L’entreprise israélienne Candiru a vendu des logiciels espions aux États pour pirater des journalistes et des dissidents.
Selon un rapport, les vulnérabilités de Microsoft et de Google ont été exploitées par les clients d’un groupe de cyberguerre.
Selon une nouvelle étude, un groupe de cyber-guerre israélien a exploité les vulnérabilités des produits Microsoft et Google, permettant ainsi aux gouvernements de pirater plus de 100 journalistes, activistes et dissidents politiques dans le monde.
L’acteur relativement inconnu, qui se présente sous le nom de Candiru, fait partie d’une industrie israélienne lucrative de la cybernétique offensive qui recrute souvent des vétérans des unités d’élite de l’armée et vend des logiciels permettant à ses clients de pirater à distance des ordinateurs et des téléphones portables.
Des entreprises comme Candiru et le plus grand acteur de cette industrie opaque, NSO Group, qui a été valorisé à 1 milliard de dollars lors d’une transaction en 2019, ont déclaré que leurs logiciels sont conçus pour être utilisés par les organismes gouvernementaux et les forces de l’ordre afin de contrecarrer le terrorisme et les crimes potentiels.
Mais l’ONU, le Citizen Lab de l’Université de Toronto et des groupes de défense des droits comme Amnesty International ont régulièrement retrouvé la trace de ces logiciels espions sur les téléphones et les ordinateurs de journalistes, de dissidents politiques et de militants critiquant les régimes répressifs.
Les courriels envoyés aux multiples adresses des dirigeants de Candiru pour obtenir des commentaires ont été renvoyés ou sont restés sans réponse.
En l’occurrence, Microsoft et Citizen Lab ont découvert que Candiru vendait un logiciel espion qui exploitait des failles dans Microsoft Windows, permettant à ceux qui le déployaient de voler des mots de passe, d’exporter des fichiers et des messages depuis des appareils, notamment depuis l’application de messagerie cryptée Signal, et d’envoyer des messages depuis des comptes de messagerie et de médias sociaux.
Le rapport indique que son analyse a révélé que les systèmes de Candiru, qui sont vendus exclusivement aux gouvernements, ont été « exploités depuis l’Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l’Indonésie, entre autres pays ».
Selon le rapport, le logiciel espion de Candiru a ciblé au moins 100 membres de la société civile, dont des politiciens, des militants des droits de l’homme, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques, notamment au Royaume-Uni, en Espagne, à Singapour, en Israël et dans les territoires palestiniens occupés.
Les chercheurs ont également découvert plus de 750 faux sites Web se faisant passer pour des groupes tels qu’Amnesty International, le mouvement Black Lives Matter et le service postal russe, qui étaient équipés de son logiciel espion.
« Candiru a essayé de rester dans l’ombre depuis sa création », a déclaré Bill Marczak, chercheur principal au Citizen Lab. « Mais il n’y a pas de place dans l’ombre pour les entreprises qui facilitent l’autoritarisme en vendant des logiciels espions utilisés contre les journalistes, les militants et la société civile. »
Microsoft a déclaré dans un billet de blog qu’elle avait publié cette semaine une mise à jour logicielle « qui protégera les clients Windows des exploits que [l’entreprise] utilisait pour aider à diffuser ses logiciels malveillants ».
Par ailleurs, le rapport de Citizen Lab a révélé que deux vulnérabilités de Google Chrome divulguées mercredi par la société de la Silicon Valley avaient été exploitées par Candiru. Bien que Google n’ait pas explicitement lié les exploits à Candiru, il les a attribués à une « société de surveillance commerciale ».
Le rapport jette une lumière crue sur l’industrie croissante des logiciels espions mercenaires, qui suscite de plus en plus l’ire des grandes plateformes technologiques dont les logiciels peuvent être utilisés comme armes par ces groupes. Le groupe NSO, grand rival de Candiru, fait actuellement l’objet d’une action en justice de la part de WhatsApp, soutenue par d’autres groupes technologiques, pour avoir prétendument vendu des outils permettant aux clients d’injecter son logiciel subrepticement dans des téléphones via des appels WhatsApp.
Dans un document marketing de Candiru datant de 2019, vu par le Financial Times, le groupe faisait la promotion de son « système de cyberespionnage de niveau superpuissance », affirmant que « les processus d’installation et d’exfiltration sont furtifs et secrets, sans interruption de l’activité régulière de la cible ».
Il a ajouté que « des agents d’infiltration propriétaires sont déployés silencieusement dans l’appareil de la cible, en utilisant notre ensemble de vecteurs d’attaque et de vulnérabilités de type « zero-day » développés en interne » – ce qui suggère que la faille de Microsoft Windows n’est que l’une de celles qu’il a exploitées.
Google a déclaré dans son billet cette semaine qu’il y avait « plus de fournisseurs commerciaux vendant des accès à des jours zéro qu’au début des années 2010 ».
Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft, a déclaré : « Un monde où les entreprises du secteur privé fabriquent et vendent des cyberarmes est plus dangereux pour les consommateurs, les entreprises de toutes tailles et les gouvernements. »
Financial Times, 15/07/2021
Etiquettes : Israël, Candiru, spywares, logiciels espions, journalistes, opposants, répression, espionnage, hacking, piratage,