Incidents associés
Des chercheurs commencent à démasquer des opérations de surveillance mondiales ciblant des journalistes, des travailleurs humanitaires et d'autres civils via des applications de messagerie.
Le 31 janvier, WhatsApp a contacté plus de 90 personnes soupçonnées d'avoir été la cible d'un logiciel espion développé par l'entreprise israélienne « Paragon Solutions ». En collaborant avec trois de ces victimes et grâce à un renseignement fourni par un collaborateur, l'organisation de recherche en cybersécurité Citizen Lab a depuis découvert plus de détails sur le fonctionnement de ces opérations de logiciels espions et a localisé au moins certains de ses clients, répartis sur au moins quatre continents.
« Les véritables gouvernements utilisent en réalité des logiciels espions Android et iOS contre leurs citoyens et les citoyens étrangers », prévient Aidan Holland, chercheur principal en sécurité chez Censys, qui a participé à l'enquête. « C'est une époque insensée. »
Qu'est-ce que le Paragon Mobile Spyware Group ? -----------------------------------------
Paragon Solutions a été cofondée en 2019 par un ancien commandant de l'unité 8200 des Forces de défense israéliennes (FDI) et l'ancien Premier ministre israélien Ehud Barak. En 2021, elle a créé une branche américaine composée en partie d'anciens fonctionnaires, dont des vétérans de la CIA et de l'US Navy.
Le malware Android de Paragon, « Graphite », fonctionnait légèrement différemment des logiciels espions classiques. Au lieu de se charger comme une application ou un processus caché sur un appareil, il s'installait sur des applications de messagerie légitimes déjà téléchargées par les utilisateurs. Cette tactique laissait moins de preuves scientifiques sur l'appareil lui-même, mais impliquait les développeurs d'applications.
Dans des cas récents, les attaquants utilisaient d'abord un moyen unique, encore inconnu, pour ajouter leurs cibles à un groupe WhatsApp spécifique. Une fois ajoutées, elles leur envoyaient un fichier PDF. L'appareil de la cible analysait automatiquement le PDF, permettant ainsi à la charge utile d'exploiter une faille zero-day dans WhatsApp. Sans aucune interaction de l'utilisateur, Graphite se chargeait dans l'application, puis s'échappait de son sandbox, lui permettant ainsi de se propager à d'autres applications. Citizen Lab a analysé un téléphone sur lequel Graphite s'était propagé à deux autres applications, dont une application de messagerie populaire.
WhatsApp a découvert et corrigé cette faille zero-click à la fin de l'année dernière. Meta, la société mère de WhatsApp, a déclaré à Bleeping Computer que le correctif avait été appliqué entièrement côté serveur, sans que les utilisateurs aient à le mettre à jour, et qu'elle ne lui avait donc pas attribué d'identifiant CVE.
Bien que son malware soit tout aussi pernicieux, Paragon se présente comme une alternative plus éthique au tristement célèbre groupe NSO. Il refuse de collaborer avec des autocrates maniaques, ce qui laisse penser que sa mission est judicieuse. Meta et Citizen Lab ont cependant découvert que le malware de Paragon était régulièrement déployé contre des civils inoffensifs.
Parmi les 90 cibles identifiées, trois Italiennes ont été rendues publiques : le rédacteur en chef d’un média d’investigation et les cofondateurs d’une organisation de sauvetage de migrants traversant la Méditerranée.
Cartographie de l’infrastructure des logiciels espions
L’Italie a une longue histoire avec les logiciels espions. Pour découvrir où trouver les autres empreintes digitales de Paragon, Citizen Lab a collaboré avec Censys, une entreprise qui conserve environ 4 pétaoctets (1 000 téraoctets) de données sur les ressources Internet du monde entier.
À partir d’une simple information fournie par un collaborateur, les chercheurs ont extrapolé pour découvrir toute une gamme d’infrastructures liées aux développeurs et aux clients de Paragon.
La tâche est plus facile, explique Holland, lorsque des clients naïfs exposent involontairement leur infrastructure de surveillance. Par exemple, « Si NSO Group vendait ses services au gouvernement mexicain, ce dernier déploierait alors le logiciel », explique-t-il. « Il incombe ensuite aux personnes qui déploient le logiciel de le déployer correctement et de masquer les indicateurs pointant vers NSO Group. Ils font donc confiance à un employé du gouvernement choisi au hasard pour dissimuler correctement un logiciel espion. Ce n'est pas dans leurs attributions. »
Au total, les analystes ont identifié des déploiements de Paragon en Australie, au Canada, à Chypre, au Danemark, en Israël et à Singapour.
Le Canada s'est avéré particulièrement intéressant. Les chercheurs ont déduit que les connexions trouvées dans ces pays menaient à la Police provinciale de l'Ontario. En approfondissant leurs recherches, ils ont découvert d'autres affaires de logiciels espions portées devant les tribunaux ontariens, impliquant les services de police régionaux de York, de Hamilton et de Peel.
Les erreurs de sécurité opérationnelle de Paragon
Paragon n'a pas toujours fait preuve d'autant de prudence pour dissimuler sa présence en ligne.
« Nous sommes retournés à la période 2021-2022, alors qu'ils ne s'étaient pas encore cachés », se souvient Holland. À un moment donné, lorsque les chercheurs ont examiné une série spécifique d'adresses IP israéliennes suspectes, ils sont tombés sur des pages web simplement intitulées « Paragon ». En riant, Holland se demande : « Quel genre d'entreprise de logiciels espions fait la promotion de son site web de cette manière ? »
Il remarque cependant : « Honnêtement, on voit ça tout le temps avec les malwares. [Un serveur nous annonce] : “Hé, je suis Cobalt Strike.” Pourquoi me dire ça ? Maintenant, je peux trouver tous les autres serveurs Cobalt Strike existants. »
Ces dernières années, Paragon semble avoir corrigé ses erreurs. « J'ai recherché d'autres instances de [domaines de marque Paragon], et il n'y en a aucune dans les analyses Internet actuelles, du moins de notre point de vue. Il est vrai que Paragon aurait parfaitement pu utiliser une technique valable en bloquant Censys pour empêcher son indexation, ou en se cachant derrière un pare-feu d'application web (WAF) », explique-t-il.
Considérant le bon côté des choses, il ajoute : « Cela laisse un peu de marge de manœuvre pour approfondir les recherches à mesure de leur évolution. »