Incidents associés
Le groupe de recherche Citizen Lab de l'Université de Toronto a analysé des attaques impliquant un logiciel espion développé par l'entreprise israélienne Paragon Solutions, ce qui a conduit à la découverte d'une vulnérabilité zero-day dans l'application de communication WhatsApp de Meta.
Paragon existe depuis 2019 et son logiciel espion s'appelle Graphite. L'entreprise affirme que, contrairement à NSO Group et à d'autres entreprises de surveillance dont les solutions ont été utilisées par des régimes autoritaires pour cibler des militants, des politiciens et des journalistes, elle dispose de mesures de protection pour prévenir de tels abus.
Citizen Lab a trouvé des preuves de l'utilisation de Graphite en Australie, au Canada, au Danemark, à Singapour, en Israël et à Chypre. Certains éléments indiquent que le logiciel espion a �été utilisé par la police au Canada.
Le logiciel espion Graphite a récemment fait les gros titres suite à son utilisation contre des personnes en Italie, notamment contre des utilisateurs d'appareils Android et iPhone. En février, le gouvernement italien a nié avoir espionné des journalistes et des militants migrants avec le logiciel espion Paragon.
Meta a récemment averti 90 utilisateurs répartis dans une vingtaine de pays qu'ils avaient été ciblés par le logiciel espion Paragon sur WhatsApp.
Selon Citizen Lab, au moins certaines de ces attaques impliquaient l'exploitation d'une faille zero-day de WhatsApp ne nécessitant aucune interaction de l'utilisateur.
« Nous avons partagé avec Meta les détails de notre cartographie de l'infrastructure de Paragon, car nous pensions que WhatsApp pourrait être utilisé comme vecteur d'infection. Meta nous a indiqué que ces informations étaient essentielles à son enquête en cours sur Paragon. Meta a partagé avec WhatsApp des informations qui lui ont permis d'identifier, d'atténuer et d'attribuer une faille zéro-clic de Paragon », a déclaré Citizen Lab.
Les failles WhatsApp, en particulier les failles zéro-clic, peuvent être très précieuses.
WhatsApp n'a pas publié d'avis concernant cette vulnérabilité et ne semble pas avoir attribué d'identifiant CVE, ce qui indique que la faille zero-day a probablement été corrigée côté serveur et que les utilisateurs n'ont aucune action à entreprendre.
Outre l'utilisation d'une vulnérabilité zero-day, WhatsApp a confirmé à Citizen Lab qu'un composant Android identifié comme BigPretzel, impliqué dans des attaques ciblant ses utilisateurs, est également associé à Paragon.
Citizen Lab a noté que les preuves récemment découvertes semblent contredire les affirmations de Paragon concernant les types d'entités ciblées par ses solutions.
« Les quelque 90 cibles notifiées par WhatsApp ne représentent probablement qu'une fraction du nombre total de cas Paragon. Pourtant, dans les cas déjà étudiés, on observe une tendance troublante et familière à cibler les groupes de défense des droits humains, les critiques du gouvernement et les journalistes », a déclaré Citizen Lab.
**MISE À JOUR : **Les représentants de WhatsApp ont déclaré à SecurityWeek avoir pu corriger la vulnérabilité – qu'ils décrivent comme un « vecteur d'attaque » – à la fin de l'année dernière, sans avoir besoin d'un correctif côté client. Les attaques impliquaient l'utilisation de groupes et l'envoi d'un fichier PDF.