La maison mère de Facebook, Meta, et Citizen Lab ont découvert que le spyware Predator a été utilisé par une vingtaine de gouvernements pour espionner des utilisateurs du monde entier.
Si la société israélienne NSO Group a monopolisé l'attention des autorités et du public avec le logiciel espion Pegasus, elle n'est en réalité pas la seule à proposer des services capables de mener des opérations d'espionnage étatiques. Une start-up à l'origine installée en Macédoine, Cytrox, propose son logiciel espion Predator aux plus offrants, notamment à un certain nombre d'États qui en font la même utilisation que le désormais très réputé Pegasus. Mais Cytrox n'est pas la seule entreprise à avoir été épinglée par un vaste rapport publié par Meta et le laboratoire interdisciplinaire rattaché à l'université de Toronto, Citizen Lab, qui ont découvert le pot aux roses. Quels sont les clients de Predator ? Quels sont ses liens avec Pegasus ? Comment infecte-t-il le smartphone de ses victimes ? Voici nos premiers éléments de réponse.
Des dizaines de gouvernements clients de groupes émetteurs de logiciels espions
Les informations sont très nombreuses. Alors, essayons d'aller à l'essentiel et de survoler le mieux possible ce qui nous semble être un nouveau scandale cyber-diplomatique. Une collaboration menée entre des chercheurs de Meta et Citizen Lab a permis d'identifier un total de sept groupes de surveillance, qui mettent à disposition de clients gouvernementaux divers logiciels espions utilisés à l'aide de smartphones. Meta, maison mère de Facebook, a d'ores et déjà indiqué avoir supprimé l'accès à l'ensemble de ses plateformes et réseaux sociaux à ces sept groupes afin qu'ils ne puissent cibler, via ses outils, aucun de ses nombreux utilisateurs.
Meta a d'ailleurs très récemment supprimé quelque 1 500 comptes Facebook qui étaient manifestement utilisés pour opérer une veille de victimes potentielles. Ils se livraient également à de l'ingénierie sociale, alors destinée à envoyer des liens malveillants pouvant aboutir au téléchargement d'un logiciel espion. 50 000 utilisateurs du groupe Meta auraient été visés et ciblés par ces fameux sept groupes, localisés en Chine, en Israël et en Inde, avec comme clients une vingtaine de gouvernements.
NSO Group et son spyware Pegasus ne seraient donc que la partie visible d'un immense iceberg fait de cyberespionnage. Mais selon les diverses révélations faites par Meta et Citizen Lab, c'est la start-up macédonienne Cytrox qui cristallise le plus l'attention. Découvrons comment et pourquoi.
Certains États, privés de Pegasus, auraient bifurqué vers Predator
En s'appuyant sur les adresses IP des serveurs, Citizen Lab a pu localiser de potentiels clients de Predator en Arménie, en Égypte, en Grèce, en Indonésie, à Madagascar, à Oman, en Arabie saoudite et en Serbie. Meta, de son côté, en a localisé d'autres en Allemagne, au Viêt Nam et aux Philippines. Le spyware aurait fait des dizaines de milliers de victimes, parmi lesquelles des politiciens et des journalistes, dont certains ont déjà été précédemment infectés par Pegasus.
Les équipes de Citizen Lab notent d'ailleurs qu'une adresse IP provenant d'Arabie saoudite a été identifiée fin juillet 2021 via les empreintes digitales Cytrox Predator. Cette découverte s'est faite tout juste un mois après que NSO Group avait indiqué avoir mis fin à sa relation avec l'un de ses clients (l'Arabie saoudite selon le New York Times). Cela signifie donc que le pays aurait assez rapidement opté pour Predator, après s'être vu refuser l'accès à Pegasus.
Pour parvenir à ses fins, Cytrox détient toute une galaxie de domaines qui imitent des sites web connus dans les pays où des personnes sont ciblées. On est ici clairement dans de l'usurpation d'identité par une entreprise qui œuvre en toute impunité. Loin de ces pays, Meta et Citizen Lab ont également identifié des domaines se faisant passer pour des marques et entreprises connues dans le monde entier, comme lnkedin[.]org pour LinkedIn, instegram[.]co pour Instagram, twtter[.]net pour Twitter ou encore youtu-be[.]net ou youtubewatch[.]co pour YouTube. La liste donnée dans notre article n'est pas exhaustive, nous vous conseillons d'aller lire la source citée en bas. Quoi qu'il en soit, Meta est parvenu à faire bloquer des centaines de domaines gérés par Cytrox.
Un accès complet au smartphone, cette fois « en un seul clic »
De son côté, Citizen Lab a présenté des exemples de contamination par Predator. Fervent opposant politique égyptien exilé en Turquie, Ayman Nour a d'abord été infecté par Pegasus. Les recherches de Citizen Lab ont permis de découvrir que son smartphone avait aussi simultanément été touché par Predator, alors même que les deux logiciels ne sont pas liés. Notons que Citizen Lab évoque l'espionnage dont un célèbre présentateur de télévision a également été victime (lui aussi égyptien, mais il a souhaité conserver son anonymat), avec un stratagème identique.
Ayman Nour a commencé à avoir des doutes en découvrant que son téléphone surchauffait. L'iPhone, sous iOS 14.6 (dernière version propulsée au moment de la découverte), a été infecté à l'aide de liens envoyés via WhatsApp, des liens dits « en un seul clic ». Par définition, ces liens ne nécessitent qu'un seul clic pour lancer la machine espionne infernale. Rappelons d'ailleurs que Pegasus, de son côté, ne nécessitait pas d'interaction avec le mobile pour faire son œuvre. Soulignons donc, au passage, que cette version d'iOS était frappée d'une faille zero-day, dont on ignore si elle a finalement pu être corrigée.
Les fonctionnalités de Predator sont comparables à celles de Pegasus. Une fois l'ouverture du lien envoyé par WhatsApp, le logiciel espion a un accès total au smartphone, de sa caméra à son micro en passant par l'exfiltration de données multiples. Et, après l'analyse d'un échantillon du chargeur de Predator, il apparaît certain que celui-ci reste actif même après le redémarrage de l'appareil, grâce à un processus iOS qui gère les raccourcis et les automatisations. Les automatisations sont d'ailleurs déclenchées à l'ouverture de nombreuses applications couramment utilisées comme Twitter, Skype, Facebook Messenger, Instagram, Viber, TikTok, WhatsApp, Signal, Telegram, Wire ou OpenVPN.
Citizen Lab n'a pas trouvé de persistance sur Android. En revanche, les chercheurs ont découvert une extension de code pour désactiver le mécanisme de sécurité SELinux ainsi que du code pour un composant d'enregistrement audio.
Des informations supplémentaires arriveront progressivement dans les prochaines semaines. Citizen Lab n'évoque que sa « première » enquête autour du logiciel espion mercenaire de Cytrox.
Source : Citizen Lab