FinSpy : le spyware britannique vendu à des régimes autoritaires ?

L'an dernier, nous avions relayé un article d'Owni qui détaillait les redoutables promesses de la suite d'outils britannique FinFisher, présentée comme un mouchard mis à disposition des services de police. FinSpy "peut espionner en 'live' le ou les utilisateurs de l'ordinateur infecté (en activant, à leur insu, webcam et microphone), mais également le géolocaliser, en extraire toutes les données, intercepter les échanges de mail et autres conversations, et notamment les appels et transferts de fichiers effectués avec Skype", écrivait Owni.

Aujourd'hui, des indices extrêmement sérieux permettent de penser que Gamma, l'éditeur de FinSpy, a vendu son logiciel à des régimes autoritaires qui l'ont utilisé pour espionner des dissidents et faciliter la répression. En plus des ordinateurs sous Mac, Windows ou Linux, le spyware peut infecter quasiment tous les mobiles du marché, avec des versions destinées aux iPhone, Android, BlackBerry, Symbian (Nokia), ou encore Windows Phone. 

Morgan Marquis-Boire, un ingénieur travaillant chez Google, et Bill Marczak, un professeur de sciences informatiques de l'Université de Berkeley, ont publié les résultats de leurs recherches qui montrent l'étendue de l'utilisation de FinSpy dans le monde. En se basant sur des e-mails et SMS suspects reçus par des activistes du Barheïn, et sur une étude complémentaire réalisée par Rapid7, ils ont découvert que des serveurs permettant de contrôler FinSpy avaient été activés dans au moins une quinzaine de pays dont le Bahreïn, l'Ethiopie, l'Indonésie, le Turkménistan, ou les Emirats-Arabes Unies.

Le New York Times note que les travaux montrent qu'un "serveur du Turkménistan faisant tourner le logiciel appartient à une plage d'adresses IP spécifiquement assignée au ministère des communications", ce qui sous-entend que le régime (très autocratique) a acquis et installé le spyware.

En Europe, des serveurs ont été découverts en République Tchèque et aux Pays-Bas.

Dans un premier temps, Gamma a nié totalement l'utilisation de FinSpy par des régimes autoritaires comme le Turkménistan ou Barheïn. Mais moins d'une heure seulement après la divulgation des derniers travaux des chercheurs, la société britannique a publié un communiqué dans lequel elle affirme que ses serveurs ont été accédés frauduleusement, et que des "copies de démonstration" de FinSpy y avaient été dérobées.

Le lendemain, les serveurs situés à Singapour, en Indonésie, en Mongolie et à Brunei étaient désactivés, et celui de Barhein a été déménagé.

Dans cette affaire, outre Gamma lui-même, le rôle des éditeurs de systèmes d'exploitation mobile est également sujet à suspicions.

Interrogé par Bloomberg, Microsoft affirme que les dernières versions de son Windows Phone ne permettent pas l'installation non-autorisée de logiciels tiers, et rappelle qu'il est fortement déconseillé de cliquer sur les liens reçus par SMS ou par mail lorsqu'ils sont de source inconnue. De même pour RIM, le fabricant des BlackBerry, et pour Nokia, qui qui rappellent que leur système demande l'autorisation avant d'installer un logiciel. 

En revanche, Google et Apple ont tous les deux refusé de livrer des commentaires. Les travaux des chercheurs montrent qu'un certificat de développeur délivré par Apple au nom du directeur de Gamma Group a été utilisé pour compiler l'application qui sert de spyware sur iOS, sans qu'il soit possible d'en conclure qu'Apple avait connaissance de l'exploitation faite de ce certificat.