Des mois durant, un spyware gouvernemental a pu infiltrer WhatsApp sans interaction utilisateur pour intercepter des communications privées.
WhatsApp a confirmé avoir colmaté une brèche critique exploitée par un spyware gouvernemental. Pendant plusieurs mois, une faille zero-day a permis à Graphite, outil de surveillance développé par la société Paragon Solutions récemment rachetée par un groupe américain, d’infiltrer des smartphones Android sans aucune interaction requise de la part des victimes. Derrière cette campagne, plusieurs États désireux de surveiller journalistes, militants et membres de la société civile. Alertée par les chercheurs de Citizen Lab, la messagerie instantanée a corrigé la vulnérabilité en fin d’année dernière et prévenu les personnes concernées.
Graphite, le spyware capable d’infecter un appareil sans clic
Pour compromettre un smartphone, il suffisait d’un fichier PDF vérolé. Dans le détail, les attaquants ajoutaient leurs cibles à un groupe WhatsApp avant de leur envoyer un document piégé. À réception, le fichier exploitait alors une faille dans le traitement automatique des pièces jointes par l’application, et déclenchait l’installation immédiate du spyware Graphite. Aucun clic requis, aucun signe visible sur l’appareil. Une fois activé, le spyware contournait les protections d’Android, accédait aux autres applications et interceptait les messages privés.
WhatsApp a précisé avoir neutralisé l’attaque après l’intervention de Citizen Lab, qui a pu remonter la chaîne technique du spyware et identifier plusieurs infrastructures liées à Paragon. Les équipes de la messagerie ont réagi en désactivant la vulnérabilité à distance, avant qu’elle ne soit plus largement exploitée, sans nécessiter de mise à jour côté utilisateur. Environ 90 victimes potentielles, répartis dans plus de vingt pays, ont été directement averties du risque d’infection.
Paragon, un acteur controversé de la surveillance numérique
Derrière Graphite, on retrouve Paragon Solutions, une société israélienne fondée en 2019 par Ehud Barak, ancien Premier ministre, et Ehud Schneorson, ex-commandant de l’unité 8200 spécialisée dans le renseignement cyber, rachetée fin 2024 par le groupe américain de capital-investissement AE Industrial Partners. Contrairement à NSO Group (Pegasus), Paragon revendique un positionnement plus encadré, affirmant ne vendre ses outils qu’à des gouvernements démocratiques engagés dans la lutte contre le crime organisé et le terrorisme.
Les recherches de Citizen Lab ont révélé des liens possibles avec plusieurs États, dont l’Australie, le Canada, le Danemark et Israël, illustrant l’ampleur de l’adoption probable du spyware par les gouvernements occidentaux. En analysant les infrastructures de Graphite, les chercheurs ont identifié 150 certificats numériques et cartographié un réseau de serveurs cloud et d’adresses IP dédiés au déploiement de l’outil.
Des découvertes qui s’ajoutent aux précédentes révélations du New York Times (2022) et de Wired (2024), qui ont montré que Graphite avait été utilisé par des agences américaines comme la DEA et l’ICE dans des opérations de surveillance.
Source : BleepingComputer
27 février 2025 à 08h45
