Les logiciels espions commerciaux L’industrie est de plus en plus critiquée pour avoir vendu de puissants outils de surveillance à quiconque peut payer, des gouvernements aux criminels du monde entier. Dans toute l’Union européenne, des détails sur la façon dont les logiciels espions ont été utilisés pour cibler des militants, des chefs de l’opposition, des avocats et des journalistes dans plusieurs pays ont récemment déclenché des scandales et des appels à la réforme. Aujourd’hui, le groupe d’analyse des menaces de Google a annoncé une action pour bloquer l’un de ces outils de piratage ciblant les ordinateurs de bureau et apparemment développé par une entreprise espagnole.
Le cadre d’exploitation, surnommé Heliconia, a attiré l’attention de Google après une série de soumissions anonymes au programme de rapport de bogues Chrome. Les divulgations ont mis en évidence des vulnérabilités exploitables dans Chrome, Windows Defender et Firefox qui pourraient être exploitées pour déployer des logiciels espions sur des appareils cibles, y compris des ordinateurs Windows et Linux. La soumission comprenait le code source du cadre de piratage Heliconia et appelait les vulnérabilités Heliconia Noise, Heliconia Soft et Files. Google affirme que les preuves indiquent que la société technologique basée à Barcelone Variston IT est le développeur du cadre de piratage.
“Les résultats indiquent que nous avons de nombreux petits acteurs dans l’industrie des logiciels espions, mais avec de fortes capacités liées aux jours zéro”, ont déclaré les chercheurs du TAG à WIRED, faisant référence à des vulnérabilités inconnues et non corrigées.
Variston IT n’a pas répondu à une demande de commentaire de WIRED. Le directeur de la société, Ralf Wegner, a déclaré à TechCrunch que Variston n’avait pas eu la possibilité d’examiner les recherches de Google et n’avait pas pu les valider. Il a ajouté qu’il “serait surpris si un tel objet était trouvé dans la nature”. Google a confirmé que les chercheurs n’avaient pas contacté Variston IT avant la publication, comme c’est la pratique courante de l’entreprise dans ce type d’enquêtes.
Google, Microsoft et Mozilla ont corrigé les vulnérabilités d’Heliconia en 2021 et 2022, et Google affirme n’avoir détecté aucune exploitation actuelle des bogues. Mais les preuves dans les soumissions de bogues indiquent que le cadre était probablement utilisé pour exploiter les failles à partir de 2018 et 2019, bien avant qu’elles ne soient corrigées. Heliconia Noise a exploité une vulnérabilité du moteur de rendu Chrome et une évasion du bac à sable, tandis qu’Heliconia Soft a utilisé un PDF malveillant associé à un exploit Windows Defender, et Files a déployé un groupe d’exploits Firefox pour Windows et Linux. TAG a collaboré à la recherche avec des membres du groupe de recherche de bogues Project Zero de Google et l’équipe de sécurité Chrome V8.
Le fait que Google ne voit pas de preuves actuelles d’exploitation peut signifier que le framework Heliconia est désormais inactif, mais cela peut également indiquer que l’outil de piratage a évolué. “Il se peut qu’il y ait d’autres exploits, un nouveau cadre, leurs exploits n’ont pas traversé nos systèmes, ou il existe maintenant d’autres couches pour protéger leurs exploits”, ont déclaré les chercheurs du TAG à WIRED.
En fin de compte, le groupe affirme que son objectif avec ce type de recherche est de faire la lumière sur les méthodes, les capacités techniques et les abus de l’industrie commerciale des logiciels espions. TAG a créé des détections pour le service de navigation sécurisée de Google afin d’avertir des sites et fichiers liés à Heliconia, et les chercheurs soulignent qu’il est toujours important de maintenir les logiciels à jour.
“La croissance de l’industrie des logiciels espions met les utilisateurs en danger et rend Internet moins sûr”, a écrit TAG dans un article de blog sur les résultats. “Et bien que la technologie de surveillance puisse être légale en vertu des lois nationales ou internationales, elle est souvent utilisée de manière nuisible pour mener un espionnage numérique contre un éventail de groupes.”