Les exploits technologiques de l'entreprise en difficulté sont « assez incroyables » et « assez terrifiants », déclarent les analystes de la sécurité ; les utilisateurs sont « passifs, n'ont pas à cliquer sur quoi que ce soit, n'ont aucun contrôle »

La technologie de logiciel espion "intelligente" de NSO offre une cyberarme "contre laquelle il n'y a pas de défense" et constitue "un excellent travail, du point de vue de l'ingénierie", ont déclaré cette semaine des experts et des chercheurs en cybersécurité.

Le logiciel espion phare de la société israélienne, Pegasus, est considéré comme l'un des outils de cybersurveillance les plus puissants disponibles sur le marché, donnant aux opérateurs la possibilité de prendre efficacement le contrôle total du téléphone d'une cible, de télécharger toutes les données de l'appareil ou d'activer sa caméra ou microphone à l'insu de l'utilisateur. L'entreprise a de nouveau fait la une des journaux ces dernières semaines alors que les révélations sur la portée de sa technologie et les conséquences continuent de s'accumuler.

Dans une plongée technique approfondie sur le fonctionnement du logiciel espion, les chercheurs en cybersécurité Ian Beer et Samuel Groß ont déclaré que NSO avait développé des capacités qui utilisent « l'un des exploits les plus techniquement sophistiqués que nous ayons jamais vus », et auraient pensé auparavant que ceux-ci seraient « accessibles à seulement une poignée d'États-nations.

Beer et Groß sont des experts en cybersécurité de Google Project Zero, l'équipe d'analystes de sécurité de l'entreprise chargée de trouver des vulnérabilités zero-day, des points de faille potentiels dans les logiciels qui peuvent être inconnus des développeurs et pour lesquels un correctif n'a pas encore été développé. Ces failles de sécurité peuvent être exploitées par des pirates lors d'une cyberattaque.

Leur analyse couvrait spécifiquement les capacités de NSO contre les iPhones, pour lesquelles Apple a déposé une plainte contre la société basée à Herzliya. Mais NSO a des capacités similaires sans clic qui peuvent également cibler les appareils Android, ont déclaré les chercheurs.

NSO offrait à ses clients une "technologie d'exploitation sans clic" où les cibles, même très averties techniquement, ignorent totalement qu'elles sont ciblées, ont déclaré Beer et Groß. Il s'agit essentiellement d'une cyber "arme contre laquelle il n'y a aucune défense", ont-ils ajouté.

« Dans le scénario zéro clic, aucune interaction de l'utilisateur n'est requise, ce qui signifie que l'attaquant n'a pas besoin d'envoyer des messages de phishing ; l'exploit fonctionne silencieusement en arrière-plan », ont écrit Beer et Groß.

La brèche commence au moment où une cible reçoit un message texte, qu'elle le voie ou non, dans un exploit que Beer and Groß a qualifié de "assez incroyable et en même temps assez terrifiant".

Un logo orne le mur d'une succursale de la société israélienne NSO Group, près de la ville de Sapir, dans le sud d'Israël, le 24 août 2021. (AP/Sebastian Scheiner) Dans un exploit sans clic, « l'utilisateur est totalement passif, il n'ont pas à cliquer sur quoi que ce soit, ils n'ont aucun contrôle », a déclaré Gili Moller, directeur général en Israël de la multinationale suisse de cybersécurité Acronis. La société de cyberprotection a récemment ouvert un centre d'innovation en Israël, où l'industrie locale était l'un des trois principaux secteurs d'investissement mondiaux cette année.

Moller a déclaré à The bbabo.net cette semaine que l'exploit, tel que NSO l'avait conçu, était "un excellent travail, du point de vue de l'ingénierie". La faille concernait la façon dont Apple a analysé (ou traité) les images.jpg - les petites images animées populaires sur les réseaux sociaux et dans la culture meme - envoyées et reçues via iMessage, la plate-forme de messagerie native des iPhones.

Sauf que NSO a utilisé un exploit de "faux.jpg", déguisant un PDF en fichier.jpg et lui injectant du code pour exécuter la brèche sur le téléphone de la cible.

Les développeurs d'Apple avaient essentiellement réutilisé un code d'analyse des fichiers PDF initialement écrit par Xerox, une pratique très courante, a déclaré Moller. Le logiciel espion de NSO a pu "cacher un code au niveau du pixel afin que, lorsque le message texte est reçu, un code soit activé et son jeu se termine en quelque sorte".

« C'est un peu comme de la science-fiction. La cible n'a rien fait, tout ce qu'elle a fait, c'est recevoir un message, et l'attaquant prend le contrôle total », a expliqué Muller.

Trouver de telles vulnérabilités est très difficile et implique un travail long et difficile, a-t-il ajouté.

L'exploit, a déclaré le consultant en sécurité Gabriel Avner, était une « attaque intelligente et bien menée » qui « sape les précautions que les gens peuvent prendre ».

