Connexion
WhatsApp identifie (encore) trois nouvelles attaques émanant d’un logiciel espion de NSO
« Fighting Spyware », as usual
Placée sur liste noire par l’administration Biden depuis 2021, l’ex-entreprise israélienne NSO avait été condamnée l’an passé à ne plus tenter de pirater la messagerie de Meta. Depuis rachetée par un ancien avocat de Donald Trump, elle viendrait pourtant de recommencer.
Dans un communiqué intitulé « Lutte contre les logiciels espions : une mise à jour de WhatsApp », la messagerie de Meta vient d’annoncer avoir de nouveau détecté et déjoué des tentatives d’hameçonnage personnalisé (ou « spear phishing ») liées à NSO, l’ex-entreprise israélienne connue pour son logiciel espion Pegasus et figurant sur la liste noire du gouvernement américain depuis 2021.
L’administration Biden lui avait alors reproché d’avoir « commercialisé un outil numérique mis au service de la répression de dissidents, militants et journalistes » et d’avoir « participé à des activités contraires à la sécurité nationale ou aux intérêts de politique étrangère des États-Unis ».
WhatsApp avait pourtant réussi à faire condamner NSO par la justice états-unienne, en juillet 2025, aux termes d’un procès entamé par Meta il y a six ans, pour avoir infecté environ 1 400 smartphones, dont des journalistes, militants des droits humains et dissidents.
- Pegasus a bien infecté environ 1 400 smartphones via WhatsApp en 2019
- Pegasus : la Justice états-unienne condamne NSO Group pour avoir piraté WhatsApp
En octobre, l’amende de 168 millions de dollars avait été réduite à 4 millions, mais le juge avait ordonné à NSO de cesser de cibler WhatsApp. Une décision qui, selon la société lors de sa défense, risquait de la conduire à la faillite. NSO avait fait appel de la décision, et demandé un sursis.
Le nouveau président de NSO est un ancien avocat de Donald Trump
En novembre, l’entreprise annonçait qu’un groupe d’investisseurs dirigé par un producteur hollywoodien venait d’investir des dizaines de millions de dollars afin de prendre le contrôle de l’entreprise israélienne.
Mais, et surtout, NSO se dotait d’un nouveau président exécutif, David Friedman, un ancien avocat d’affaires ayant notamment défendu les intérêts de Donald Trump dans le cadre des faillites de ses casinos d’Atlantic City.
Il avait ensuite été nommé ambassadeur des États-Unis en Israël de 2017 à 2021, sous la première présidence de Donald Trump. Une nomination qui avait alors été dénoncée par cinq anciens ambassadeurs des États-Unis en Israël, notamment parce que l’impétrant se présentait comme un fervent partisan des implantations israéliennes et de l’annexion de la Cisjordanie.
Des noms de domaine inspirés de Gaza, des Frères musulmans et de France24
« Lorsqu’une entreprise malveillante figurant sur la liste des entités du gouvernement américain continue de défier les tribunaux américains, les restrictions en vigueur doivent rester strictement en vigueur », rappelle Meta dans son communiqué :
« Les assouplir compromettrait la sécurité nationale des États-Unis et mettrait en danger les entreprises américaines ainsi que des milliards de personnes à travers le monde qui dépendent de communications sécurisées. »
Meta indique avoir demandé au tribunal de « condamner NSO pour outrage au tribunal pour avoir enfreint une injonction permanente qui lui interdisait de cibler WhatsApp et ses utilisateurs ».
L’entreprise souligne qu’elle a reçu le mois dernier le soutien de 12 ONG de premier plan spécialisées dans la défense des droits civiques – dont Access Now et le Knight Institute – afin de s’opposer à l’appel interjeté par NSO contre l’injonction permanente.
Meta a par ailleurs rendu public les noms de domaine utilisés par NSO pour tenter d’installer son logiciel espion sur les terminaux de ses cibles : hxxps://ghazacast[.]com (pouvant potentiellement faire penser à un dispositif de broadcast associé à la bande de Ghaza), hxxps://ikhwancast[.]com (inspiré des noms de domaine des sites web des Frères musulmans), et hxxps://fr24cast[.]com (en lien avec France24 ?).
Un représentant de Meta précise au New York Times avoir été alerté de ces tentatives de « spear phishing » suspectes par des victimes potentielles, qu’elles ont échoué et semblaient concerner moins de dix utilisateurs de WhatsApp, principalement en Jordanie et au Liban.
