements l’utilisant pour traquer des journalistes et défenseurs des droits humains. En cause notamment les Émirats Arabes Unis, le Bahreïn et le Mexique. Selon des chercheurs de l’Université de Toronto le malware a été utilisé dans 45 pays et la moitié de ses revenus est généré au Moyen-Orient. Plus de 1400 téléphones auraient été infectés sur une période allant du 29 avril au 10 mai 2019, dont au moins 100 membres de sociétés civiles. Le groupe aurait créé plusieurs comptes pour effectuer les appels permettant l’installation de Pegasus mais WhatsApp a réussi à le retracer grâce aux serveurs et hébergeurs internet qu’ils ont utilisés. NSO s’est défendu en disant n’être qu’un fournisseur et ne pas être responsable de l’usage qu’en font ses clients. Un argument en contradiction avec sa déclaration de ne confier Pegasus qu’à des gouvernements responsables. Comment savoir qu’ils en feront un usage responsable sans contrôler cet usage ?

Le groupe NSO avait déjà fait parler de lui par le passé. En 2016, Apple avait tenté de bloquer Pegasus avec une mise à jour, sans succès. En 2014, 43 étudiants, journalistes, avocats et défenseurs des droits humains avaient disparus au Mexique, selon les chercheurs de l’Université de Toronto ils auraient été traqués par le gouvernement mexicain à l’aide de Pegasus. En 2015, le gouvernement du Panama avait dépensé huit millions de dollars pour épier 300 smartphones avec le malware de NSO.

La poursuite judiciaire de Facebook est une première, les services de messageries encryptées ont habituellement éviter de mener un tel procès, de peur d’avoir à révéler le fonctionnement de leur système de sécurité. Cette affaire vient nous rappeler l’importance de la cybersécurité, et les risques encourus quand elle est compromise par des gouvernements mal intentionnés. Pourtant, en ce moment même, le gouvernement américain tente de forcer WhatsApp à lui offrir une porte dérobée dans les messages cryptés.