Le groupe d’analyse des menaces piloté par la firme de Mountain View a exhorté les gouvernements à prendre les mesures nécessaires contre les entreprises de la surveillance qui permettent à leurs clients d’abuser de spywares en toute impunité.
Début février, Google a publié un rapport pointant l’augmentation des spywares commerciaux, et fustigeant les entreprises de la surveillance, que la firme présente comme une menace à l’encontre de la liberté de la presse, de la libre expression et de la neutralité d’Internet. L’étude, menée par le Threat Analysis Group (TAG) de la multinationale, révèle également que ces logiciels espions sont principalement développés en Europe pour le compte des gouvernements, et responsables de l’exploitation de plus de la moitié des failles 0-day découvertes dans les écosystèmes Google et Android.
Des exploits zero-day à destination des produits des Big Tech
Dans un rapport public intitulé « Buying Spyware : un rapport approfondi sur les éditeurs de logiciels de surveillance », le groupe d’analyse des menaces de Google (TAG) a révélé avoir étudié de près les pratiques d’une quarantaine d’entreprises spécialisées dans la commercialisation de logiciels de surveillance (Commercial Surveillance Vendors, CSV). On y apprend notamment qu’en marge d’entreprises de cybersécurité bien connues du grand public, comme NSO group, il existe des dizaines de CSV plus confidentiels, mais jouant un rôle tout aussi important dans le développement et la vente de spywares. C’est par exemple le cas Variston, startup barcelonaise extrêmement discrète sur son profil et ses activités, responsable de l’exploitation de quatre vulnérabilités zero-day sur des produits Google (dont Android), mais également d’une faille sur Firefox et trois failles sur des services Apple (WebKit et iOS).
Au total, depuis 2014, le TAG a repéré 72 exploits zero-day dans des produits et services Google, dont 35 ont été commercialisés par les CSV. Rien que pour l’année 2023, 20 des 24 vulnérabilités activement exploitées l’ont été grâce aux outils développés par ces éditeurs de logiciels de surveillance. Des chiffres qui témoignent seulement de la partie émergée de l’iceberg, selon la firme de Mountain View, dans la mesure où le TAG a jugé bon de ne comptabiliser que les exploits dont il était certain de la paternité. Le nombre de vulnérabilités exploitées serait en réalité bien plus élevé, à la fois concernant les produits Google, mais aussi d’autres entreprises comme Apple ou Mozilla.
Un risque majeur pour les libertés individuelles et collectives
Si l’on peut comprendre l’agacement de Google vis-à-vis des CSV permettant d’exploiter des failles critiques sur ses produits et services, les pratiques des éditeurs de logiciels espions soulèvent des enjeux autrement plus sérieux concernant les dérives de la surveillance individuelle vers une surveillance de masse.
Toujours dans son rapport, le TAG insiste sur le fait que les technologies développées par les CSV, et commercialisées auprès des gouvernements à travers le monde sous couvert de lutte contre la criminalité et le terrorisme, sont de plus en plus utilisées pour traquer celles et ceux que Google nomme les « profils à haut risque », à savoir les journalistes, opposants et opposantes politiques, défenseurs et défenseuses des droits humains. Des mécanismes mortifères pour la prise de parole et l’engagement publics de ces utilisateurs et utilisatrices, au rôle essentiel dans la préservation des démocraties. En clair, la prolifération des outils de surveillance et d’exploitation des vulnérabilités zero-day menace sérieusement la liberté de la presse, la libre expression et la neutralité du web, à plus forte raison quand ces logiciels sont massivement fournis par des entreprises privées aux États, et indétectables par les antivirus.
Plus grave encore : la propension des CSV à développer des exploits sur des produits et appareils grand public, comme Android ou iOS, esquisse les contours d’une surveillance de masse insidieuse contre laquelle Google entend bien lutter. Outre l’ensemble de mesures prises par le géant du web (déploiement régulier de patchs de sécurité, partage des stratégies de renseignement et des correctifs avec ses concurrents, communication active concernant les opérations perturbées, programme de récompenses VRP, etc.), Google a enjoint les gouvernements à prendre la menace à organiser une action collective et un effort international concerté pour endiguer efficacement la menace que représente le marché des logiciels espions.
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Source : Google