Quand le cyberespionnage se camoufle en applications mobiles : des chercheurs ont identifié un malware infiltrant des smartphones via de faux services télécoms. Derrière cette opération se dissimule une surveillance qui pourrait largement dépasser le cadre des simples cyberattaques. Deux récentes affaires relancent les débats sur l’usage des logiciels espions (spywares) par les Etats.

Depuis bien longtemps déjà, les logiciels espions, ou spywares, ne sont plus uniquement l’œuvre de cybercriminels attirés par les gains financiers. Désormais, ces outils malveillants de surveillance intensive sont le plus souvent financés et manœuvrés par des États, y compris des démocraties occidentales. Car contrairement aux idées reçues, ces pratiques ne se limitent pas à des pays comme la Chine, la Russie ou la Corée du Nord.

Après l’affaire WhatsApp/Paragon…

L’Italie est ainsi au centre d’un scandale impliquant l’utilisation présumée du spyware israélien « Graphite » de la société Paragon Solutions pour espionner des journalistes et des militants. L’affaire a démarré fin janvier, lorsque WhatsApp a informé des dizaines de personnes dans l’Union européenne qu’elles avaient été ciblées par une attaque de spyware utilisant la technologie de la société israélienne Paragon Solutions. Parmi les personnes ciblées figurent Luca Casarini, chef du groupe de sauvetage des migrants Mediterranea Saving Humans, et Francesco Cancellato, rédacteur en chef de Fanpage.

Le gouvernement italien a nié aujourd’hui ces allégations, affirmant respecter rigoureusement la loi et menaçant de poursuites judiciaires contre toute allégation contraire. Il a néanmoins confirmé que sept téléphones italiens avaient bien été piratés dans l’affaire WhatsApp et a activé l’Agence Nationale de Cybersécurité pour enquêter.

Et alors même que cette affaire éclate au grand jour, une nouvelle affaire surgit via le site TechCrunch qui souligne la tendance croissante des gouvernements – d’où qu’ils soient – à utiliser des logiciels espions sophistiqués, soulevant des questions cruciales sur la protection de la vie privée et les limites de la surveillance étatique.

… voici l’affaire SIO

Selon TechCrunch, un fabricant italien de logiciels espions, SIO, réputé pour fournir ses produits aux gouvernements, serait à l’origine d’une vaste campagne de distribution d’applications Android trafiquées. Ces applis, déguisées en versions populaires comme WhatsApp ou en outils de support technique d’opérateurs télécoms italiens, viseraient à infiltrer les appareils et à collecter des données sensibles.

Des chercheurs en sécurité ont identifié ces logiciels espions, baptisés « Spyrtacus », après avoir reçu (notamment via TechCrunch) plusieurs échantillons suspectés d’être utilisés par des agences gouvernementales. Les analyses menées par Google et la firme Lookout confirment que ces applications, conçues pour se fondre dans le paysage numérique italien, permettent notamment de récupérer des SMS, des conversations sur WhatsApp, Facebook Messenger ou Signal, et même d’extraire les contacts. Le malware peut également enregistrer les appels, capter l’audio ambiant via le micro, voire activer les caméras pour prendre des images, offrant ainsi une panoplie d’outils de surveillance aux utilisateurs qui en disposent.

Les investigations indiquent que les premiers échantillons de Spyrtacus remontent à 2019, avec d’autres versions apparues entre 2020 et 2022, et la plus récente datée d’octobre 2024. Certains exemplaires se faisaient passer pour des applications légitimes d’opérateurs tels que TIM, Vodafone ou WINDTRE, renforçant l’hypothèse que les cibles pourraient être localisées en Italie. En outre, la présence de sites web en italien utilisés pour diffuser ces applis laisse penser à une opération orchestrée par des entités nationales.

Le lien avec SIO est d’autant plus évident que certains serveurs de commande et contrôle, chargés de gérer le malware à distance, sont enregistrés au nom d’ASIGINT, filiale de SIO spécialisée dans la surveillance numérique. Des traces dans le code source, incluant notamment une phrase en dialecte napolitain (« Scetáteve guagliune ‘e malavita »), renforcent l’hypothèse d’une origine régionale, rappelant d’autres cas d’espionnage menés par des acteurs italiens.

Google a précisé qu’aucune version de ces applis malveillantes n’était désormais disponible sur le Google Play Store, Android ayant renforcé ses protections contre ce type de menace dès 2022.

Ces affaires illustrent une inquiétante prolifération et diversité des techniques employées dans le domaine des logiciels espions qu’ils soient ou non d’origine gouvernementale. Alors que les investigations se poursuivent pour déterminer l’étendue de l’opération et l’identité précise des cibles, le cas de Spyrtacus relance le débat sur l’usage et la régulation des technologies de surveillance dans un contexte de plus en plus numérisé et interconnecté.

 

À lire également :

Les dessous malsains de l’industrie du Spyware …

Un nouveau spyware Android utilisé par le FSB

Les nouvelles techniques d’évasion « hunter killer » sont en vogue chez les cyberattaquants

Google Big Sleep : Quand l’IA découvre seule des failles Zero-Day