Le géant du cloud était possiblement au courant des agissements de l’entreprise israélienne, mais il a fallu que l’affaire prenne une ampleur mondiale pour qu’AWS réagisse en fermant l’infrastructure et les comptes de NSO.
Si l’affaire Pegasus semble avoir pris tout le monde de court, les agissements de NSO sont connus depuis de nombreuses années. Le spyware Pegasus a été découvert dès 2016 par Lookout, tandis que le Citizen Lab de Toronto publie depuis 2019 rapport après rapport sur les déprédations de cette entreprise israélienne et l’utilisation de ses programmes par ses clients à des fins de surveillance d’activistes, de journalistes, d’opposants, etc.
En janvier 2019, Edward Snowden dénonçait dans une interview la vente par NSO d’un logiciel espion à l’Arabie Saoudite, logiciel ayant permis de surveiller Jamal Khashoggi. Puis en mai, Whatsapp annonçait avoir corrigé une faille, CVE-2019-3568, activement exploitée par l’entreprise israélienne pour espionner au moins 1400 appareils entre avril et mai 2019. Plus tard dans l’année, Facebook attaquera d’ailleurs NSO en justice. En décembre 2020, 36 employés d’Al Jazeera s’apercevaient que leurs communications sur iMessage étaient espionnées par un des logiciels de NSO.
Utilisateur de CloudFront
Bref, NSO se livre à des activités d’espionnage reposant sur des malwares, ce n’est pas une surprise. Sauf peut-être pour AWS, à en croire le géant du cloud. Quand bien même Vice avait signalé en 2020 à l’entreprise de Jeff Bezos que NSO utilisait son infrastructure pour distribuer des malwares, sans réponse d’AWS. Mais cette fois-ci, l’affaire ne concerne plus seulement des journalistes saoudiens ou mexicains : son ampleur est mondiale.
AWS a donc (enfin) réagi, en fermant l'infrastructure et les comptes liés à l’éditeur israélien. « Lorsque nous avons appris cette activité, nous avons agi rapidement pour fermer l'infrastructure et les comptes concernés » explique un porte-parole d'AWS à Motherboard. Car le rapport d’Amnesty désignait nommément AWS, dont NSO utilisait les services cloud, notamment CloudFront, le CDN du géant, pour distribuer ses malwares.
A noter que le rapport d’Amnesty International indique que NSO n’utilise pas uniquement l’infrastructure d’AWS. Il est également client de Linode, de Digital Ocean et d’OVH. Contacté par nos soins, le spécialiste français du cloud n’a pas réagi à cette information au moment où nous publions ces lignes.