La “victoire historique” de Meta contre NSO Group est-elle vraiment une victoire ?

Fiabilité
À RETENIR

  • Meta a gagné son procès contre NSO Group concernant le logiciel espion Pegasus.
  • Cette décision crée un précédent juridique, mais n'a pas permis de sécuriser le code source de Pegasus.
  • Les experts estiment qu'il ne s'agit que d'une victoire partielle dans la lutte contre les logiciels espions au niveau mondial.
  • Le marché des logiciels espions reste un défi mondial non réglementé de plus de 148 milliards de dollars.
  • Des solutions, allant du cryptage à la réglementation, sont essentielles.

Après cinq longues années, les tribunaux américains ont statué en faveur de Meta et de Whatsapp dans l’affaire “WhatsApp vs. NSO Group Technologies”.

WhatsApp accusait le fabricant controversé de logiciels espions NSO Group d’avoir exploité une vulnérabilité de WhatsApp pour installer le logiciel espion “Pegasus”, qui a permis la surveillance non autorisée de 1 400 citoyens américains, dont des politiciens, des fonctionnaires, des diplomates, des journalistes et d’autres personnes.

Pegasus a été identifié comme l’une des formes les plus puissantes de malware ayant un impact sur le monde en 2024.

Toutefois, si l’on considère la décision et la croissance du marché mondial des logiciels espions et de la surveillance, dont le groupe NSO fait partie, certains pourraient dire que la décision ne concerne que la partie émergée de l’iceberg.

Cette affaire est-elle vraiment une victoire pour tout le monde ? Techopedia a réuni des experts pour connaître leur point de vue, alors que le mystère se lève sur les conséquences de cette affaire.

Whatsapp contre NSO Group : Qu’est-ce qu’une victoire dans une affaire de logiciel espion ?

Le 20 décembre, Mark Zuckerberg, PDG de Meta, a célébré la décision du tribunal de district américain du district nord de Californie par le biais d’un post dans Threads, en déclarant :

Fiers de nous être battus pour cela et que WhatsApp continue d’être à la pointe de la protection de la vie privée et du chiffrement.

Les médias ont applaudi la nouvelle, la décrivant comme une “énorme victoire pour la vie privée” et une “décision historique qui aura un impact sur la menace des logiciels espions“.

Les sanctions ou les dommages-intérêts pour NSO Group viendront ensuite dans le cadre de la procédure judiciaire. Dans la dernière ligne droite de l’affaire, la stratégie de NSO a consisté à réclamer des sanctions tout en révélant le moins d’informations possible au tribunal américain.

Définir une “victoire” juridique est un défi et dépend de plusieurs facteurs. Si un plaignant a atteint tous les objectifs qu’il s’était fixés, a reçu une décision favorable et a établi un précédent, il serait difficile d’affirmer que l’affaire n’est pas gagnée.

Alexander Linton, président de la Session Technology Foundation, qui gère l’application de messagerie Session, a expliqué à Techopedia pourquoi cette affaire est une victoire :

Cette affaire montre comment les développeurs légitimes peuvent utiliser le système juridique pour se défendre contre les sociétés de logiciels espions et les pirates informatiques malveillants.

Tout ce qui peut empêcher ou dissuader les sociétés de logiciels espions de s’attaquer à des technologies légitimes est important car, jusqu’à présent, elles ont agi dans une relative impunité.

Toutefois, dans l’affaire WhatsApp contre NSO Group, Meta a obtenu deux victoires sur trois : une décision favorable et un précédent juridique. Mais WhatsApp et le tribunal américain n’ont pas obtenu tout ce qu’ils voulaient. Ce qu’ils n’ont pas obtenu est important : le code source de Pegasus.

Le tribunal du district nord de Californie a déclaré que le groupe NSO avait à plusieurs reprises omis de répondre correctement aux demandes d’information du tribunal, et qu’il n’avait pas non plus divulgué les éléments de preuve et les ressources clés demandés par le tribunal.

Le groupe NSO n’a mis le code source de Pegasus à la disposition du tribunal que pour Israël et les “citoyens israéliens sur le sol israélien” (ce qui constitue un inconvénient majeur en termes d’accessibilité).

Le dilemme du code source de Pegasus

Il n’est pas rare que l’on demande aux entreprises qui sont traduites en justice de présenter leur code source à titre de preuve. Les demandes de code source peuvent être motivées par la sécurité nationale, les affaires de droits d’auteur, les lois antitrust ou les enquêtes criminelles.

L’accès au code source de Pegasus permettrait aux chercheurs en cybersécurité et au gouvernement américain de développer des contre-mesures aux logiciels espions.

Les gouvernements du Royaume-Uni, de l’Europe et des États-Unis se sont engagés à lutter contre l’industrie des logiciels espions, qu’ils considèrent comme une menace croissante pour la sécurité nationale.

Irina Tsukerman, avocate spécialisée dans la sécurité nationale et les droits de l’homme, a parlé à Techopedia des défis uniques que pose la divulgation du code source de Pegasus :

Le fait que Whatsapp demande la divulgation du code source indique en soi qu’elle ne dispose d’aucun élément permettant d’identifier spécifiquement Pegasus.

Tsukerman a déclaré que le fait de demander le code source enfreint les lois sur la propriété des logiciels et la propriété intellectuelle :

La publication du code source de Pegagus rendrait ce puissant outil de surveillance inutilisable pour les nombreux gouvernements qui l’ont utilisé à plusieurs reprises pour des raisons de sécurité légitimes.

