De nouveaux documents internes d’Intellexa révèlent qu’Aladdin, le dernier module de Predator, peut infecter un téléphone sans interaction requise, à partir d’une simple bannière publicitaire ciblée. Une mutation qui fait basculer l’écosystème publicitaire mobile dans le champ des vecteurs d’attaque étatiques.
Predator est déjà connu pour avoir servi dans plusieurs opérations de surveillance d’État, mais les nouvelles fuites issues d’Intellexa, conjointement publiées par Amnesty International, Inside Story, Haaretz et le WAV Research Collective, lèvent cette fois le voile sur le fonctionnement interne du spyware et sur les outils qui l’accompagnent. Ces documents confirment les capacités d’infection initialement attribuées à Predator et révèlent surtout une évolution plus préoccupante du dispositif, qui reposait jusqu’ici sur des attaques nécessitant une interaction de la personne ciblée. On y découvre qu’Intellexa a développé une nouvelle génération de vecteurs capables de contourner cette contrainte, dont un module, Aladdin, conçu pour exploiter l’écosystème publicitaire mobile et déclencher l’infection sans clic ni signal d’alerte.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un spyware d’État qui s’invite dans les régies publicitaires
Pour comprendre ce que change Aladdin, il faut revenir aux attaques préexistantes. Historiquement, Predator s’appuie sur un schéma assez classique. La victime reçoit un lien sur Signal, WhatsApp, par SMS ou par mail. Le lien renvoie vers un serveur contrôlé par l’opérateur du spyware, qui exploite une vulnérabilité du navigateur Chrome sur Android ou Safari sur iOS. Une fois la faille déclenchée, le code malveillant télécharge et installe le module principal de Predator, donnant accès aux messages, aux photos, aux enregistrements, à la localisation ou encore au micro.
Mais ce modèle se heurte à deux limites. D’abord, il exige que la personne ciblée ouvre le lien. Ensuite, il laisse une trace exploitable, à savoir un message que les laboratoires de sécurité peuvent analyser pour remonter l’infrastructure du spyware. Parfaitement consciente du problème, Intellexa a d’abord tenté d’y répondre en développant deux autres méthodes d’infection, l’une passant par les communications radio du téléphone et donc dépendante d’une présence sur le terrain, l’autre reposant sur l’injection de trafic malveillant en coopération directe avec les opérateurs et les FAI, approche de plus en plus difficile à maintenir face à la généralisation du HTTPS et au chiffrement des DNS.
C’est donc pour s’affranchir de ces obstacles qu’Intellexa a mis au point Aladdin, module qui s’appuie cette fois sur l’écosystème publicitaire mobile pour déclencher l’infection à distance. Le principe consiste à forcer l’affichage d’une bannière malveillante sur le téléphone de la personne ciblée uniquement, en configurant une campagne publicitaire parfaitement légitime en apparence, mais limitée à un seul critère de diffusion : son adresse IP publique.
Une fois cette IP récupérée, parfois grâce aux télécoms dans les pays où Predator est déployé par des acteurs étatiques, l’opérateur du spyware monte sa campagne sur mesure via une plateforme d’achat groupé d’espaces publicitaires, de manière à pouvoir afficher cette bannière sur un grand nombre de sites et d’applications mobiles à la fois, et uniquement sur le téléphone correspondant à l’IP ciblée. Son chargement automatique à l’ouverture d’une page web ou d’une appli initie ensuite en arrière-plan une chaîne de redirections vers les serveurs chargés d’activer une vulnérabilité préexistante et d’installer Predator. Dans l’équation, le navigateur traite la publicité comme une ressource ordinaire, servie par une régie légitime, et ne dispose d’aucun élément pour détecter la manœuvre. Et comme aucun clic n’est requis, l’infection se déclenche sans alerter la victime.
Sans identifier d’acteurs précis, Amnesty souligne au passage qu’Intellexa n’est a priori pas seule à explorer ce terrain. L’exploitation des données publicitaires comme source de renseignement et comme vecteur d’infection ferait déjà l’objet de travaux chez d’autres mercenaires du spyware, et certains États mèneraient leurs propres recherches en matière d’ADINT (Advertising Intelligence, c’est-à-dire l’usage détourné des données publicitaires à des fins de surveillance).
Comment limiter l’impact d’un spyware qui passe par la pub
Face à un acteur capable de combiner failles zero-day, coopération avec des opérateurs mobiles et exploitation de l’écosystème publicitaire, il serait trompeur de prétendre qu’il existe une recette miracle. Predator vise un segment très particulier de la population, celui des personnes considérées comme stratégiques pour des États ou des services de renseignement. Pour ces profils, la notion de sécurité numérique relève d’une logique de défense très avancée, souvent accompagnée par des organisations spécialisées.
Pour autant, les fuites sur Aladdin donnent quelques pistes concrètes sur les leviers disponibles. L’un des plus évidents concerne le blocage des publicités dans le navigateur ou le filtrage DNS des régies connues. Ces types de protection ne sont pas parfaits, puisque les campagnes de ce niveau peuvent s’appuyer sur des chaînes d’infrastructures plus sophistiquées, mais ils réduisent la surface d’attaque en limitant les espaces où pourrait être servie une bannière piégée.
La seconde piste concerne la façon dont les appareils exposent l’adresse IP et les identifiants publicitaires. Aladdin tel qu’il est décrit se focalise sur l’IP publique comme identifiant principal. Masquer cette IP derrière un intermédiaire comme un VPN sérieux ou un relais intégré au système d’exploitation peut suffire à compliquer la corrélation entre un appareil donné et les données adtech utilisées par les régies.
Les réglages de confidentialité des systèmes mobiles méritent aussi une attention particulière. Sur Android comme sur iOS, il est possible de limiter le suivi publicitaire, de désactiver ou de réinitialiser régulièrement l’identifiant publicitaire, de restreindre le suivi entre applications ou les permissions de suivi entre sites. Ces réglages peuvent être complétés par les modes de protection renforcée proposés sur mobile, comme le mode Isolement sur iOS ou les programmes de protection avancée sur Android. Ces options désactivent certaines fonctionnalités sensibles, limitent l’exécution de contenu dynamique et imposent des contrôles renforcés pour les pièces jointes, les liens ou certains services en ligne. Ils dégradent le confort, mais réduisent nettement la surface d’attaque dans son ensemble, y compris pour des vecteurs qui transitent par le navigateur.
Pour les profils les plus exposés, la stratégie passe souvent par une combinaison de mesures plus radicales. Limitation du nombre d’appareils utilisés, séparation stricte entre un téléphone professionnel très verrouillé et un appareil personnel, réduction du nombre d’applications installées, mise à jour immédiate des systèmes et des navigateurs, accompagnement régulier par des équipes capables d’analyser des suspicions d’infection.
Pour le reste des utilisatrices et utilisateurs, l’épisode Aladdin a surtout valeur de signal. Il montre que l’écosystème publicitaire, déjà critiqué pour sa voracité en données, est désormais suffisamment structuré pour servir de support à des opérations de cybersurveillance étatique. Ambiance.
Sources : Amnesty International, Haaretz, Inside Story, WAV Research Collective
