Un juge fédéral de Californie a donné raison à WhatsApp sur le fait que NSO Group, la société israélienne de cyberespionnage derrière le logiciel espion Pegasus, s'était introduite dans ses systèmes en envoyant des logiciels malveillants à des milliers de téléphones mobiles de ses utilisateurs via ses serveurs. WhatsApp et sa société mère Meta avaient déjà poursuivi NSO Group en 2019, l'accusant d'avoir distribué des logiciels malveillants sur 1 400 appareils mobiles dans 20 pays à des fins de surveillance. Il avait été révélé à l'époque que certains des appareils ciblés appartenaient à des journalistes, des militants des droits de l'homme, d'éminentes dirigeantes féminines et des dissidents politiques.
Le Washington Post a rapporté que le juge de district Phyllis Hamilton a accepté la demande d'injonction de WhatsApp contre NSO et a décidé que l'entreprise avait enfreint la loi américaine sur la fraude et l'abus informatique (CFAA).
Lors du dépôt de la plainte, le groupe NSO a "fermement" nié les accusations. Elle a nié être impliquée dans les attaques et a expliqué à Engadget que son seul objectif était de "fournir une technologie aux agences de renseignement et d'application de la loi gouvernementales sous licence afin de les aider à lutter contre le terrorisme et la grande criminalité". L'entreprise a fait valoir qu'elle ne pouvait pas être tenue pour responsable, car elle ne vendait ses services qu'à des agences gouvernementales qui définissaient leurs propres objectifs. En 2020, Meta a élargi sa plainte en accusant l'entreprise d'utiliser des serveurs aux États-Unis pour ses attaques de logiciels espions Pegasus.
Le juge Hamilton a estimé que NSO Group avait enfreint la CFAA, car la société semble avoir pleinement reconnu que l'application WhatsApp modifiée que ses clients utilisent pour cibler les utilisateurs envoie des messages via des serveurs WhatsApp légitimes. Ces messages permettent ensuite d'installer le logiciel espion Pegasus sur les appareils des utilisateurs - les personnes ciblées n'ont même pas besoin de faire quoi que ce soit, comme décrocher le téléphone pour répondre à un appel ou cliquer sur un lien pour être infectées. Le tribunal a également décidé que la demande de sanctions du plaignant devait être acceptée, car le NSO Group a "omis à plusieurs reprises de fournir des informations pertinentes", dont la plus importante est le code source de Pegasus.
Le porte-parole de WhatsApp, Carl Woog, a déclaré au Post que l'entreprise pensait qu'il s'agissait de la première décision de justice confirmant qu'un grand fournisseur de logiciels espions avait enfreint les lois américaines sur le piratage.
"Nous sommes reconnaissants pour la décision d'aujourd'hui", a déclaré Woog au journal. "NSO ne peut plus se soustraire à sa responsabilité pour ses attaques illégales contre WhatsApp, les journalistes, les défenseurs des droits de l'homme et la société civile. Ce jugement devrait être un avertissement aux entreprises de logiciels espions que leurs activités illégales ne seront pas tolérées". Dans sa décision, la juge Hamilton a écrit que son jugement clarifiait toutes les questions relatives à la responsabilité de NSO Group et que le procès ne servirait qu'à déterminer le montant des dommages et intérêts que l'entreprise devra payer.