« Les experts en sécurité disent depuis des lustres : « ne cliquez pas sur des liens suspects », même de la part de personnes que vous connaissez peut-être, mais NSO est venu avec un exploit sans clic, a déclaré Avner à The bbabo.net.

La société israélienne avait déjà utilisé des exploits en un clic, où les cibles devaient cliquer activement sur un lien dans le cadre d'une attaque de phishing, pour activer les puissants logiciels espions et les fonctions de contrôle de Pegasus sur un téléphone.

John Scott-Railton, chercheur principal à Citizen Lab, une organisation de surveillance de la cybersécurité à Toronto, a écrit sur Twitter cette semaine que l'analyse de Google a montré à quel point le logiciel espion était « extrêmement sophistiqué » et « dangereux ».

"Ce type de capacité n'était auparavant vu qu'avec des cyber-pouvoirs de premier plan. Cela devrait vous faire froid dans le dos », a-t-il écrit.

Un torrent de critiques

Citizen Lab mène des enquêtes sur NSO et d'autres sociétés de cybersurveillance depuis plusieurs années, traquant certaines de leurs technologies à travers le monde.

Cet été, Citizen Lab et Amnesty International ont dévoilé une enquête approfondie qui a révélé que le logiciel de l'entreprise avait été utilisé par de nombreux pays ayant de mauvais antécédents en matière de droits humains pour pirater les téléphones de milliers de militants des droits humains, de journalistes et de politiciens d'Arabie saoudite pour Mexique.

La plate-forme « Violence numérique : comment le groupe NSO permet-il le terrorisme d'État » qui détaille les opérations de la société israélienne NSO Group, dans le cadre d'une enquête menée en juillet 2021 par Amnesty International et Citizen Lab. (Autorisation) NSO a été confronté à un torrent de critiques internationales concernant ces allégations. La question est devenue une préoccupation diplomatique pour de nombreux alliés israéliens, comme la France, qui ont demandé des réponses après que des rapports eurent révélé que le logiciel était utilisé dans leur pays.

Début novembre, le département américain du Commerce a mis NSO sur sa liste noire, restreignant les liens de l'entreprise avec des entreprises américaines en raison d'allégations selon lesquelles il « aurait permis à des gouvernements étrangers de mener une répression transnationale ». Les États-Unis ont également mis sur liste noire une deuxième société israélienne, Candiru

Cette décision aurait joué un rôle en poussant enfin Israël à réduire considérablement le nombre de pays auxquels les entreprises locales peuvent vendre des cybertechnologies et à imposer de nouvelles restrictions à l'exportation d'outils de cyberguerre. Le ministère israélien de la Défense doit autoriser la vente des produits des sociétés de logiciels espions à l'étranger.

En attendant, les accusations n'ont cessé d'affluer. Rien que cette semaine, le Washington Post a rapporté que le logiciel espion Pegasus de NSO avait été placé sur le téléphone portable de l'épouse du journaliste Jamal Khashoggi des mois avant qu'il ne soit assassiné au consulat saoudien à Istanbul en 2018. Ce développement a été immédiatement précédé par des informations selon lesquelles le logiciel espion ciblait également Des politiciens de l'opposition polonaise et un militant indien.

La société israélienne a nié à plusieurs reprises que son logiciel espion avait été utilisé pour cibler Khashoggi ou ses proches, et a insisté sur le fait que ses produits étaient uniquement destinés à aider les pays à lutter contre la criminalité grave et le terrorisme. Cependant, en raison des définitions larges que certains de ses pays clients utilisent pour ces infractions, le logiciel semble avoir été utilisé contre un large éventail de chiffres.

Des gens tiennent des affiches du journaliste saoudien assassiné Jamal Khashoggi, près du consulat d'Arabie saoudite à Istanbul, marquant le deuxième anniversaire de sa mort, le 2 octobre 2020 (AP Photo/Emrah Gurel) risquait de faire défaut sur une dette d'environ 500 millions de dollars et sa cote de crédit en pâtissait, entraînant des problèmes de solvabilité au sein de l'entreprise.

NSO envisageait maintenant de fermer ses opérations Pegasus et de vendre l'ensemble de l'entreprise à un fonds d'investissement américain, a rapporté Bloomberg la semaine dernière, citant des responsables impliqués dans les pourparlers.

Pas seulement NSO

Tim Willis, responsable du Project Zero chez Google, a déclaré qu'il y avait "de nombreuses entreprises qui fournissent des capacités et des services d'exploitation similaires" et que "prendre des mesures contre une entreprise (NSO), bien que noble et favorise une discussion, ne s'attaque pas à la racine de ce problème.

« Le point à retenir ici n'est pas « l'exception de NSO ». C'est juste que NSO a été pris cette fois et nous avons un aperçu de la façon dont ils attaquent iOS/iMessage », a écrit Willis sur Twitter, ajoutant que « nous devons continuer à rendre le jour 0 de plus en plus difficile pour les attaquants ».

