Incidents associés
Des chercheurs en cybersécurité du Citizen Lab de l'Université de Toronto ont révélé l'utilisation d'un logiciel espion sophistiqué appelé Graphite, développé par la société israélienne Paragon Solutions, pour cibler des personnalités via WhatsApp.
Leur enquête révèle qu'une vulnérabilité zero-day jusqu'alors inconnue dans le logiciel WhatsApp a permis l'installation du logiciel espion sur des appareils via un exploit « zero-click », permettant ainsi aux pirates d'accéder sans autorisation aux téléphones ciblés.
Pour information, les exploits zéro clic signifient qu'un appareil peut être compromis sans que l'utilisateur clique sur un lien, ouvre un fichier ou effectue la moindre action.
Serveurs de logiciels espions Graphite dans le monde
Paragon Solutions, fondée en 2019 par des personnalités telles que l'ancien Premier ministre israélien Ehud Barak, affirme se démarquer par son respect de normes éthiques, contrairement à d'autres éditeurs de logiciels espions comme NSO Group.
Cependant, les chercheurs de Citizen Lab ont cartographié les serveurs attribués à Graphite et identifié des déploiements suspects ciblant des journalistes, des militants des droits de l'homme et des critiques du gouvernement dans plusieurs pays. Cela comprend :
- Italie
- Israël
- Canada
- Chypre
- Danemark
- Australie
- Singapour
La société mère de WhatsApp, Meta, a confirmé qu’environ 90 utilisateurs répartis dans 24 pays ont été ciblés. Cependant, les chercheurs étant basés au Canada, un aspect important de l’enquête s’est concentré sur un client canadien, la Police provinciale de l’Ontario (OPP). L’analyse a révélé des liens entre Paragon et l’OPP, révélant une utilisation systématique de logiciels espions par les services de police basés en Ontario.
La connexion italienne s’est avérée être un point central de l’enquête. L’analyse forensique des appareils Android appartenant à des personnes notifiées par WhatsApp, dont le journaliste Francesco Cancellato et les fondateurs de Mediterranea Saving Humans, Luca Casarini et le Dr Giuseppe Caccia, a révélé des indices clairs de la présence du logiciel espion Graphite.
Les chercheurs ont identifié un artefact forensique Android unique, BIGPRETZEL, qui a confirmé la présence du logiciel espion de Paragon sur ces appareils. Le gouvernement italien a initialement nié toute implication, mais a ensuite reconnu avoir des contrats avec Paragon.
En outre, l'enquête s'est étendue à un iPhone appartenant à David Yambio, un proche collaborateur des cibles confirmées de Paragon. Les notifications de menaces Apple reçues par Yambio, combinées à une analyse forensique, ont révélé une tentative d'infection par un nouveau logiciel espion, corrigé par Apple dans iOS 18.
Suite aux conclusions de Citizen Lab, Meta, Apple et Google ont collaboré pour corriger la faille de sécurité. WhatsApp a implémenté un correctif côté serveur, évitant ainsi aux utilisateurs de mettre à jour leurs applications. Apple a également publié un correctif pour son système d'exploitation iOS afin de protéger les utilisateurs d'iPhone.
WhatsApp a ensuite notifié les utilisateurs ciblés. « Si nous pensons que votre appareil est menacé, nous pourrons vous en informer directement via une conversation WhatsApp », pouvait-on lire dans la notification.
Les attaques WhatsApp persistent malgré la victoire du groupe NSO au procès
Hackread.com a précédemment rapporté que la célèbre société israélienne de logiciels espions, NSO Group, avait été tenue responsable de la compromission de centaines de comptes WhatsApp. Le tribunal a jugé NSO Group responsable d'avoir enfreint les conditions d'utilisation de WhatsApp et exploité une vulnérabilité pour installer son puissant logiciel espion Pegasus sur au moins 1 400 appareils, ciblant des journalistes, des militants des droits de l'homme, des dissidents politiques et des représentants du gouvernement.
Il est intéressant de noter que CyberScoop a rapporté en novembre 2024 que NSO Group a continué à développer de nouveaux logiciels malveillants basés sur les exploits WhatsApp, même après que Meta a intenté une action en justice contre eux, et que lorsque WhatsApp a désactivé l'exploit Eden, NSO Group a créé le vecteur Erised pour cibler les utilisateurs jusqu'en mai 2020.
Aujourd'hui, les conclusions du Citizen Lab indiquent que les entreprises israéliennes de logiciels espions se concentrent continuellement sur l'exploitation des vulnérabilités de WhatsApp pour le déploiement de logiciels espions et les utilisent agressivement contre les journalistes et les militants. Ces cas montrent la lutte sans fin entre les entreprises technologiques et les acteurs malveillants cherchant à compromettre la confidentialité des utilisateurs et le besoin crucial de prudence continue, de mesures de sécurité plus strictes et de responsabilité juridique au sein de l'industrie des logiciels espions pour protéger la confidentialité numérique et les droits de l'homme.