La cour d’appel de San Francisco a confirmé en appel la condamnation de NSO Group pour avoir exploité Pegasus contre 1 400 téléphones entre 2018 et 2019 en exploitant une faille de sécurité de la messagerie WhatsApp, propriété du groupe Meta. Mais la société israélienne voit surtout les dommages et intérêts baisser étrangement, de 168 millions de dollars en première instance à … 4 millions de dollars.
L’affaire opposant Meta, propriétaire de WhatsApp, à la société israélienne NSO Group débute en 2019, lorsque le groupe américain dépose plainte devant un tribunal fédéral de Californie. WhatsApp accuse alors NSO d’avoir exploité une faille de sécurité dans sa messagerie au cours des années 2018 et 2019 pour y implanter son logiciel espion Pegasus. Ce programme aurait permis de pénétrer à distance dans environ 1 400 téléphones appartenant à des journalistes, des militants ou encore des hommes politiques, en interceptant leurs communications sans interaction de leur part. L’attaque reposait sur l’envoi de messages audios truqués via WhatsApp, qui installaient discrètement le logiciel espion même sans réponse de la victime.
NSO Group partiellement rachetés par des US
Au début de la procédure, NSO tente à plusieurs reprises de faire annuler le procès en invoquant l’immunité souveraine, arguant qu’elle agissait pour le compte d’États dans le cadre de missions de lutte antiterroriste. Ces arguments sont rejetés successivement par les juridictions américaines, jusqu’à la Cour suprême des États-Unis, qui confirme la validité de la plainte en janvier 2023 et ouvre ainsi la voie à un procès complet. Pendant cette période, des révélations de Citizen Lab et d’Amnesty International renforcent les accusations, montrant que Pegasus ne s’était pas limité au contre-terrorisme mais avait été utilisé pour espionner des opposants et des journalistes à travers le monde.
Après plus de cinq ans de procédure, la justice américaine rend son verdict le 6 mai 2025 : un jury d’Oakland condamne NSO Group à verser 168 millions de dollars pour avoir volontairement pénétré les serveurs de WhatsApp et facilité une opération d’espionnage illégale contre des milliers d’utilisateurs. Le tribunal souligne que NSO a agi sans autorisation et que sa technologie avait détourné l’architecture logicielle de WhatsApp à des fins nuisibles. Ce jugement est qualifié par Meta de “première victoire contre le développement et l’utilisation de logiciels espions illégaux”, salué par plusieurs ONG comme un précédent majeur dans la régulation du marché des cyberarmes commerciales.
La décision avait également été saluée par des organisations de défense des droits de l’homme, qui estimaient que le jury d’Oakland avait envoyé “un signal clair” aux investisseurs des entreprises de surveillance électronique. “C’est aussi un message adressé à d’autres entreprises, comme Paragon, dont le modèle économique repose, de la même manière, sur le fait de pirater des entreprises américaines comme WhatsApp”, estimait alors John Scott-Railton, de l’ONG canadienne spécialisée dans la cybersurveillance Citizen Lab
En parallèle, l’affaire exerce une pression croissante sur NSO Group, dont la réputation est déjà entachée depuis le projet Pegasus de 2021. L’entreprise subit d’abord des restrictions d’accès aux technologies américaines imposées par le département du commerce américain et fait l’objet de plusieurs enquêtes internationales. En octobre 2025, la firme confirme avoir été partiellement rachetée par un consortium d’investisseurs américains, sous tutelle du ministère israélien de la Défense, dans l’espoir de poursuivre ses activités dans un cadre plus strict.
Une sanction réduite de près de 98 %
De quoi favoriser un jugement plus clément en appel, déposé par NSO Group ? La société a vu vendredi 17 octobre sa sanction réduite en appel à 4 millions de dollars (3,4 millions d’euros environ) au lieu de 168 millions de dollars initiaux.
La cour d’appel de San Francisco a fait valoir des motifs strictement juridiques, estimant que la loi fédérale limitait les dommages et intérêts punitifs. La décision a maintenu la responsabilité de NSO Group et inscrit une injonction permanente interdisant toute tentative future de ciblage des utilisateurs de WhatsApp, sans annuler la condamnation elle-même.
Une sanction de 168 millions de dollars aurait provoqué un trou béant dans les finances de NSO Group, dont le chiffre d’affaires annuel en 2021 était estimé à 230 millions de dollars. Le rachat visait aussi à apaiser les relations tendues avec Washington et à rétablir la conformité réglementaire de la société, bannie de commerce avec les entreprises américaines en 2021.