Création : @smoytoo for @servicesmobiles
Des experts en sécurité dans le Guardian ont mis en garde contre l’émergence de logiciels espions jusque-là inconnus avec des capacités de piratage comparables au Pegasus du groupe NSO qui a déjà été utilisé par les clients pour cibler les journalistes, les personnalités de l’opposition politique et un employé d’une ONG.
Des chercheurs du Citizen Lab de la Munk School de l’Université de Toronto ont déclaré que le logiciel espion, qui est fabriqué par une société israélienne appelée QuaDream, a infecté les téléphones de certaines victimes en envoyant une invitation de calendrier iCloud aux utilisateurs mobiles des opérateurs du logiciel espion, qui sont sensibles d’être des clients du gouvernement. Les victimes n’ont pas été informées des invitations au calendrier, car elles ont été envoyées pour des événements enregistrés dans le passé, ce qui les rend invisibles pour les cibles du piratage. Ces attaques sont connues sous le nom de “zéro-clic”, car les utilisateurs du téléphone mobile n’ont pas à cliquer sur un lien malveillant ou à entreprendre une quelque action pour être infectés. Selon le rapport du Citizen Lab, l’outil de piratage est commercialisé par QuaDream sous le nom de Reign. Les attaques de piratage qui ont été découvertes se sont produites entre 2019 et 2021.
La menace posée par un piratage similaire et hautainement sophistiqué ne cessent de proliférer dans ce type d’outil. Comme avec Pegasus de NSO, un téléphone infecté par Reign par un client QuaDream peut enregistrer des conversations qui se produisent à proximité du téléphone en contrôlant l’enregistreur du téléphone, lire des messages sur des applications cryptées, écouter des conversations téléphoniques et suivre l’emplacement d’un utilisateur, selon Laboratoire citoyen. Les chercheurs ont découvert que Reign peut également être utilisé pour générer des codes d’authentification à deux facteurs sur un iPhone afin d’infiltrer le compte iCloud d’un utilisateur, permettant à l’opérateur de logiciels espions d’exfiltrer des données directement depuis l’iCloud de l’utilisateur.
Un expert en cybersécurité de ESET déclare au sujet de cette attaque : “Les techniques d’espionnage sont de plus en plus invasives et évoluées, rendant la protection des personnes détenant des informations sensibles compliquées. En revanche, le facteur limitant de leur déploiement est leur prix, restreignant leu usage aux États-nations. La puissance des logiciels tels que Pegasus et Candiru, ne doit jamais être sous-estimée, car leur présence sur un téléphone peut mettre à nu toute une vie privée ou professionnelle. Leur méthode de diffusion discrète passe sous les radars, ce qui leur permet de surveiller longtemps les personnes ciblées. Il est extrêmement important que les victimes potentielles protègent leurs identités (numéro de téléphone et coordonnées email) et les changent immédiatement en cas de fuite. Il est également impératif qu’elles réduisent au minimum le nombre d’applications installées sur leur téléphone et qu’elles appliquent les dernières mises à jour de sécurité. Le recours à des professionnels est encouragé, même (et surtout) pour protéger des appareils personnels.”
Les nouvelles révélations marquent un nouveau coup dur pour Apple, qui a commercialisé ses dispositifs de sécurité parmi les meilleurs au monde. Maintenant, Reign semble être une menace nouvelle et puissante pour l’intégrité des téléphones portables de l’entreprise. Dans une déclaration au Guardian, Apple a déclaré qu’il “améliorait constamment la sécurité d’iOS” et que rien n’indiquait que l’exploit de QuaDream avait été utilisé depuis 2021. La société a déclaré que les attaques parrainées par l’État, comme celles décriées dans le rapport de Citizen Lab, ont coûté des millions à développer, ont une courte durée de vie et sont utilisées pour cibler des individus spécifiques “en raison de qui ils sont ou de ce qu’ils font”. La grande majorité des utilisateurs d’iPhone ne seront jamais victimes de cyberattaques très ciblées et Apple travaille sans relâche pour protéger le petit nombre d’utilisateurs qui sont ciblés.
Le nom de la société a été brièvement référencé dans un rapport de sécurité de décembre 2022 publié par Meta, la société mère de Facebook, qui a dérivé QuaDream comme une société basée en Israël fondée par d’anciens employés de NSO. À l’époque, Meta a déclaré qu’il avait supprimé 250 comptes sur Facebook et Instagram qui étaient liés à QuaDream et qu’il pensait que les comptes étaient utilisés pour tester les capacités du fabricant de logiciels espions à l’aide de faux comptes, y compris l’exécution de données telles que des messages, des images, des vidéos et fichiers audio.
Les sociétés de logiciels espions soutiennent depuis longtemps qu’elles vendent des technologies de haute puissance pour aider les gouvernements à contrecarrer les menaces à la sécurité nationale. Mais des groupes de défense des droits humains et des journalistes ont documenté à plusieurs reprises l’utilisation de logiciels espions pour attaquer une société civile, saper l’opposition politique et interférer avec les élections.