Un jury a accordé à WhatsApp 167 millions de dollars de dommages-intérêts punitifs dans un cas que la société a apporté contre le groupe NSO basé en Israël pour exploiter une vulnérabilité logicielle qui a détourné les téléphones de milliers d’utilisateurs.
Le verdict, atteint mardi, est une victoire majeure non seulement pour WhatsApp méta-constitué, mais aussi pour les défenseurs des droits de confidentialité et de sécurité qui ont longtemps critiqué les pratiques de NSO et d’autres vendeurs d’exploitation. Le jury a également attribué à WhatsApp 444 millions de dollars de dommages-intérêts compensatoires.
Exploit sans clic
WhatsApp a poursuivi le NSO en 2019 pour une attaque qui a ciblé environ 1 400 téléphones portables appartenant à des avocats, des journalistes, des militants des droits de l’homme, des dissidents politiques, des diplomates et des hauts responsables du gouvernement étranger. Le NSO, qui travaille au nom des gouvernements et des autorités d’application de la loi dans divers pays, a exploité une vulnérabilité critique WhatsApp qui lui a permis d’installer le logiciel espion propriétaire de NSO Pegasus sur les appareils iOS et Android. L’exploit sans clic a fonctionné en passant un appel à l’application d’une cible. Une cible n’a pas eu à répondre à l’appel pour être infecté.
“Le verdict d’aujourd’hui dans le cas de WhatsApp est une étape importante pour la confidentialité et la sécurité en tant que première victoire contre le développement et l’utilisation de logiciels espions illégaux qui menace la sécurité et la vie privée de tous”, a déclaré WhatsApp dans un communiqué. «Aujourd’hui, la décision du jury de forcer NSO, un marchand de logiciels espions notoire, de payer des dommages-intérêts est un moyen de dissuasion critique de cette industrie malveillante contre leurs actes illégaux destinés aux entreprises américaines et à la confidentialité et à la sécurité des personnes que nous servons.»
NSO a créé des comptes WhatsApp en 2018 et les a utilisés un an plus tard pour initier des appels qui ont exploité la vulnérabilité critique sur les téléphones, qui, entre autres, comprenait 100 membres de la “société civile” de 20 pays, selon un groupe de recherche en enquête, Citizen Lab a effectué au nom de WhatsApp. Les appels passaient par les serveurs WhatsApp et injecté du code malveillant dans la mémoire des appareils ciblés. Les téléphones ciblés utiliseraient ensuite des serveurs WhatsApp pour se connecter aux serveurs malveillants entretenus par NSO.
