« Les armes que nous avons désactivées étaient utilisées dans des attaques de précision qui ont ciblé plus de 100 victimes autour du monde », écrit Cristin Goodwin, directrice générale de la Digital Security Unit de Microsoft. À l’occasion de son patch Tuesday du 12 juillet, l’éditeur de Windows a corrigé deux failles dites « zero-day » — c’est-à-dire inconnues auparavant — exploitées par un « acteur offensif » qu’il surnomme « Sourgum ». Les chercheurs du Citizen Lab, qui ont grandement participé à cette découverte, affirment que Sourgum n’est autre que le vendeur d’outils de hacking israélien Candiru.
Les deux vulnérabilités étaient autant de points de départ d’une chaîne d’attaque à plusieurs maillons, destinée à déployer un logiciel espion qui n’avait pas encore été analysé jusqu’ici, nommé « DevilsTongue » (la langue du démon, en français) par Microsoft. Comme tout bon logiciel espion, DevilsTongue permet entre autres de dérober des fichiers, de voler des identifiants (et des cookies de session) afin de saisir les comptes de la victime, ou encore de lire les messages reçus sur pratiquement toutes les applications. En plus d’être un parfait couteau suisse pour l’espionnage, le malware a été construit de sorte à éviter la grande majorité des mesures de détection de Windows. « Les développeurs sont très professionnels, et ont une expérience approfondie de l’écriture de malware Windows, couplée à une bonne compréhension de la sécurité opérationnelle », avertit l’éditeur.
Microsoft parle du dispositif comme d’une « cyberarme », un terme emprunté au vocabulaire militaire, mais bon nombre d’experts préfèrent garder l’expression « logiciel de surveillance ». Pour cause : les victimes du logiciel espion sont des civils, espionnés par les gouvernements clients de Candiru. Ce sont des politiciens, des défenseurs des droits de l’Homme, des journalistes, des chercheurs académiques, des employés d’ambassade ou encore des opposants politiques.
L’activité de Candiru, créé en 2014, rappelle celle de son homologue et compatriote NSO Group, dont le logiciel espion Pegasus a été utilisé pour préméditer le meurtre du journaliste saoudien Jamal Kashoggi. Ces entreprises prétendent que l’utilisation de leur technologie se limite à la lutte antiterroriste ou à l’arrestation de criminels. Mais il a été prouvé maintes fois que ces technologies de surveillance avancée sont utilisées avant tout pour des opérations de répression et de censure pilotées par des gouvernements.
Microsoft, Google et un laboratoire de pointe mobilisés pour désamorcer l’opération
Pour repérer et corriger les deux vulnérabilités, Microsoft a pu compter sur l’aide des chercheurs du Citizen Lab, une unité de recherche de l’Université de Toronto, à la pointe sur le sujet de la surveillance. Les scientifiques ont identifié une première victime du spyware, « politiquement active en Europe de l’Ouest », qui a accepté de collaborer. Cette personne a fourni sa machine infectée aux ingénieurs de Windows, qui ont pu décortiquer le malware pour remonter à son mode de fonctionnement, une méthode connue sous le terme de rétro-ingénierie. À partir de là, Microsoft a pu retrouver des traces du malware chez une centaine de victimes, situées pour moitié en Palestine, mais aussi en Israël, au Royaume-Uni, en Espagne, en Turquie, en Arménie, à Singapour ou encore au Liban, en Iran et au Yémen.
En 7 ans d’existence, Candiru a changé plusieurs fois de nom, et si son activité était connue, ses capacités réelles ne l’étaient pas. L’entreprise affirme qu’elle peut surveiller les ordinateurs que ce soient des PC ou des Mac, mais aussi les smartphones Android comme iOS. D’ailleurs, les failles de Windows ne sont pas les seules à avoir été découvertes : deux zero-days de Google Chrome et une d’Internet Explorer étaient également exploitées par Candiru. Toutes ses vulnérabilités ont été corrigées, mais d’après le Citizen Lab, l’entreprise israélienne a un arsenal bien plus important, encore inconnu.
Un malware de précision à plusieurs millions de dollars
Les opérateurs de DevilsTongue tentaient d’attirer les victimes sur des sites piégés pour profiter de cet attirail de vulnérabilités dont eux seuls connaissaient l’existence. En tout, les chercheurs ont recensé 750 domaines destinés à déployer le logiciel espion, qui imitaient des entités susceptibles d’intéresser les cibles du malware : Amnesty International, Black Lives Matter ou encore divers médias. Une fois l’opération réussie, les hackers pouvaient facilement gagner un accès administrateur au système : autrement dit, ils s’octroyaient le pouvoir de faire et de modifier ce qu’ils voulaient.
Le prix de DevilsTongue est plus l’instant inconnu, mais The Register rappelle celui de son concurrent Pegasus, une fois de plus dévoilé par le Citizen Lab : pas moins de 20 millions de dollars pour s’offrir des tentatives illimitées d’injection du malware. En revanche, pour ce montant, l’acheteur ne pourra suivre que 10 appareils en même temps, et dans un seul pays. Il lui faudra ajouter 1,8 million de dollars pour en suivre 15 de plus, et pas moins de 6,5 millions pour traquer 25 machines dans plus de 5 pays en simultané.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.