Bien que Le logiciel espion Pegasus de NSO Group a retenu l’attention ces derniers temps, c’est loin d’être la seule grande menace, comme l’ont récemment découvert des cyber-chercheurs du Citizen Lab de l’Université de Toronto.
NSO Group, la société israélienne derrière Pegasus, s’est récemment retrouvée la cible d’une action en justice par Apple dans le but de mettre fin à sa capacité à mener des attaques contre les utilisateurs d’iPhone. Apple est même allé jusqu’à informer les personnes qui, selon lui, pourraient avoir été ciblées par des logiciels espions parrainés par l’État comme Pegasus, ce qui a conduit à des révélations intéressantes sur l’omniprésence et l’insidiosité de ce logiciel espion.
Il est important de garder à l’esprit, cependant, que ce n’est pas parce que Pegasus retient toute l’attention qu’il n’y a pas d’autres outils de logiciels espions sponsorisés par l’État qui ne sont pas seulement aussi mauvais-ou peut-être même pire.
En fait, une nouvelle recherche de Citizen Lab montre qu’il existe non seulement au moins une autre menace particulièrement importante-un autre logiciel espion connu sous le nom de”Predator » – mais que certains iPhones se sont en fait retrouvés « doublement infectés » par des versions de Pegasus et Predator déployées par différentes agences gouvernementales.
Dans un nouveau rapport de recherche publié hier, les chercheurs de Citizen Lab ont partagé leur découverte du nouveau logiciel espion Predator, trouvé pour la première fois sur deux iPhones appartenant à deux dissidents égyptiens.
Le plus important d’entre eux était Ayman Nour, un politicien qui a eu la témérité d’essayer de se présenter pour l’élection contre le président égyptien sortant en 2005. Nour a passé quatre ans en prison sur des accusations discutables, et a ensuite été contraint à l’exil en 2013. Il vit maintenant en Turquie, où il reste un critique virulent de ce qu’il décrit comme « l’armée oppressive de l’Égypte régime.”
Huit ans plus tard, cependant, il semble que Nour soit toujours surveillé, car Citizen Lab a découvert qu’il avait à la fois Pegasus et Predator sur son iPhone, exploités par deux clients gouvernementaux différents.
Selon le rapport du Citizen Lab, Nour et un autre Égyptien, un journaliste en exil qui a requis l’anonymat, ont été piratés avec Predator en juin 2021. Tous deux utilisaient iOS 14.6, la dernière version accessible au public. à l’époque. Le logiciel espion a été livré via des liens en un seul clic envoyés via WhatsApp.
Le logiciel espion Predator est conçu et vendu par Cytrox, un petit mercenaire développeur de logiciels espions dont peu de gens ont même entendu parler. Il ferait partie de l’alliance Intellexa, qui a a été décrit comme un « guichet unique » pour les logiciels espions du gouvernement. Intellexa est considéré comme le principal concurrent du groupe NSO et se décrit comme « basé dans l’UE et réglementé, avec six sites et laboratoires de R&D dans toute l’Europe ».
Cytrox a vu le jour en Macédoine du Nord en 2017, bien qu’il semble s’être depuis étendu en Israël et en Hongrie, où Citizen Lab rapporte qu’il opère sous différents noms pour masquer ses connexions.
Après avoir recherché les serveurs de logiciels espions Predator, Citizen Lab a trouvé des clients potentiels en Arménie, Égypte, Grèce, Indonésie, Madagascar, Oman, Arabie saoudite et Serbie.
Pegasus et Predator vivant en harmonie
Les chercheurs ont réussi à obtenir des journaux de l’iPhone de Nour qui indiquaient que le 22 juin 2021, Pegasus et Predator fonctionnaient simultanément.
“Les journaux téléphoniques indiquent que l’appareil a été infecté par Pegasus le 22 juin à 13h26 GMT. Un certain nombre de dossiers Bibliothèque/SMS/Pièces jointes ont été créés entre 13h17 et 13h21, et il n’y avait aucune entrée dans le tableau Pièces jointes du fichier sms.db pour le 22 juin, suggérant qu’un exploit sans clic peut avoir été le vecteur pour l’installation de Pegasus. Environ une heure plus tard, un lien Predator envoyé à Nour sur WhatsApp a été ouvert dans Safari à 14h33 GMT le même jour et Predator a été installé sur l’appareil deux minutes plus tard à 14h35 GMT.
La seule bonne nouvelle ici est qu’il ne semble pas que Predator puisse tirer parti d’un exploit sans clic, du moins pas encore. Les deux cibles ont reçu des liens via WhatsApp, sur lesquels ils ont probablement tapé pour les ouvrir dans Safari.
