Le Threat Analysis Group de Google s’est intéressé au marché des outils de surveillance (le spyware) et en dévoile les facettes peu glorieuses dans un nouveau rapport qui met en avant le rôle de ces acteurs dans la découverte et l’exploitation des failles Zero Day.
Ce n’est un secret pour personne, il existe une véritable industrie des failles Zero Day et des outils d’espionnage. Les deux activités sont même totalement liées comme le montre un nouveau rapport Google. Celui-ci s’intéresse particulièrement aux vendeurs d’outils de surveillance – les CSV – qui ont quasiment pignon sur rue et qui commercialisent leurs outils – les Spywares – notamment auprès de forces de police ou de forces militaires. Des outils qui ne sont pas utilisés que pour le contre-terrorisme mais aussi pour la surveillance des journalistes, des citoyens, des membres de gouvernements étrangers, des dissidents, des défenseurs des droits, des ONG, etc.
Selon Google, ces acteurs CSV constituent désormais une véritable menace pour ses utilisateurs et ceux d’Android. Plus de la moitié des exploits de failles « Zero Day » récemment utilisées pour compromettre des produits Google ou des appareils Android peuvent directement être attribués à ces acteurs « CSV ».
Les CSV vendent, notamment aux agences gouvernementales, non seulement des outils d’espionnage mais aussi l’infrastructure de commandes pour communiquer avec l’outil et collecter les données ainsi que leur savoir-faire pour installer ces outils à l’insu des utilisateurs. Il en résulte en réalité toute une supply chain : des chercheurs de vulnérabilités qui commercialisent leurs découvertes à des développeurs d’exploits qui commercialisent leurs codes et savoir-faire aux vendeurs d’outils de surveillance (les CSV) pour qu’ils puissent vendre leur solution à leurs clients. Il peut arriver que certains CSV disposent de leurs propres chercheurs de vulnérabilités et de leurs propres développeurs d’exploits.
Bien sûr tout ça n’a rien de nouveau. « Cela fait des années que des entreprises du secteur privé sont impliquées dans la découverte et la vente d’exploits mais l’apparition de solutions clés en main est un phénomène récent » expliquent les rapporteurs. « Les CSV s’appuient sur une expertise technique approfondie pour proposer des outils « pay-to-play » qui regroupent une chaîne d’exploitation conçue pour passer les défenses d’un appareil sélectionné, le logiciel espion et l’infrastructure nécessaire, le tout pour collecter les données souhaitées à partir de l’appareil d’un individu. »
Et quand on parle ici de données dérobées, on parle de SMS, d’emails, de photos, de fichiers, de géolocalisation, de répertoires téléphoniques mais aussi de mots de passe saisis, de captures d’écran, d’enregistrement des conversations, etc.
Les chercheurs de Google surveillent désormais activement plus de 40 fournisseurs de telles solutions. Parmi eux, les Italiens de Cy4Gate, RCS Lab et Negg Group, la société Intellexa actuellement basée en Grèce mais née à Chypre, la société israélienne NSO Group (tristement célèbre pour son Spyware Pegasus qui a défrayé l’actualité en 2020), ou encore la société espagnole Variston.
Ces entreprises commercialisent leurs solutions à des tarifs qui dépassent allègrement le million de dollars.
Selon Google, sur les 72 failles « Zero day » largement exploitées entre 2014 et 2023 sur Chrome et Android, au moins 35 peuvent être attribuées à des CSV. C’est évidemment une estimation basse puisqu’elles ne concernent que les failles « Zero Day » dont Google a eu ou a connaissance !
Google veut intensifier la lutte contre les CSV. D’abord en patchant le plus vite possible dès qu’une faille Zero Day ou son exploitation sont découvertes. Les chercheurs de Google expliquent que « lorsque nous découvrons et corrigeons les vulnérabilités utilisées dans les chaînes d’exploits, nous ne protégeons pas seulement les utilisateurs, mais nous empêchons aussi les sociétés CSV de respecter leurs engagements envers leurs clients, ce qui les empêche d’être payées et augmente leurs coûts d’exploitation ».
Par ailleurs Google affirme intensifier ses investissements pour mieux lutter contre ces menaces, perturber autant que possible le fonctionnement des CSV. L’éditeur prône une meilleure collaboration entre les différents chercheurs en cybersécurité et éditeurs de protection.
Enfin, Google interpelle les gouvernements, l’industrie et la société civile pour lutter contre la prolifération de ces outils de surveillance.
Pour en savoir plus : Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors
puis