Incidents associés
WhatsApp a corrigé une vulnérabilité zero-click et zero-day utilisée pour installer le logiciel espion Graphite de Paragon, suite à des rapports de chercheurs en sécurité du Citizen Lab de l'Université de Toronto.
L'entreprise a traité le vecteur d'attaque à la fin de l'année dernière « sans avoir recours à un correctif côté client » et a décidé de ne pas attribuer d'identifiant CVE après avoir examiné les directives CVE publiées par le MITRE et ses propres politiques internes.
« WhatsApp a perturbé une campagne de logiciels espions menée par Paragon qui ciblait plusieurs utilisateurs, dont des journalistes et des membres de la société civile. Nous avons contacté directement les personnes que nous pensons avoir été touchées », a déclaré un porte-parole de WhatsApp à BleepingComputer.
« C'est le dernier exemple en date qui montre pourquoi les entreprises de logiciels espions doivent être tenues responsables de leurs actes illégaux. WhatsApp continuera de protéger la confidentialité des communications. »
Le 31 janvier, après avoir neutralisé l'exploit zéro clic déployé lors de ces attaques, WhatsApp a notifié environ 90 utilisateurs Android de plus de deux douzaines de pays, dont des journalistes italiens et des militants, ciblés par le logiciel espion Paragon pour collecter des données sensibles et intercepter leurs communications privées.
Citizen Lab a découvert que les attaquants avaient ajouté les cibles à un groupe WhatsApp avant d'envoyer un PDF. Lors de l'étape suivante de l'attaque, l'appareil de la victime a automatiquement traité le PDF, exploitant la vulnérabilité zero-day désormais corrigée pour installer un implant de logiciel espion Graphite dans WhatsApp.
L'implant a ensuite compromis d'autres applications sur les appareils ciblés en s'échappant du sandbox Android. Une fois installé, le logiciel espion permet à ses opérateurs d'accéder aux applications de messagerie des victimes.
« Les quelque 90 cibles notifiées par WhatsApp ne représentent probablement qu'une fraction du nombre total de cas Paragon. Pourtant, dans les cas déjà étudiés, on observe une tendance troublante et familière à cibler les groupes de défense des droits de la personne, les critiques du gouvernement et les journalistes », a déclaré Citizen Lab mercredi.
Les infections par le logiciel espion Graphite peuvent être détectées sur les appareils Android piratés à l'aide d'un artefact d'analyse forensique (baptisé BIGPRETZEL) qui peut être repéré en analysant les journaux des appareils compromis.
Cependant, l'absence de preuves d'infection n'exclut pas que les indicateurs d'analyse aient été écrasés ou non capturés en raison de la « nature sporadique des journaux Android ».
Citizen Lab a également cartographié l'infrastructure serveur utilisée par Paragon pour déployer les implants du logiciel espion Graphite sur les appareils des cibles, identifiant des liens potentiels avec plusieurs clients gouvernementaux, dont l'Australie, le Canada, Chypre, le Danemark, Israël et Singapour.
À partir du domaine d'un serveur unique de l'infrastructure de Paragon, les chercheurs ont développé plusieurs empreintes digitales qui ont permis de découvrir 150 certificats numériques liés à des dizaines d'adresses IP supposées appartenir à une infrastructure de commandement et de contrôle dédiée.
« Cette infrastructure comprenait des serveurs cloud probablement loués par Paragon et/ou ses clients, ainsi que des serveurs probablement hébergés dans les locaux de Paragon et de ses clients gouvernementaux », a déclaré Citizen Lab.
L'infrastructure que nous avons découverte est liée à des pages web intitulées "Paragon" renvoyées par des adresses IP en Israël (où Paragon est basé), ainsi qu'à un certificat TLS contenant le nom d'organisation "Graphite", qui est le nom du logiciel espion de Paragon, et le nom commun "installerserver" (Pegasus, un logiciel espion concurrent, utilise le terme "Installation Server" pour désigner un serveur conçu pour infecter un appareil avec un logiciel espion).
Le développeur israélien de logiciels espions Paragon Solutions Ltd. a été fondé en 2019 par Ehud Barak, ancien Premier ministre israélien, et Ehud Schneorson, ancien commandant de l'Unité 8200 israélienne. Le groupe d'investissement AE Industrial Partners, basé en Floride, aurait acquis la société en décembre 2024.
Contrairement à des concurrents comme NSO Group, Paragon affirme vendre ses outils de surveillance uniquement aux forces de l'ordre et aux services de renseignement des pays démocratiques qui souhaitent cibler les criminels dangereux.
En décembre 2022, le New York Times a rapporté que la Drug Enforcement Administration (DEA) américaine avait utilisé le logiciel espion Graphite de la société. Deux ans plus tard, en octobre 2024, Wired a rapporté que Paragon avait signé un contrat de 2 millions de dollars avec l'Immigration and Customs Enforcement (ICE) des États-Unis.
Mise à jour 19 mars, 12h11 HAE : Ajout d'une déclaration WhatsApp.