Le rapport ne précise pas d’où venait le lien avec Nour, mais note que l’autre cible-décrite comme”un journaliste égyptien vivant en exil qui est l’hôte d’un programme d’information populaire”-était dupés en leur faisant croire qu’ils recevaient quelque chose d’un rédacteur en chef adjoint du journal Al Masry Al Youm.
Dans le cas de Nour, un numéro égyptien sur WhatsApp prétendant être un”Dr. Rania Shhab », a envoyé quatre liens séparés vers des domaines contrôlés par Predator déguisés en images contenant des URL. Le texte des images semble contenir des titres qui auraient probablement encouragé Nour à cliquer dessus. Par exemple, l’un de ces titres disait: « La Turquie demande aux chaînes d’opposition égyptiennes de cesser de critiquer l’Égypte, et le Caire commente cette décision. »
L’autre cible, décrite comme”un journaliste égyptien vivant en exil qui anime une émission d’information populaire”, a été dupée en lui faisant croire qu’elle recevait quelque chose d’un rédacteur en chef adjoint du journal Al Masry Al Youm. un journal.
Jusqu’à présent, Predator semble être considérablement moins sophistiqué que Pegasus. Non seulement une cible doit cliquer sur un lien pour en être infecté, mais elle s’appuie également sur l’application iOS Shortcuts pour persister après un redémarrage.
Citizen Lab a découvert que le chargeur télécharge et installe une automatisation des raccourcis iOS qui se déclenche lorsque des applications spécifiques sont ouvertes, y compris l’App Store, l’appareil photo, la messagerie, les cartes et Safari intégrés d’Apple, ainsi que des applications tierces comme Twitter, Instagram, Facebook Messenger, LinkedIn, Skype, Snapchat, Viber, Wire, TikTok, Line, OpenVPN, WhatsApp, Signal et Telegram.
Il est intéressant de noter que la charge utile persistante est appelée en interne”Nahum”, qui est le nom d’un prophète biblique mineur dans la tradition juive et chrétienne qui a prédit la destruction de la puissante ville forteresse de Ninive.
Predator télécharge également un profil iOS spécialement conçu pour désactiver globalement les notifications lorsqu’un raccourci s’exécute, permettant à Predator de se recharger sans que l’utilisateur ne le sache.
Bien sûr, puisque Predator s’appuie sur un raccourci, il n’est pas particulièrement bien caché. Ce serait assez facile à repérer avec un rapide voyage dans l’application Shortcuts, bien qu’il soit probablement prudent de dire que de nombreux utilisateurs d’iPhone ne savent même pas que l’application Shortcuts existe, et encore moins n’ont aucune idée de ce qu’il faut en faire.
Le ciblage d’un seul individu avec à la fois Pegasus et Predator souligne que la pratique du piratage de la société civile transcende toute entreprise de logiciel espion mercenaire spécifique. Au lieu de cela, c’est un modèle qui, nous l’espérons, persistera aussi longtemps que les gouvernements autocratiques seront en mesure d’obtenir une technologie de piratage sophistiquée. En l’absence de réglementations et de garanties internationales et nationales, les journalistes, les défenseurs des droits humains et les groupes d’opposition continueront d’être piratés dans un avenir prévisible.Citizen Lab
Les gouvernements passent-ils à Predator ?
Le rapport Citizen Lab partage une autre information intéressante qui montre comment la fermeture de NSO Group et de Pegasus ne résoudra pas le problème plus vaste des logiciels espions soutenus par l’État.
Les chercheurs ont découvert qu’une adresse IP en Arabie saoudite avait commencé à correspondre aux empreintes digitales de Predator vers la fin juillet, suggérant que Cytrox avait gagné un nouveau client. Ce n’est probablement pas une coïncidence si cela s’est produit juste après le NSO Group aurait mis fin à ses relations avec le gouvernement saoudien à la suite du découverte à la fin de 2020 qu’il utilisait Pegasus pour espionner les journalistes d’Al Jazeera.
Traiter avec Cytrox et Predator
Citizen Lab note qu’il a partagé toutes ses conclusions avec Apple, qui avait confirmé qu’il enquêtait sur la situation.
Puisque WhatsApp a également été utilisé pour fournir les charges utiles Predator, Citizen Lab a également partagé les détails avec Meta (née Facebook), qui a a annoncé qu’il prendrait des mesures coercitives contre Cytrox, y compris la suppression d’environ 300 comptes Facebook et Instagram liés à l’entreprise.