Un nouveau logiciel espion israélien, mis au point par l'entreprise QuaDream, vient d'être découvert par des chercheurs qui le comparent au sulfureux Pegasus de NSO Group.
Moins de deux ans après la révélation au grand public du scandale Pegasus, ce logiciel espion capable « sans clic » d'épier vos faits et gestes au travers de votre smartphone, un nouveau programme également de conception israélienne a été utilisé pour mener des missions d'espionnage à l'encontre de journalistes et de personnalités politiques. C'est ce que révèle le laboratoire canadien CitizenLab à la suite de sa collaboration avec la division d'étude de la menace cyber de Microsoft.
Qui est ciblé ?
Le logiciel en question (CitizenLab parle de « Reign ») circule depuis le début de l'année dernière. Comme Pegasus, il aurait la capacité de prendre le contrôle d'un smartphone à l'aide d'un procédé sans clic. Il n'est en tout cas pas le seul à être utilisé. Microsoft et CitizenLab ont déjà identifié cinq victimes des logiciels espions de QuaDream en Europe, en Amérique du Nord, en Asie centrale, en Asie du Sud-Est et au Moyen-Orient.
Parmi les personnes ciblées, on retrouve des personnalités politiques d'opposition, des journalistes et un employé rattaché à une ONG. Leur identité a pour le moment été préservée.
L'entreprise derrière ce nouveau logiciel se nomme QuaDream Ldt. De droit israélien, elle est spécialisée dans le développement et la vente de technologies numériques dites « offensives », pour le compte de clients gouvernementaux.
L'exploit (qui se présente ici sous la forme d'un logiciel) a été déployé par QuaDream en tant que zero-day contre les versions 14.4 et 14.4.2 d'iOS (et il y en aurait certainement d'autres, à en croire les chercheurs cyber). La faille de sécurité, qui n'était par définition pas encore connue jusque-là, utilise des invitations de calendrier iCloud pour infecter l'iPhone tournant sous l'une des versions d'iOS précitées.
Quelles sont les capacités de ce nouveau logiciel espion ?
Les chercheurs ont débusqué deux échantillons de logiciels espions attribués à QuaDream et sévissant sur iOS. Le premier est un téléchargeur qui permet d'exfiltrer les données de l'appareil, et le second permet de télécharger, puis d'exécuter une charge utile supplémentaire, c'est-à-dire un logiciel espion.
En analysant de plus près l'échantillon 2, les spécialistes cyber ont pu lister les fonctionnalités du logiciel espion, ou tout du moins certaines d'entre elles. Parmi elles, on retrouve :
- l'enregistrement des appels téléphoniques ;
- l'enregistrement de ce que l'utilisateur dit dans le microphone (par exemple lors d'une commande vocale ou lors de l'envoi d'un message audio) ;
- le vol des images et vidéos prises à l'aide du téléphone ;
- la possibilité de réaliser des captures de ce que voit l'utilisateur sur son écran ;
- le suivi de la géolocalisation ;
- la recherche de fichier spécifique ;
- l'accès aux données stockées dans le Cloud avec la capacité de masquer sa trace ;
- un détournement du mécanisme qui permet de générer des codes d'authentification à deux facteurs valides, etc.
QuaDream, des liens étroits avec NSO, le créateur de Pegasus ?
De ce que l'on sait, QuaDream a déjà vendu certains programmes à des États comme l'Arabie saoudite, Singapour, le Mexique, ou encore le Ghana tout en proposant ses services et en démarchant du côté du Maroc et de l'Indonésie. Plus précisément, les opérateurs QuaDream seraient situés en Hongrie, en Roumanie, en Bulgarie, en République tchèque, en Israël, aux Émirats arabes unis et en Ouzbékistan, entre autres.
QuaDream semble apprécier la discrétion, puisque jusqu'à maintenant, les informations au sujet de ses employés demeurent très peu nombreuses. Cependant, deux des cofondateurs de QuaDream (et au moins temporairement ex-actionnaires de cette entreprise) auraient auparavant travaillé pour le groupe NSO, la société israélienne qui a développé Pegasus. Le monde est petit.
Le groupe Meta (maison mère de Facebook, Instagram et WhatsApp) a indiqué en décembre dernier avoir détecté une activité provenant de QuaDream et visant 250 comptes. Ces derniers utilisaient apparemment les capacités de logiciel espion de la firme israélienne sur iOS et Android.
Sources : CitizenLab, Le Monde