Incidents associés
Les logiciels espions acquis par les gouvernements menacent de plus en plus les civils. Bien qu'il soit très difficile d'éviter les attaques sophistiquées par logiciels espions, une bonne hygiène informatique et une vigilance de base peuvent contribuer à minimiser les risques.
En février, le Syndicat national des journalistes italiens a déposé une plainte pénale contre le gouvernement italien après que celui-ci a étouffé les questions concernant des allégations d'espionnage au Parlement.
Selon les alertes WhatsApp envoyées à environ 90 utilisateurs en Europe, le syndicat a affirmé que le gouvernement italien avait utilisé le logiciel espion Graphite, créé par la société israélienne Paragon Solutions, pour espionner le militant Luca Casarini et les journalistes italiens.
Le gouvernement italien a nié ces allégations. Cependant, Paragon Solutions, rachetée par la société d'investissement américaine l'année dernière, a résilié le contrat pour violation de ses conditions d'utilisation, selon des sources du Guardian.
Ceci n'est qu'un exemple parmi tant d'autres de la façon dont les logiciels espions, initialement destinés à espionner les criminels et les terroristes, ont échappé à tout contrôle et ciblé les civils.
Cette année, Michael Casey, directeur du Centre national de contre-espionnage et de sécurité des États-Unis, a déclaré (https://breakingdefense.com/2025/01/nearly-100-countries-have-acquired-cellphone-spyware-and-theyre-using-it-official/) que près de 100 gouvernements, dont de nombreux régimes autoritaires, ont acquis des logiciels de surveillance pour smartphones.
Les données de Casey suggèrent que ce secteur est en pleine croissance. Entre 2011 et 2023, 74 gouvernements ont conclu des contrats avec des entreprises commerciales pour obtenir des logiciels espions ou des technologies d'investigation numérique, selon le groupe de réflexion américain Carnegie Endowment (https://carnegieendowment.org/research/2023/03/why-does-the-global-spyware-industry-continue-to-thrive-trends-explanations-and-responses?lang=en).
Casey a également averti que les logiciels espions sont de plus en plus accessibles aux cybercriminels sur le marché noir.
8 infections Pegasus sur 1 000
La majorité des logiciels espions gouvernementaux proviennent d'Israël ou sont créés par d'anciens agents des services de renseignement du pays, suivis par plusieurs pays de l'Union européenne, dont l'Italie.
Les outils les plus sophistiqués, comme Graphite de Paragon ou Pegasus de NSO Group, sont des outils zéro-clic : les utilisateurs n'ont donc pas besoin de cliquer sur un lien ni d'effectuer quoi que ce soit pour infecter leur appareil.
Pegasus est considéré comme indétectable depuis de nombreuses années ; cependant, les éditeurs de smartphones et de logiciels ont commencé à informer les utilisateurs de la présence de ce logiciel espion plus récemment. Il existe également des outils accessibles au public, comme le kit d'Amnesty International et l'application d'analyse d'iVerify, qui permettent d'analyser les appareils et potentiellement de détecter Pegasus.
« Les téléphones portables sont en première ligne face à la prolifération des logiciels espions, et les fonctionnalités dites "zéro-clic" restent la nouveauté en matière d'outils. Les meilleures fonctionnalités sont développées par des entreprises comme NSO Group, Intellexa et Paragon, même si nous constatons que les groupes de pirates traditionnels égalent rapidement leurs prouesses », explique Rocky Cole, cofondateur et directeur de l'exploitation du fournisseur de solutions de sécurité mobile iVerify.
Il souligne que l'architecture qui rend les téléphones très sécurisés pour le grand public les rend plus vulnérables aux attaquants déterminés, car il est difficile de collecter suffisamment de données télémétriques sur un téléphone moderne pour détecter les logiciels espions.
iVerify affirme avoir détecté 11 Pegasus en décembre sur 18 000 tentatives, et que tous les résultats positifs concernaient des entreprises.
Cole affirme que les attaques mobiles sont devenues plus fréquentes et ne se limitent plus aux cibles les plus médiatisées, mettant ainsi en danger des entreprises entières.
« Lorsqu'une transaction financière importante est sur le point d'avoir lieu, c'est à ce moment-là que les logiciels espions apparaissent. Nous avons réalisé une expérience naturelle l'année dernière qui suggérait qu'il pourrait y avoir environ 0,8 infection par logiciel espion pour 1 000 téléphones mobiles parmi la population « fréquemment piratée », ajoute-t-il.
Pourquoi est-il difficile de détecter les logiciels espions ?
Outre NSO Group et Paragon Solutions, il existe des dizaines d'autres éditeurs de logiciels espions. L'année dernière, le groupe d'analyse des menaces de Google a identifié 40 entreprises impliquées dans la vente et la fourniture d'exploits de sécurité et de services de logiciels espions aux gouvernements.
