WhatsApp a détecté et bloqué des campagnes de spear-phishing que le groupe israélien NSO aurait menées. Cette action fait suite à l’examen de signalements d’utilisateurs concernant des attaques d’ingénierie sociale.
La société NSO Group est un vendeur commercial de logiciels espions, connu pour son outil sophistiqué Pegasus. Ce dernier a été utilisé contre des personnalités politiques, des militants, des journalistes, des universitaires et d’autres individus d’intérêt particulier.
Cette firme figure sur la liste américaine des entités sanctionnées depuis novembre 2021. Cette décision s’explique par la fourniture à des gouvernements étrangers de logiciels qui ont été employés contre des personnes et des organisations aux États-Unis. Les outils de NSO ont aussi été exploités par des régimes considérés comme répressifs pour cibler des dissidents hors de leurs frontières.
Malgré ces sanctions, le groupe NSO a poursuivi ses tentatives de ciblage d’utilisateurs de WhatsApp, en utilisant à plusieurs reprises des vulnérabilités zero-day.
La société mère de WhatsApp, Meta, a combattu NSO Group devant les tribunaux américains. Elle a obtenu en 2025 une injonction permanente contre le vendeur de logiciels espions, une déclaration de responsabilité pour 1400 infections, et une amende de 167 millions de dollars qui lui est associée.
D’après le dernier communiqué de Meta, ces décisions de justice antérieures n’ont pas découragé les activités du groupe NSO, qui continue de viser certains utilisateurs de WhatsApp.
Les attaquants auraient tenté d’amener leurs cibles à cliquer sur des liens malveillants. Ces liens redirigeaient vers des sites web externes, ce qui ressemble à des campagnes de hameçonnage en un clic déjà documentées et associées à NSO.
« Nous avons réussi à perturber des tentatives d’ingénierie sociale liées à NSO, après avoir examiné les signalements des utilisateurs », déclare Meta.
« Ils ont essayé de tromper les gens pour qu’ils cliquent sur des liens malveillants afin de les conduire vers des sites web externes à WhatsApp, ce qui est similaire aux campagnes de hameçonnage en un clic précédemment signalées et liées à NSO. Nous les avons aussi surpris en train de créer des comptes et des groupes de test sur WhatsApp, que nous avons supprimés. »
Le géant technologique a listé les domaines suivants comme indicateurs de compromission pour les attaques détectées :
- ikhwancast[.]com
- ghazacast[.]com
- fr24cast[.]com
Meta soutient que cette activité viole l’ordonnance judiciaire de 2025, qui a émis une injonction permanente contre le groupe NSO. Cette injonction interdit au vendeur de logiciels espions de cibler WhatsApp ou ses utilisateurs.
L’annonce de Meta souligne la menace que le groupe NSO représente pour la sécurité nationale. Elle cite la déclaration du PDG de la firme de logiciels espions devant le tribunal, qui évoquait la recherche de vecteurs d’accès au-delà de WhatsApp. Elle rappelle aussi que l’entreprise est sanctionnée aux États-Unis.
WhatsApp a indiqué que le chiffrement de bout en bout protège efficacement les messages et les appels des utilisateurs contre Pegasus et d’autres logiciels espions. L’application a toutefois appelé les utilisateurs à mettre à jour leurs applications et systèmes d’exploitation pour une protection optimale.
Pour bloquer les attaques de logiciels espions commerciaux ou renforcer les défenses sur mobile, les utilisateurs d’Android peuvent aussi activer la ‘Protection avancée’. Les utilisateurs d’iOS peuvent quant à eux activer le ‘Mode verrouillage’. Ces deux fonctionnalités sont conçues spécifiquement pour réduire la surface d’attaque et l’exposition des données aux logiciels espions.