Incidents associés
Les gouvernements d'Australie, du Canada, de Chypre, du Danemark, d'Israël et de Singapour sont probablement clients du fabricant israélien de logiciels espions Paragon Solutions, selon un nouveau rapport technique d'un laboratoire de sécurité numérique réputé.
Mercredi, le Citizen Lab, un groupe d'universitaires et de chercheurs en sécurité basé à l'Université de Toronto qui étudie le secteur des logiciels espions depuis plus de dix ans, a publié un rapport sur la start-up israélienne de surveillance, identifiant les six gouvernements comme des « déploiements suspects de Paragon ».
Fin janvier, WhatsApp a notifié environ 90 utilisateurs que l'entreprise pensait être la cible du logiciel espion Paragon, provoquant un scandale en Italie, où certains d'entre eux ont été victimes du logiciel espion Paragon. cibles en direct.
Paragon tente depuis longtemps de se distinguer de ses concurrents, tels que NSO Group — dont le logiciel espion a été abusé dans plusieurs pays — en prétendant être Un fournisseur de logiciels espions plus responsable. En 2021, un haut dirigeant anonyme de Paragon a déclaré à Forbes que les régimes autoritaires ou non démocratiques ne seraient jamais ses clients. En réponse au scandale provoqué par les notifications WhatsApp de janvier, et dans ce qui était peut-être une tentative de renforcer ses affirmations selon lesquelles Paragon serait un fournisseur de logiciels espions responsable, le président exécutif de Paragon, John Fleming, a déclaré à TechCrunch que l'entreprise « concède sous licence sa technologie à un groupe restreint de démocraties mondiales, principalement les États-Unis et leurs alliés ».
Fin 2024, des médias israéliens ont rapporté que la société de capital-risque américaine AE Industrial Partners avait acquis Paragon pour au moins 500 millions de dollars d'avance.
Dans son rapport publié mercredi, Citizen Lab affirme avoir pu cartographier l'infrastructure serveur utilisée par Paragon pour son logiciel espion, baptisé Graphite par l'éditeur, grâce à « l'information d'un collaborateur ».
À partir de cette information, et après avoir développé plusieurs empreintes digitales permettant d'identifier les serveurs et certificats numériques associés à Paragon, les chercheurs de Citizen Lab ont découvert plusieurs adresses IP hébergées par des opérateurs de télécommunications locaux. Citizen Lab pense qu'il s'agit de serveurs appartenant à des clients de Paragon, notamment en raison des initiales des certificats, qui semblent correspondre aux noms des pays où ils sont situés.
Selon Citizen Lab, l'une des empreintes digitales développées par ses chercheurs a permis d'identifier un certificat numérique enregistré auprès de Graphite, ce qui semble être une erreur opérationnelle majeure de la part du créateur du logiciel espion.
« Des preuves circonstancielles solides étayent un lien entre Paragon et l'infrastructure que nous avons cartographiée », écrit Citizen Lab dans son rapport.
« L'infrastructure que nous avons découverte est liée à des pages web intitulées “Paragon” renvoyées par des adresses IP en Israël (où Paragon est basé), ainsi qu'à un certificat TLS contenant le nom d'organisation “Graphite” », indique le rapport.
Citizen Lab a noté que ses chercheurs ont identifié plusieurs autres noms de code, indiquant d'autres clients gouvernementaux potentiels de Paragon. Parmi les pays clients suspectés, Citizen Lab a identifié la Police provinciale de l'Ontario (OPP) du Canada, qui semble être un client de Paragon, puisque l'une des adresses IP du client canadien suspecté est directement liée à l'OPP.
TechCrunch a contacté les porte-parole des gouvernements suivants : Australie, Canada, Chypre, Danemark, Israël et Singapour. Aucun de ces représentants n'a répondu à nos demandes de commentaires.
