Une poursuite de WhatsApp indique que le fabricant de logiciels espions israélien a explosé son application pour cibler
Facebook et sa division de messagerie WhatsApp ont poursuivi mardi le fabricant de logiciels espions israélien NSO Group. Il s’agit d’une action judiciaire sans précédent qui indique que l’industrie non réglementée vend des services de protection contre les logiciels malveillants aux gouvernements du monde entier. NSO a vigoureusement nié les accusations.
Au terme d'une poursuite de 11 jours fin avril-début mai, l'OSN a ciblé environ 1 400 téléphones portables appartenant à des avocats, des journalistes, des défenseurs des droits de l'homme, des dissidents politiques, des diplomates et de hauts responsables du gouvernement étranger. Pour infecter les cibles avec les logiciels espions avancés et complets de la NSO, la société a exploité une vulnérabilité critique de WhatsApp qui fonctionnait contre les appareils iOS et Android. L'exploit sans clic a été livré lorsque les attaquants ont passé un appel vidéo. Les objectifs ne doivent pas nécessairement avoir répondu à l'appel ou pris d'autres mesures pour être infecté.
Routage des logiciels malveillants via les serveurs WhatsApp
Selon la plainte, la NSO a créé à partir de janvier 2018 des comptes WhatsApp qui ont initié des appels via des serveurs WhatsApp et injecté du code malveillant dans la mémoire des appareils sélectionnés. Les téléphones spécifiques utiliseraient ensuite les serveurs WhatsApp pour se connecter à des serveurs malveillants prétendument maintenus par NSO. Les plainte, présentée devant un tribunal fédéral pour le district nord de la Californie, a déclaré:
Pour compromettre les périphériques cibles, les répondants ont routé et provoqué le routage de codes malveillants via les serveurs des Demandeurs, y compris les serveurs de signalisation et les serveurs de relais, masqués dans une partie du protocole réseau normal. Les serveurs de signalisation WhatsApp ont facilité le lancement d'appels entre différents appareils à l'aide du service WhatsApp. Les serveurs de relais WhatsApp ont facilité certaines transmissions de données via le service WhatsApp. Les défendeurs n'étaient pas autorisés à utiliser les serveurs des Demandeurs de cette manière.
Entre avril et mai 2019 environ, les défendeurs ont utilisé et provoqué l'utilisation, sans autorisation, de serveurs de signalisation WhatsApp, dans le but de compromettre les périphériques cibles. Pour éviter les restrictions techniques intégrées aux serveurs de signalisation WhatsApp, les répondants ont formaté les messages de lancement d'appel contenant du code malveillant pour ressembler à un appel légitime et dissimulaient le code dans les paramètres de l'appel. Déguiser le code malveillant en tant que configuration d'appel a permis aux répondants de le livrer au périphérique cible et de faire en sorte que le code malveillant semble provenir de WhatsApp Signaling Server. Une fois que les appels des répondants ont été acheminés vers le périphérique cible, ils ont injecté le code malveillant dans la mémoire du périphérique cible, même lorsque l'utilisateur cible n'a pas répondu à l'appel.
100 membres de la société civile de 20 pays.
Les critiques de l'industrie des logiciels espions disent depuis longtemps que l'OSN et ses concurrents vendent des produits et des services aux gouvernements oppresseurs qui s'en servent pour attaquer des avocats, des journalistes, des défenseurs des droits humains et d'autres groupes qui ne constituent pas une menace légitime. Citizen Lab, un groupe de recherche de l'Université de Toronto qui suit les campagnes de piratage parrainées par le gouvernement, s'est porté volontaire pour aider Facebook et WhatsApp à enquêter sur les attaques perpétrées contre leurs utilisateurs. Citizen Lab a déclaré que parmi les objectifs de la campagne figuraient 100 membres de la "société civile" de 20 pays.
Citizen Lab a déclaré que les objectifs incluent:
- plusieurs femmes importantes qui ont été la cible de cyber-violence
- éminentes figures religieuses de multiples religions
- journalistes et personnalités de la télévision
- défenseurs des droits humains
- avocats travaillant dans le domaine des droits de l'homme
- responsables d'organisations humanitaires
- les individus qui ont fait face à des tentatives d'assassinat et les menaces de violence, ainsi que leurs familles
"L’industrie des logiciels d’espionnage commercial tente de se créer un espace inexplicable, convaincant les gouvernements auxquels elle vend des produits tout en niant toute responsabilité pour les abus commis avec ses outils", a déclaré John Scott-Railton, un chercheur senior en recherche, m'a-t-il dit. "Le procès WhatsApp, qui est important et crée un précédent, brise cette fausse distinction et indique clairement qu'ils sont disposés à tenir NSO pour responsable du Wild West qui existe dans l'industrie des logiciels espions en général et qui se reflète dans l'ensemble des objectifs".
