Lors des audiences, ce La semaine dernière, le célèbre groupe NSO, fournisseur de logiciels espions, a déclaré aux législateurs européens qu’au moins cinq pays de l’UE avaient utilisé son puissant logiciel malveillant de surveillance Pegasus. Mais alors que de plus en plus de choses sont révélées sur la réalité de la façon dont les produits de NSO ont été abusés dans le monde, les chercheurs s’efforcent également de faire prendre conscience que l’industrie de la surveillance pour compte d’autrui va bien au-delà d’une seule entreprise. Jeudi, le groupe d’analyse des menaces de Google et l’équipe d’analyse des vulnérabilités de Project Zero ont publié des conclusions sur la version iOS d’un logiciel espion attribué au développeur italien RCS Labs.
Les chercheurs de Google affirment avoir détecté des victimes du logiciel espion en Italie et au Kazakhstan sur les appareils Android et iOS. La semaine dernière, la société de sécurité Lookout a publié des conclusions sur la version Android du logiciel espion, qu’elle appelle “Hermit” et attribue également à RCS Labs. Lookout note que des responsables italiens ont utilisé une version du logiciel espion lors d’une enquête anti-corruption en 2019. En plus des victimes situées en Italie et au Kazakhstan, Lookout a également trouvé des données indiquant qu’une entité non identifiée a utilisé le logiciel espion pour cibler le nord-est de la Syrie.
“Google suit les activités des fournisseurs de logiciels espions commerciaux depuis des années, et pendant cette période, nous avons vu l’industrie passer rapidement de quelques fournisseurs à un écosystème entier”, a déclaré à WIRED Clement Lecigne, ingénieur en sécurité chez TAG. « Ces fournisseurs permettent la prolifération d’outils de piratage dangereux, armant les gouvernements qui ne seraient pas en mesure de développer ces capacités en interne. Mais il y a peu ou pas de transparence dans ce secteur, c’est pourquoi il est essentiel de partager des informations sur ces fournisseurs et leurs capacités. »
TAG indique qu’il suit actuellement plus de 30 fabricants de logiciels espions qui offrent un éventail de capacités techniques et de niveaux de sophistication aux clients soutenus par le gouvernement.
Dans leur analyse de la version iOS, les chercheurs de Google ont découvert que les attaquants distribuaient le logiciel espion iOS à l’aide d’une fausse application censée ressembler à l’application My Vodafone du célèbre opérateur de téléphonie mobile international. Dans les attaques Android et iOS, les attaquants peuvent avoir simplement amené les cibles à télécharger ce qui semblait être une application de messagerie en distribuant un lien malveillant sur lequel les victimes pouvaient cliquer. Mais dans certains cas particulièrement dramatiques de ciblage iOS, Google a découvert que les attaquants travaillaient peut-être avec des FAI locaux pour couper la connexion de données mobiles d’un utilisateur spécifique, lui envoyer un lien de téléchargement malveillant par SMS et le convaincre d’installer la fausse application My Vodafone. via Wi-Fi avec la promesse que cela rétablirait leur service cellulaire.
Les attaquants ont pu distribuer l’application malveillante parce que RCS Labs s’était enregistré auprès du programme de développement d’entreprise d’Apple, apparemment par l’intermédiaire d’une société écran appelée 3-1 Mobile SRL, pour obtenir un certificat qui leur permet de télécharger des applications sans passer par le processus d’examen typique de l’AppStore d’Apple.
Apple indique à WIRED que tous les comptes et certificats connus associés à la campagne de logiciels espions ont été révoqués.
“Les certificats d’entreprise sont destinés uniquement à un usage interne par une entreprise et ne sont pas destinés à la distribution générale d’applications, car ils peuvent être utilisés pour contourner les protections de l’App Store et d’iOS”, a écrit la société dans un rapport d’octobre sur le chargement latéral. “Malgré les contrôles stricts et l’échelle limitée du programme, des acteurs malveillants ont trouvé des moyens non autorisés d’y accéder, par exemple en achetant des certificats d’entreprise sur le marché noir.”