Moller, d'Acronis, a réitéré que NSO n'était en effet pas la seule entreprise dotée de capacités de cybersurveillance aussi offensives, mais qu'il y avait eu un « effet boule de neige sur NSO ».

Citizen Lab a révélé la semaine dernière dans une nouvelle enquête qu'une autre société israélienne, Cytrox, a également développé un logiciel espion commercial qui a récemment été trouvé sur un iPhone appartenant à un dissident égyptien. Le logiciel Predator de Cytrox a ciblé le système d'exploitation iOS d'Apple en utilisant des liens en un seul clic envoyés via WhatsApp (propriété de Facebook/Meta), selon les recherches de l'organisation. Facebook a poursuivi NSO Group en 2019 pour avoir prétendument violé son application de messagerie WhatsApp.

Illustration : WhatsApp sur un iPhone, 15 novembre 2018. (AP/Martin Meissner) Mais la plus grande découverte, dans une enquête menée conjointement par Citizen Lab avec Facebook/Meta, était que Cytrox avait des clients dans des pays autres que l'Égypte, notamment l'Arménie, la Grèce, Indonésie, Madagascar, Oman, Arabie saoudite et Serbie.

Meta a annoncé jeudi dernier une vague de suppressions de comptes affiliés à sept sociétés de surveillance - dont Cytrox et quatre autres sociétés israéliennes - et a notifié environ 50 000 personnes dans plus de 100 pays, dont des journalistes, des dissidents et des membres du clergé qui pourraient avoir été ciblés par eux. Il a déclaré avoir supprimé environ 300 comptes Facebook et Instagram liés à Cytrox, qui semble opérer depuis la Macédoine du Nord.Le chercheur de Citizen Lab, Bill Marzak, a déclaré à l'Associated Press que le malware Cytrox semble tirer les mêmes astuces que le produit Pegasus de NSO Group - en particulier, transformer un smartphone en un appareil d'écoute et siphonner ses données vitales. Un module capturé enregistre tous les aspects d'une conversation en direct, a-t-il déclaré.

Cytrox faisait partie d'une alliance obscure de sociétés de technologie de surveillance connue sous le nom d'Intellexa qui a été formée pour concurrencer le groupe NSO. Fondée en 2019 par un ancien officier militaire et entrepreneur israélien du nom de Tal Dilian, Intellexa comprend des entreprises qui se sont heurtées aux autorités de divers pays pour des abus présumés.

Sur son site Internet, Intellexa s'est décrite comme « basée dans l'UE et réglementée, avec six sites et laboratoires de R&D dans toute l'Europe », mais n'indique aucune adresse. Sa page Web est vague sur ses offres, bien qu'en octobre dernier, elle ait déclaré qu'en plus de la "collecte de masse secrète", elle fournissait des systèmes "pour accéder aux appareils et réseaux cibles" via des réseaux Wi-Fi et sans fil. Intellexa a déclaré que ses outils sont utilisés par les forces de l'ordre et les agences de renseignement contre les terroristes et les crimes, y compris la fraude financière.

Cyber ​​défense

 À un niveau individuel, la plupart des gens « n'ont pas à s'inquiéter des exploits sans clic », a déclaré Avner, le consultant en sécurité. Ils ont juste besoin de "pratiquer une meilleure hygiène [cyber], comme vérifier de près les URL et utiliser des seconds canaux de communication" pour vérifier tous les messages suspects de personnes que nous connaissons, a-t-il ajouté.

« La plupart des cyberattaques peuvent être évitées grâce à l'authentification à deux facteurs », ou 2fa, une méthode qui ajoute une couche de protection supplémentaire pour garantir la sécurité des comptes en ligne au-delà d'un nom d'utilisateur et d'un mot de passe.

Si une agence de sécurité « veut entrer dans votre téléphone, elle y entrera probablement », a déclaré Moller. « Il n'y a pas de protection à 100 %. »

Les entreprises et les entreprises peuvent se protéger en déployant des services de cybersécurité qui réduisent leurs surfaces d'attaque, le nombre de tous les points possibles auxquels un utilisateur non autorisé peut accéder, en testant leurs systèmes et en éduquant leur personnel contre l'ingénierie sociale, a expliqué Moller.

L'ingénierie sociale est une technique de manipulation, utilisée par les sociétés de cyberintelligence et de cybersurveillance, pour amener les gens à divulguer des informations privées ou confidentielles, ou à commettre des erreurs liées à la sécurité.

Pour les particuliers, a ajouté Moller, la protection devrait venir des gouvernements et des régulateurs.

« Tout comme nous avons la police, l'armée et le Shabak [le service de sécurité interne d'Israël], il faut des cyberdéfenseurs. Les autorités doivent assumer leurs responsabilités et surveiller davantage les pratiques des entreprises », a-t-il conclu.

Les agences et le personnel de TOI ont contribué à ce rapport.

bbabo.Net