Google a conclu qu’une seule et même entreprise se trouvait derrière l’exploitation de cinq failles cachées dans Chrome et Android, repérées en 2021. Et l’entreprise a décidé de la nommer publiquement.

C’est en quelque sorte l’équivalent du « Name and shame », mais appliqué au numérique. Dans un billet de blog publié le 19 mai, Google a publiquement lié l’utilisation de cinq failles de sécurité à une seule et même entreprise : Cytrox. Son nom est encore très confidentiel, mais elle a été au centre de l’actualité, après une affaire d’espionnage informatique.

C’était en décembre 2021. Après le logiciel espion Pegasus, on découvrait un autre outil malveillant, surnommé Predator. Le malware s’avère redoutable, car il est en mesure d’infecter des smartphones Android et des iPhone en utilisant un simple lien transmis via WhatsApp. Derrière Predator se trouve Cytrox, une entreprise née en Macédoine du Nord.

Cytrox est associé à une alliance de sociétés désireuses de concurrencer NSO Group (qui est à l’origine de Pegasus) dans le secteur de l’espionnage numérique. Le nom de ce collectif ? Intellexa. Il y aurait huit entreprises partenaires, dont Cytrox. Selon Gizmodo, Cytrox est une filiale de WiSpear, une société décrite comme experte dans l’interception sans fil (en l’espèce, le Wi-Fi).

Google Play Store Android
L’une de ces failles se trouvait dans Android. // Source : Louise Audry pour Numerama — photo retouchée

C’est l’équipe TAG (Threat Analysis Group) qui s’est chargée, au nom de la firme de Mountain View, de procéder à cette attribution, qui a été faite avec un haut niveau de confiance, selon Clement Lecigne et Christian Resell, membres du TAG. Le rôle du TAG est de contrer les menaces soutenues en secret par des États, dans le cadre d’actions d’espionnage ou de piratage.

Ce travail a d’ailleurs été mené en coopération avec un autre groupe spécialisé, le Projet Zéro, dont la mission est de déceler des failles critiques dites 0-day, car elles ne sont pas documentées ou inconnues. Le Projet Zéro a apporté un appui technique au TAG, car les cinq vulnérabilités en cause sont justement des brèches de type 0-day.

Cinq failles secrètes utilisées dans trois campagnes offensives

En l’espèce, ces cinq failles de sécurité se trouvaient dans le navigateur Google Chrome pour quatre d’entre elles et dans le système d’exploitation Android pour la dernière. Elles ont été exploitées à travers trois campagnes distinctes. Toutes ces fragilités ont depuis été réglées par les équipes chargées du développement de l’O.S. mobile et du navigateur.

La première campagne, détectée en août 2021, passait par Chrome sur un Samsung Galaxy S21. Les assaillants forçaient l’utilisation du navigateur de Samsung, qui reposait sur une version plus ancienne et vulnérable de Chromium, faute de pouvoir attaquer Chrome directement. La technique passait par des redirections d’URL, sans que l’internaute ne se doute de rien.

La deuxième campagne a utilisé deux brèches afin de sortir de la « sandbox » de Chrome, c’est-à-dire d’un espace compartimenté pour éviter justement des soucis débordant hors du navigateur. La technique mobilisait un Samsung Galaxy S10 et, une fois hors de la sandbox, l’outil malveillant allait en chercher un autre sur le net afin d’élever les droits d’utilisation sur le terminal.

Quant à la dernière campagne, elle a utilisé deux failles secrètes depuis un mobile Samsung à jour exécutant la dernière version de Chrome. Elle a profité d’une vieille faille du noyau Linux, qui a été certes corrigée, mais dont la résolution n’a pas été déployée rétrospectivement dans la plupart des noyaux Android. Au moment de l’exploit, tous les noyaux Samsung étaient vulnérables.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.