En écho à la débâcle de Pegasus du groupe NSO, un autre logiciel espion qui pourrait attaquer l’iPhone a été vendu aux gouvernements et vient seulement d’être découvert.
Les logiciels d’espionnage sont souvent utilisés par les agences de sécurité et les gouvernements pour surveiller les individus d’intérêt. Cela a été démontré de la manière la plus célèbre par la découverte de Pegasus, un logiciel espion du groupe NSO qui a été vendu et utilisé pour espionner les opposants politiques, les militants et les journalistes.
Bien que la discussion sur Pegasus se soit éteinte, il semble que NSO Group n’était pas la seule organisation à vendre des outils capables de surveiller un iPhone aux parties intéressées.
Un rapport de Citizen Lab basé sur une analyse des échantillons partagés par Microsoft Threat Intelligence ont révélé l’existence d’un outil d’espionnage très similaire à Pegasus à bien des égards. Connu sous le nom de”Reign”, le logiciel espion de la société israélienne QuaDream offre aux gouvernements des moyens de, encore une fois, garder un œil sur leur opposition potentielle.
Tout comme Pegasus, Reign a été vendu à des gouvernements tels que Singapour, l’Arabie saoudite, le Mexique et le Ghana. Il a été présenté à d’autres, dont l’Indonésie et le Maroc.
L’outil a également été utilisé dans au moins cinq cas. À ce jour, il a été utilisé contre des personnalités de l’opposition politique, des journalistes et d’autres personnes en Amérique du Nord, en Asie centrale, en Asie du Sud-Est, en Europe et au Moyen-Orient.
Zéro clic et dévastateur
Les fichiers binaires analysés par l’équipe révèlent que le logiciel espion a été déployé sur des appareils cibles à l’aide d’un exploit présumé de zéro clic sur iOS 14, y compris contre iOS 14.4 et iOS 14.4.2. L’exploit, que les chercheurs appellent”Endofdays”, utilisait des invitations de calendrier iCloud invisibles envoyées aux victimes.
Une fois installé, Reign avait un accès considérable aux différents composants des fonctionnalités iOS et iPhone, tout comme Pegasus. Cela comprenait :
Enregistrement audio des appels Enregistrement du microphone Prise de photos à l’aide d’appareils photo Exfiltration et suppression d’éléments du trousseau Génération de mots de passe iCloud 2FA Recherche dans les fichiers et les bases de données sur l’appareil Suivi de l’emplacement de l’appareil Nettoyage des traces du logiciel pour minimiser la détection.
Une fonction d’autodestruction a nettoyé les traces du logiciel espion, mais a également aidé les chercheurs à identifier si une victime avait été attaquée à l’aide de l’outil de surveillance.
Un danger persistant pour la vie privée
QuaDream continue de fonctionner. Il a réussi à éviter d’être découvert pendant une période de temps considérable en raison d’efforts pour éviter un examen minutieux.
La société est également en conflit avec InReach, une entité basée à Chypre utilisée pour vendre les produits de QuaDream en dehors d’Israël. Le différend, sur un échec apparent de transfert de fonds en 2019, a aidé les chercheurs à en savoir plus sur les entreprises, y compris leurs dirigeants.
QuaDream aurait des”racines communes”avec le groupe NSO, selon Citizen Lab, ainsi qu’avec d’autres sociétés de l’industrie israélienne des logiciels espions commerciaux, ainsi qu’avec des agences de renseignement au sein du gouvernement israélien.
Parmi les personnes clés se trouve un co-fondateur qui était un ancien responsable militaire israélien et d’anciens employés de NSO.
Citizen Lab affirme que le rapport est”un rappel que l’industrie des logiciels espions mercenaires est plus importante que n’importe quelle entreprise et qu’une vigilance continue est requise de la part des chercheurs et des cibles potentielles.”