Un juge américain a ordonné à NSO Group de remettre son code source pour Pegasus et d’autres produits à Meta dans le cadre du litige en cours du géant des médias sociaux contre le fournisseur israélien de logiciels espions.
Le décision, ce qui marque une victoire juridique majeure pour Meta, qui a intenté une action en justice en octobre 2019 pour avoir utilisé son infrastructure pour distribuer le logiciel espion sur environ 1 400 appareils mobiles entre avril et mai. Ça aussi inclus deux douzaines de militants et de journalistes indiens.
Ces attaques ont exploité une faille alors zero-day dans l’application de messagerie instantanée (CVE-2019-3568score CVSS : 9,8), un élément critique bug de débordement de tampon dans la fonctionnalité d’appel vocal, pour fournir Pegasus en passant simplement un appel, même dans les scénarios où les appels restaient sans réponse.
De plus, la chaîne d’attaque comprenait des étapes visant à effacer les informations sur les appels entrants des journaux afin de tenter d’éviter la détection.
Des documents judiciaires publiés à la fin du mois dernier montrent que NSO Group a été invité à « produire des informations concernant toutes les fonctionnalités du logiciel espion concerné », spécifiquement pour une période d’un an avant l’attaque présumée à un an après l’attaque présumée (c’est-à-dire à partir d’avril 29 2018 au 10 mai 2020).
Cela dit, la société n’est pas obligée de « fournir des informations spécifiques concernant l’architecture du serveur pour le moment », car WhatsApp « serait en mesure de glaner les mêmes informations à partir de toutes les fonctionnalités du logiciel espion présumé ». Peut-être plus important encore, il a été épargné de partager l’identité de sa clientèle.
« Bien que la décision du tribunal constitue une évolution positive, il est décevant que NSO Group soit autorisé à continuer à garder secrète l’identité de ses clients, responsables de ce ciblage illégal », dit Donncha Ó Cearbhaill, responsable du laboratoire de sécurité d’Amnesty International.
NSO Group a été sanctionné par les États-Unis en 2021 pour avoir développé et fourni des cyber-armes à des gouvernements étrangers qui « ont utilisé ces outils pour cibler de manière malveillante des représentants du gouvernement, des journalistes, des hommes d’affaires, des militants, des universitaires et des employés d’ambassade ».
Ce développement intervient alors que Recorded Future a révélé une nouvelle infrastructure de livraison à plusieurs niveaux associée à Predator, un logiciel espion mobile mercenaire géré par l’Alliance Intellexa.
Le réseau d’infrastructure est très probablement associé aux clients de Predator, notamment dans des pays comme l’Angola, l’Arménie, le Botswana, l’Égypte, l’Indonésie, le Kazakhstan, la Mongolie, Oman, les Philippines, l’Arabie saoudite et Trinité-et-Tobago. Il convient de noter qu’aucun client Predator au Botswana et aux Philippines n’a été identifié jusqu’à présent.
« Bien que les opérateurs de Predator répondent aux reportages publics en modifiant certains aspects de leur infrastructure, ils semblent persister avec des modifications minimes de leurs modes de fonctionnement ; celles-ci incluent des thèmes cohérents d’usurpation d’identité et se concentrent sur des types d’organisations, tels que les médias, tout en adhérant aux règles établies. configurations d’infrastructure », la société dit.