Dans un courrier électronique, des représentants de l'OSN ont écrit:
Dans les termes les plus forts, nous contestons les accusations d’aujourd’hui et nous les combattons avec vigueur. L'OSN a pour seul objectif de fournir une technologie aux services de renseignement et aux forces de l'ordre autorisés à lutter contre le terrorisme et les crimes graves. Notre technologie n'est ni conçue ni autorisée à être utilisée contre les militants des droits de l'homme et les journalistes. Cela a permis de sauver des milliers de vies ces dernières années.
La vérité est que les pédophiles, les trafiquants de drogue et les terroristes utilisent souvent des plates-formes fortement cryptées pour protéger leurs activités criminelles. En l'absence de technologies sophistiquées, les organismes chargés de l'application de la loi avaient l'intention de nous protéger des obstacles insurmontables. Les technologies des OSN apportent des solutions proportionnelles et juridiques à ce problème.
Nous pensons que toute utilisation de nos produits autre que la prévention de crimes graves et du terrorisme constitue une utilisation abusive, interdite par contrat. Nous prenons des mesures si nous détectons une mauvaise utilisation. Cette technologie est basée sur la protection des droits de l'homme, y compris le droit à la vie, à la sécurité et à l'intégrité physique, et c'est pourquoi nous avons cherché à nous aligner sur les Principes directeurs relatifs aux entreprises et aux droits de l'homme des Nations Unies. assurez-vous que nos produits respectent tous les principes fondamentaux. droits humains.
La poursuite indique que les utilisateurs sélectionnés avaient des numéros WhatsApp avec les codes pays du Royaume de Bahreïn, des Émirats arabes unis et du Mexique. Rapports publics, y compris ceux ici, iciet ici—Les gouvernements des trois pays ont été répertoriés comme clients OSN.
Le 13 mai, Facebook et WhatsApp ont mis fin aux attaques avec une mise à jour logicielle qui corrigeait la vulnérabilité critique. Selon la plainte, un employé de l'INS a répondu à la mesure en déclarant: "Vous venez de fermer notre plus grande télécommande mobile … c'est l'actualité dans le monde entier". Selon un Déclaration WhatsAppLes responsables de la société ont envoyé un message spécial aux quelque 1 400 utilisateurs cibles pour les informer de l'attaque.
En un Article d'opinion publié par le Washington PostWill Cathcart, le chef de WhatsApp, a écrit:
Cela devrait servir de sonnette d'alarme aux entreprises technologiques, aux gouvernements et à tous les utilisateurs d'Internet. Les outils permettant la surveillance de notre vie privée font l'objet d'abus et la prolifération de cette technologie entre les mains d'entreprises et de gouvernements irresponsables nous met tous en danger.
NSO a précédemment nié toute implication dans l'attaque, déclarant que "En aucun cas, l'OSN ne serait impliqué dans l'exploitation … de sa technologie." Mais notre enquête a révélé le contraire. Nous cherchons maintenant à tenir les ONS responsables de leurs actes en vertu des lois américaines et fédérales. UU., Y compris Loi américaine sur la fraude et les abus informatiques. UU..
Cathcart a ajouté: "Bien que son attaque soit hautement sophistiquée, ses tentatives pour couvrir ses traces n'ont pas été entièrement couronnées de succès".
La plainte de mardi alléguait que l'OSN avait violé la loi relative à la fraude et aux abus informatiques, à la loi californienne relative à la fraude et à l'informatique, ainsi qu'à la loi californienne régissant la rupture de contrat. L'action vise une ordonnance permanente du tribunal interdisant à l'OSN d'accéder aux serveurs WhatsApp, de créer ou d'utiliser des comptes WhatsApp ou Facebook, ou de violer davantage les conditions de service de WhatsApp.
En plus des applications et des serveurs Facebook et WhatsApp, NSO aurait utilisé des serveurs appartenant à Amazon Web Services et à des hôtes plus petits Choopa et Quadrant. Les serveurs loués ont connecté des périphériques spécifiques à un réseau de serveurs distants conçus pour distribuer des programmes malveillants et envoyer des commandes aux périphériques une fois infectés. La plainte de mardi indiquait qu'une adresse IP attribuée à l'un des serveurs malveillants était précédemment utilisée par un sous-domaine exploité par la NSO.
Maintenant que Facebook et WhatsApp ont pris la décision sans précédent de poursuivre un fournisseur de logiciels espions pour utiliser leurs serveurs afin de cibler leurs utilisateurs, il sera intéressant de voir si Amazon et les autres serveurs mentionnés dans la plainte en font de même. Jusqu'à présent, ils n'ont pas répondu aux courriels demandant des commentaires.