Pendant ce temps, les entreprises chinoises, russes et autres entreprises adverses dans le domaine de la surveillance ne sont pas invitées à divulguer leur code source et continueront probablement à faire des dégâts sans relâche.

Les géants du logiciel espion se cachent derrière la NSO

Bien qu’il existe peu d’informations sur les infrastructures de surveillance et de logiciels espions en raison du caractère secret de leur travail, les experts concluent qu’elles se concentrent autour d’Israël, de l’Italie et de l’Inde, où des lacunes juridictionnelles s’appliquent et où les investissements sont transférés à partir de différentes parties du monde.

Le marché mondial des technologies de surveillance était évalué à plus de 148 milliards de dollars en 2023. Il devrait atteindre environ 235 milliards de dollars d’ici 2027.

Le rapport “Mythical Beasts and Where to Find Them” du Digital Forensics Research Lab (DFRLab) de l’Atlantic Council affirme que le marché mondial des logiciels espions compte 435 entités réparties dans quarante-deux pays. Bien que Techopedia ne soit pas en mesure de vérifier toutes les informations contenues dans le rapport du DFRLab en raison du volume de données, nous avons demandé à Mme Tsukerman de nous donner son point de vue :

Mon évaluation sera conditionnée par l’hypothèse que les conclusions (de ce rapport DRFLab) sont exactes, qu’elles utilisent une méthodologie appropriée et qu’elles peuvent être vérifiées et reproduites.

Cela dit, tout ce que ce rapport dit essentiellement, c’est que le groupe NSO n’est pas le seul à utiliser les complexités juridictionnelles à son avantage, ce qui soulève des questions sur les raisons pour lesquelles l’organisation fait l’objet d’un examen minutieux.

Linton, de la Session Technology Foundation, nous a expliqué que si NSO a acquis une grande notoriété grâce à ses clients et aux personnes ciblées par ses logiciels espions, il existe de nombreuses autres entreprises proposant des offres similaires :

En raison de la nature secrète de ce secteur, il est difficile de se faire une idée de l’ampleur et de la sophistication du commerce des logiciels espions. Actuellement, la plupart des gens sont contraints d’utiliser des appareils et des logiciels non sécurisés, ce qui permet aux logiciels espions de prospérer.

Linton a expliqué que ces sociétés de logiciels espions “inconnues du public” ne partagent peut-être pas la réputation du groupe NSO, mais qu’elles fournissent des services d’extraction de données et de trousseaux de clés aux organismes chargés de l’application de la loi dans le monde entier.

Bien entendu, ces mêmes vulnérabilités peuvent également être exploitées par les “mauvaises” sociétés de logiciels espions”, a déclaré Linton.

Tsukerman a ajouté qu’alors que les gouvernements occidentaux s’efforcent de rattraper la qualité des logiciels espions commerciaux avec leurs propres produits, la réalité est que tant que les marchés et la demande pour de tels produits existeront, les logiciels espions commerciaux seront fabriqués par quelqu’un, quelque part.

La meilleure chose que les démocraties puissent faire est de ne pas finir par être dépassées par ceux qui se soucient beaucoup moins de l’ordre fondé sur des règles.

D’autre part, Linton, de la Fondation technologique Session, a parlé des technologies disponibles aujourd’hui qui peuvent aider à lutter contre les logiciels espions :

Une approche globale est nécessaire pour réduire cette menace.

a déclaré Linton.

Nous devons faire en sorte qu’une sécurité adéquate et fiable soit facilement accessible au commun des mortels. Plaider pour l’utilisation de services cryptés est un bon début”.

L’essentiel

L’affaire WhatsApp contre NSO Group est l’une de ces affaires qui semblent claires en apparence, mais qui se transforment en cauchemar lorsque l’on creuse un peu.

Cette affaire nous laisse avec plus de questions que de réponses. Certains parlent d’une victoire, d’autres doutent des résultats obtenus.

Alors que les logiciels espions gagnent en sophistication et sont de plus en plus exploités par les États-nations pour cibler les dirigeants, les décideurs et même les utilisateurs lambda, des solutions technologiques et politiques émergent pour contrer ce marché mondial en pleine expansion.

Du renforcement des systèmes de cryptage à l’élaboration de cadres juridiques plus stricts, la lutte contre les logiciels espions s’intensifie. Les initiatives mondiales combinant innovation technologique et action judiciaire marquent le début d’une bataille cruciale pour la protection de la vie privée et de la sécurité numérique.

Termes connexes

Articles Liés

Sofia Kuzman
Editor
Sofia Kuzman
Responsable d'édition

Aujourd'hui rédactrice et éditrice SEO chez Techopedia, mon parcours diversifié reste mon plus grand atout : études de Droit à la Sorbonne, diplôme d'économie internationale, Responsable du Comité Énergies à l'IHEDN (École Militaire), puis basculement complet vers l'écriture, ma passion de toujours. Mes études juridiques et économiques m'ont donné une base solide pour parvenir à organiser mes idées, penser de manière stratégique et savoir chercher et trouver les bonnes informations. Par la suite, l'intégration de l'Institut des Hautes Études de Défense Nationale (IHEDN) m'a permis d'accéder à une prise de responsabilité particulièrement intense. Mon rôle consistait principalement à gérer une…