Will Cathcart est à la tête de WhatsApp, qui appartient à Facebook.
En mai, WhatsApp a annoncé que nous avions détecté et bloqué un nouveau type de cyberattaque impliquant une vulnérabilité dans notre fonction d’appel vidéo. Un utilisateur recevait ce qui semblait être un appel vidéo, mais ce n’était pas un appel normal. Après la sonnerie du téléphone, l’attaquant a secrètement transmis un code malveillant dans le but d’infecter le téléphone de la victime avec un logiciel espion. La personne n’a même pas eu à répondre à l’appel.
Maintenant, après des mois d’enquête, on peut dire qui est derrière cette attaque. Aujourd’hui, nous avons déposé une plainte devant la cour fédérale qui explique ce qui s’est passé et attribue cette intrusion à une société internationale de technologie appelée NSO Group.
Comment pouvons-nous le dire avec confiance ? Au fur et à mesure que nous avons recueilli les informations que nous avons présentées dans notre plainte, nous avons appris que les attaquants utilisaient des serveurs et des services d’hébergement Internet qui étaient auparavant associés aux OSN. De plus, comme nous le notons dans notre plainte, nous avons lié certains comptes WhatsApp utilisés pendant les attaques à NSO. Bien que leur attaque ait été très sophistiquée, leurs tentatives pour couvrir leurs traces n’ont pas été entièrement couronnées de succès.
Il y avait une autre tendance troublante à l’attaque, comme l’explique notre procès. Il visait au moins 100 défenseurs des droits de l’homme, journalistes et autres membres de la société civile à travers le monde. Cela devrait servir de signal d’alarme pour les entreprises technologiques, les gouvernements et tous les utilisateurs d’Internet. Les outils qui permettent de surveiller nos vies privées sont utilisés à mauvais escient, et la prolifération de cette technologie entre les mains d’entreprises et de gouvernements irresponsables nous met tous en danger.
NSO a précédemment nié toute implication dans l’attaque, déclarant qu'”en aucun cas NSO ne serait impliqué dans le fonctionnement… de sa technologie”. Mais notre enquête a révélé le contraire. Aujourd’hui, nous cherchons à tenir les ONS responsables de leurs actes en vertu des lois fédérales et des lois des États américains, y compris la Computer Fraud and Abuse Act des États-Unis.
Chez WhatsApp, nous croyons que les gens ont un droit fondamental à la vie privée et que personne d’autre ne devrait avoir accès à vos conversations privées, pas même nous. Les téléphones portables nous sont d’une grande utilité, mais retournés contre nous, ils peuvent révéler nos lieux et nos messages privés, et enregistrer les conversations sensibles que nous avons avec les autres.
Depuis des années, nous nous efforçons de garder une longueur d’avance sur ceux qui cherchent à violer la vie privée et la sécurité des utilisateurs. Tout comme nous avons des serrures physiques sur nos portes à la maison, WhatsApp construit des serrures numériques pour protéger nos conversations privées. Le système de sécurité primaire que nous utilisons est appelé cryptage de bout en bout, qui fonctionne automatiquement de telle sorte que seuls vous et les personnes avec qui vous communiquez avez les “clés” de vos messages et appels.
En même temps, les sociétés de surveillance recherchent des solutions de contournement – en implantant des logiciels espions directement sur les appareils. L’attaque que nous avons vue nous fournit plusieurs leçons urgentes.
Premièrement, il renforce les raisons pour lesquelles les entreprises technologiques ne devraient jamais être tenues d’affaiblir intentionnellement leurs systèmes de sécurité. Les ” portes dérobées ” ou autres ouvertures de sécurité présentent tout simplement un danger trop élevé.
Les démocraties dépendent d’un journalisme et d’une société civile forts et indépendants, et l’affaiblissement intentionnel de la sécurité met ces institutions en danger. Et nous voulons tous protéger nos renseignements personnels et nos conversations privées. C’est pourquoi nous continuerons de nous opposer aux appels lancés par les gouvernements pour affaiblir le cryptage de bout en bout.
Deuxièmement, les entreprises technologiques doivent approfondir notre coopération pour protéger et promouvoir les droits de la personne. Les développeurs d’applications, les fabricants d’appareils et ceux qui assurent la sécurité des fournisseurs de systèmes d’exploitation doivent partager l’information pour construire des systèmes plus sûrs. Tout comme les utilisateurs s’attendent à ce que nos produits fonctionnent de manière transparente, ils s’attendent également à ce que nous nous protégions contre les menaces communes et que nous tenions les attaquants responsables de leurs actes.
Il s’agit notamment d’expliquer publiquement les attaques importantes pour accroître la résilience et de travailler avec les chercheurs en sécurité qui peuvent jouer un rôle crucial à cet égard. Nous sommes reconnaissants aux experts du Citizen Lab de l’Université de Toronto pour leur travail à cet égard. Ils se sont portés volontaires pour nous aider à comprendre qui a été touché par l’attaque et se sont engagés auprès des journalistes et des défenseurs des droits humains pour les aider à mieux se protéger face à ces menaces.
Troisièmement, les entreprises ne devraient tout simplement pas lancer de cyberattaques contre d’autres entreprises. Les acteurs responsables signalent les vulnérabilités lorsqu’elles sont découvertes ; ils n’utilisent pas leur technologie pour les exploiter. De même, les entreprises ne devraient pas vendre des services à d’autres personnes impliquées dans de telles attaques.
Enfin, il reste encore beaucoup à faire pour définir ce qui constitue un contrôle adéquat des cyberarmes. NSO a déclaré en septembre que ” la protection des droits de l’homme fait partie intégrante de tous les aspects de notre travail “. Pourtant, elle soutient qu’elle n’a aucune idée des cibles de ses logiciels espions. Les deux ne peuvent pas être vrais. Au minimum, les dirigeants des entreprises de technologie devraient se joindre à l’appel du rapporteur spécial de l’ONU, David Kaye, en faveur d’un moratoire immédiat sur la vente, le transfert et l’utilisation des logiciels espions dangereux.
Le téléphone mobile est l’ordinateur principal de milliards de personnes dans le monde. C’est ainsi que nous avons nos conversations les plus privées et que nous conservons nos informations les plus sensibles. Les gouvernements et les entreprises doivent faire davantage pour protéger les groupes et les individus vulnérables de ces attaques. WhatsApp continuera à faire tout ce qui est en son pouvoir dans le cadre de son code et des tribunaux pour aider à protéger la vie privée et la sécurité de ses utilisateurs partout dans le monde.