Jeffrey Del Guidice, porte-parole de l'OPP, n'a pas nié les conclusions de Citizen Lab. Il a plutôt déclaré que « la divulgation d'informations sur des techniques et technologies d'enquête spécifiques pourrait compromettre les enquêtes en cours et menacer la sécurité du public et des agents ».
Contacté par TechCrunch, Fleming, de Paragon, a déclaré que Citizen Lab avait contacté l'entreprise et fourni « une quantité très limitée d'informations, dont certaines semblent inexactes ».
Fleming a ajouté : « Compte tenu du caractère limité des informations fournies, nous ne sommes pas en mesure de commenter pour le moment. » Fleming n'a pas répondu lorsque TechCrunch a demandé ce qui était inexact dans le rapport de Citizen Lab, ni aux questions concernant la présence de clients Paragon dans les pays identifiés par Citizen Lab, ni l'état de ses relations avec ses clients italiens.
Citizen Lab a noté que toutes les personnes notifiées par WhatsApp, qui ont ensuite contacté l'organisation pour faire analyser leur téléphone, utilisaient un téléphone Android. Cela a permis aux chercheurs d'identifier un « artefact forensique » laissé par le logiciel espion de Paragon, qu'ils ont appelé « BIGPRETZEL ».
Zade Alsawah, porte-parole de Meta, a déclaré à TechCrunch dans un communiqué que l'entreprise « peut confirmer que nous pensons que l'indicateur que Citizen Lab appelle BIGPRETZEL est associé à Paragon ».
« Nous avons constaté de visu comment les logiciels espions commerciaux peuvent être utilisés pour cibler les journalistes et la société civile, et ces entreprises doivent rendre des comptes », peut-on lire dans le communiqué de Meta. « Notre équipe de sécurité s'efforce constamment d'anticiper les menaces et nous continuerons à œuvrer pour protéger la confidentialité des communications. »
Étant donné que les téléphones Android ne conservent pas toujours certains journaux d'utilisation, Citizen Lab a constaté qu'il est probable que davantage de personnes aient été ciblées par le logiciel espion Graphite, même en l'absence de preuve de la présence du logiciel espion de Paragon sur leurs téléphones. Quant aux personnes identifiées comme victimes, on ignore si elles ont déjà été ciblées.
Citizen Lab a également constaté que le logiciel espion Graphite de Paragon cible et compromet des applications spécifiques du téléphone, sans aucune interaction de la part de la cible, plutôt que de compromettre le système d'exploitation et les données de l'appareil. Dans le cas de Beppe Caccia, l'une des victimes en Italie, qui travaille pour une ONG d'aide aux migrants, Citizen Lab a trouvé des preuves que le logiciel espion avait infecté deux autres applications sur son appareil Android, sans les nommer.
Cibler des applications spécifiques plutôt que le système d'exploitation de l'appareil, a noté Citizen Lab, pourrait compliquer la tâche des enquêteurs pour trouver des preuves de piratage, mais pourrait donner aux développeurs d'applications une meilleure visibilité sur les opérations de logiciels espions.
« Le logiciel espion de Paragon est plus difficile à repérer que celui de ses concurrents comme Pegasus [de NSO Group], mais, au final, il n'existe pas d'attaque de logiciel espion parfaite », a déclaré à TechCrunch Bill Marczak, chercheur senior chez Citizen Lab. « Les indices se trouvent peut-être à des endroits différents de ceux auxquels nous sommes habitués, mais grâce à la collaboration et au partage d'informations, même les cas les plus complexes sont résolus. »
Citizen Lab a également indiqué avoir analysé l'iPhone de David Yambio, qui travaille en étroite collaboration avec Caccia et d'autres membres de son ONG. Yambio a reçu une notification d'Apple indiquant que son téléphone était ciblé par un logiciel espion mercenaire, mais les chercheurs n'ont trouvé aucune preuve de ce comportement.
Apple n'a pas répondu à une demande de commentaire.