Un juge fédéral américain a émis une injonction permanente contre la société de logiciels espions NSO Group, l'interdisant d'utiliser son outil Pegasus pour cibler les utilisateurs de WhatsApp. Cette décision découle d'un procès de 2019 intenté par Meta, propriétaire de WhatsApp, qui accusait NSO d'avoir tenté d'infecter environ 1 400 appareils appartenant à des journalistes, des activistes et d'autres. La décision exige de NSO qu'elle supprime toute donnée obtenue et met en lumière le préjudice pour le chiffrement de bout en bout.
Le 17 octobre 2025, la juge de district américaine Phyllis J. Hamilton, dans le district nord de Californie, a accordé la demande de Meta d'une injonction permanente dans son affaire de longue date contre NSO Group. Le procès, déposé en 2019, alléguait que NSO avait utilisé le logiciel espion Pegasus pour cibler secrètement environ 1 400 téléphones mobiles, dont beaucoup appartenaient à des avocats, des journalistes, des activistes des droits humains, des dissidents politiques, des diplomates et des hauts fonctionnaires étrangers. En tant que partie de l'opération, NSO a créé de faux comptes WhatsApp et a attaqué l'infrastructure de Meta pour contourner le chiffrement de bout en bout de l'application, alimenté par le protocole Signal open source.
La décision ordonne à NSO de cesser définitivement de cibler les utilisateurs de WhatsApp, d'infecter leurs appareils ou d'intercepter leurs messages. Elle exige également la suppression de toute donnée acquise par NSO dans ces efforts. La juge Hamilton a souligné le préjudice commercial pour Meta, écrivant : « Aux yeux du tribunal, toute entreprise qui traite les informations personnelles des utilisateurs et qui investit des ressources dans des moyens de chiffrer ces informations personnelles est lésée par l'accès non autorisé à ces informations personnelles – et il s'agit de plus qu'un simple préjudice réputationnel, c'est un préjudice commercial. Essentiellement, une partie de ce que des entreprises comme WhatsApp 'vendent' est la confidentialité informationnelle, et tout accès non autorisé constitue une interférence avec cette vente. La conduite des défendeurs vise à contrecarrer l'un des objectifs du service offert par les plaignants, ce qui constitue un préjudice direct. »
NSO avait argué que l'injonction la forcerait à faire faillite, Pegasus étant son produit phare. Cependant, Hamilton a statué que le préjudice pour Meta l'emportait sur ces préoccupations. La juge a rejeté les demandes plus larges de Meta d'interdire à NSO de cibler les utilisateurs d'autres plateformes Meta comme Facebook et Instagram, citant un manque de preuves, et a refusé d'inclure les gouvernements étrangers, notant qu'ils n'étaient pas parties au procès.
Dans un communiqué, le responsable de WhatsApp, Will Cathcart, a déclaré : « La décision d'aujourd'hui interdit au fabricant de logiciels espions NSO de cibler à nouveau WhatsApp et nos utilisateurs mondiaux. Nous saluons cette décision qui intervient après six ans de litiges pour tenir NSO responsable de la cible de membres de la société civile. Elle établit un précédent important selon lequel il y a de graves conséquences à attaquer une entreprise américaine. »
Hamilton a réduit les dommages punitifs d'une récompense de jury de 167 millions de dollars à 4 millions de dollars, en appliquant le standard juridique correct. Pegasus, connu pour ses exploits zero-click qui contournent les défenses iOS et Android sans interaction de l'utilisateur, est licencié par NSO uniquement à des gouvernements vérifiés, bien que l'affaire ait révélé des abus contre des dissidents et des journalistes. NSO n'a pas répondu aux demandes de commentaires.