LORS DES AUDITIONS CETTE semaine, le célèbre groupe NSO, fournisseur de logiciels espions, a déclaré aux législateurs européens qu’au moins cinq pays de l’UE avaient utilisé son puissant logiciel malveillant de surveillance Pegasus. Mais alors que de plus en plus de choses sont révélées sur la réalité de la façon dont les produits de NSO ont été abusés dans le monde, les chercheurs s’efforcent également de faire prendre conscience que l’industrie de la surveillance pour compte d’autrui va bien au-delà d’une seule entreprise. Jeudi, le groupe d’analyse des menaces de Google et l’équipe d’analyse des vulnérabilités de Project Zero ont publié des conclusions sur la version iOS d’un logiciel espion attribué au développeur italien RCS Labs.
Les chercheurs de Google affirment avoir détecté des victimes du logiciel espion en Italie et au Kazakhstan sur les appareils Android et iOS. La semaine dernière, la société de sécurité Lookout a publié des conclusions sur la version Android du logiciel espion, qu’elle appelle « Hermit » et attribue également à RCS Labs. Lookout note que des responsables italiens ont utilisé une version du logiciel espion lors d’une enquête anti-corruption en 2019. En plus des victimes situées en Italie et au Kazakhstan, Lookout a également trouvé des données indiquant qu’une entité non identifiée a utilisé le logiciel espion pour cibler le nord-est de la Syrie.
« Google suit les activités des fournisseurs commerciaux de logiciels espions depuis des années, et pendant cette période, nous avons vu l’industrie passer rapidement de quelques fournisseurs à un écosystème entier », a déclaré à WIRED Clement Lecigne, ingénieur en sécurité chez TAG. « Ces fournisseurs permettent la prolifération d’outils de piratage dangereux, armant les gouvernements qui ne seraient pas en mesure de développer ces capacités en interne. Mais il y a peu ou pas de transparence dans ce secteur, c’est pourquoi il est essentiel de partager des informations sur ces fournisseurs et leurs capacités. »
TAG indique qu’il suit actuellement plus de 30 fabricants de logiciels espions qui offrent un éventail de capacités techniques et de niveaux de sophistication aux clients soutenus par le gouvernement.
Dans leur analyse de la version iOS, les chercheurs de Google ont découvert que les attaquants distribuaient le logiciel espion iOS à l’aide d’une fausse application censée ressembler à l’application My Vodafone du célèbre opérateur mobile international. Dans les attaques Android et iOS, les attaquants peuvent avoir simplement amené les cibles à télécharger ce qui semblait être une application de messagerie en distribuant un lien malveillant sur lequel les victimes pouvaient cliquer. Mais dans certains cas particulièrement dramatiques de ciblage iOS, Google a découvert que les attaquants travaillaient peut-être avec des FAI locaux pour couper la connexion de données mobiles d’un utilisateur spécifique, lui envoyer un lien de téléchargement malveillant par SMS et le convaincre d’installer la fausse application My Vodafone. via Wi-Fi avec la promesse que cela rétablirait leur service cellulaire.
Les attaquants ont pu distribuer l’application malveillante parce que RCS Labs s’était enregistré auprès du programme de développement d’entreprise d’Apple, apparemment par l’intermédiaire d’une société écran appelée 3-1 Mobile SRL, pour obtenir un certificat qui leur permet de télécharger des applications sans passer par le processus d’examen typique de l’AppStore d’Apple.
« Les certificats d’entreprise sont destinés uniquement à un usage interne par une entreprise et ne sont pas destinés à la distribution générale d’applications, car ils peuvent être utilisés pour contourner les protections de l’App Store et d’iOS », a écrit la société dans un rapport d’octobre sur le chargement latéral. « Malgré les contrôles stricts et l’échelle limitée du programme, des acteurs malveillants ont trouvé des moyens non autorisés d’y accéder, par exemple en achetant des certificats d’entreprise sur le marché noir. »
Ian Beer, membre de Project Zero, a mené une analyse technique des exploits utilisés dans le malware RCS Labs iOS. Il note que le logiciel espion utilise un total de six exploits pour accéder à la surveillance de l’appareil d’une victime. Alors que cinq sont des exploits connus et diffusés publiquement pour les anciennes versions d’iOS, le sixième était une vulnérabilité inconnue au moment de sa découverte. (Apple a corrigé cette vulnérabilité en décembre.) Cet exploit a profité des changements structurels dans la façon dont les données circulent à travers les nouvelles générations de « coprocesseurs » d’Apple alors que l’entreprise, et l’industrie dans son ensemble, se dirigent vers le « système-sur-tout-en-un ». conception « puce a ».
L’exploit n’est pas sans précédent dans sa sophistication, mais les chercheurs de Google notent que le logiciel espion RCS Labs reflète une tendance plus large dans laquelle l’industrie de la surveillance pour compte combine des techniques de piratage et des exploits existants avec des éléments plus nouveaux pour prendre le dessus.
« L’industrie de la surveillance commerciale bénéficie et réutilise les recherches de la communauté des jailbreakeurs. Dans ce cas, trois des six exploits proviennent d’exploits de jailbreak publics », déclare Benoit Sevens, membre du TAG. «Nous voyons également d’autres fournisseurs de surveillance réutiliser des techniques et des vecteurs d’infection initialement utilisés et découverts par des groupes de cybercriminels. Et comme d’autres attaquants, les fournisseurs de solutions de surveillance utilisent non seulement des exploits sophistiqués, mais aussi des attaques d’ingénierie sociale pour attirer leurs victimes. »
La recherche montre que même si tous les acteurs ne sont pas aussi performants ou connus qu’une entreprise comme NSO Group, de nombreux acteurs de petite et moyenne taille réunis dans une industrie en plein essor créent un risque réel pour les internautes du monde entier.