Niranjan Jayanand, de l'équipe de recherche sur les menaces de CyberProof, cite Candiru, NoviSpy, Hermit et Predator parmi les plus connues.
Selon lui, si les logiciels espions ciblent généralement les militants, les avocats et les fonctionnaires, certains signes indiquent que les civils sont également plus souvent ciblés.
Cela pourrait s'expliquer par la tendance croissante des utilisateurs à apporter leurs propres appareils au travail, ce qui élargit le spectre des cibles potentielles des pirates.
Les pirates chinois sont réputés pour surveiller les civils, EagleMsgSpy étant utilisé par la police locale comme outil d'interception légale.
EagleMsgSpy semble nécessiter un accès physique à l'appareil cible pour activer la collecte d'informations. Le client de surveillance peut être obtenu par diverses méthodes, comme les codes QR ou via un appareil physique qui s'installe sur le téléphone lorsqu'il est connecté en USB, explique Jayanand.
De plus, des pirates informatiques chinois, commandités par l'État, seraient responsables des attaques Salt Typhoon, qui pourraient toucher des millions de personnes, y compris des personnes occupant des postes gouvernementaux et politiques sensibles.
Interrogé sur la difficulté de détecter les logiciels espions, Jayanand explique qu'ils opèrent souvent au niveau du noyau du système d'exploitation plutôt qu'au niveau de l'utilisateur, ce qui complique la compréhension de leur interaction avec l'appareil.
Certains logiciels espions utilisent des bombes à retardement, s'activant uniquement à une date et une heure précises, ce qui rend la détection précoce très difficile. Les attaquants peuvent recourir à des opérations sous fausse bannière, se faisant passer pour une opération de logiciel espion connue ou attribuant faussement l'attaque à un gouvernement ou une agence spécifique, ce qui complique encore davantage les efforts d'attribution et de détection », explique Jayanand.
Nature secrète du secteur
Selon Mithilesh Ramaswamy, ingénieur senior en sécurité chez Microsoft, la principale raison pour laquelle les entreprises vendent des logiciels espions est l'argent.
« Les fabricants de logiciels espions ont trouvé un marché financièrement lucratif, alimenté par la prolifération massive d'appareils grand public, véritables clés de notre royaume des données personnelles. L'offre croît avec la demande, et des marchés entiers de logiciels espions apparaissent sur le dark web », explique-t-il.
Ce cycle s'auto-alimente : une plus grande disponibilité conduit à de meilleurs outils, qui stimulent la demande et le marché continue de se développer.
Il est difficile d'estimer les revenus et les bénéfices des fournisseurs de logiciels espions en raison du caractère secret du secteur.
NSO Group, par exemple, qui souhaitait entrer en bourse, a déclaré un chiffre d'affaires de 243 millions de dollars en 2020. Cependant, l'année suivante, il a été mis sur liste noire par le gouvernement américain en 2021 pour avoir vendu cette technologie à des régimes autoritaires afin de cibler des civils, ce qui a eu un impact significatif sur ses finances et aggravé ses problèmes financiers.
Plusieurs publications affirment que le marché global des logiciels espions valait 12 milliards de dollars en 2022-2023, citant un article du New Yorker qui n'indiquait pas la source.
Signes de logiciels espions
Quelles sont les chances que l'appareil d'un utilisateur soit infecté par un logiciel espion ?
Selon Cole, beaucoup de gens sont trop méfiants. Ils observent un comportement étrange de leur téléphone et supposent qu'il a été piraté, alors qu'en réalité, il exécute peut-être simplement un code erroné.
Cependant, les cas de logiciels espions sont en augmentation parmi les personnes fréquemment piratées, comme les fonctionnaires, les avocats et les militants.
Et comme les attaques « zéro clic » ne présentent aucun signe visible, il est difficile de s'en protéger.
« Mais la plupart des logiciels espions fonctionnent en un seul clic, ce qui signifie que vous recevrez toujours un SMS d'un inconnu contenant un lien ou un fichier malveillant. Il est rare que vous remarquiez que la batterie de votre téléphone se décharge plus rapidement, ou que votre connexion Internet semble soudainement plus lente partout où vous allez », ajoute Cole.
Selon Ramaswamy, l'activation du microphone ou de la caméra sans aucune intervention est un avertissement clair que quelque chose ou quelqu'un pourrait vous observer.
Jayanand ajoute que des anomalies, telles que des fonctionnalités défaillantes et des logiciels de sécurité défaillants, peuvent également être des signes de la présence d'un logiciel espion sur un appareil.
Bien que les attaques sophistiquées puissent être difficiles à détecter, les experts recommandent de rester en sécurité en mettant régulièrement à jour le système d'exploitation et les applications, en installant des logiciels provenant uniquement de sources fiables et en évitant les messages et les e-mails non sollicités.