En tant que journaliste travaillant pour la chaîne d’information arabe Alaraby, Rania Dridi a déclaré qu’elle avait pris des précautions pour éviter d’être la cible des pirates, en gardant un œil sur les messages suspects et en évitant de cliquer sur des liens ou d’ouvrir des pièces jointes provenant de personnes qu’elle ne connaît pas.
Le téléphone de Mme Dridi a tout de même été compromis par ce qu’on appelle une attaque « zéro-clic », qui permet à un pirate de s’introduire dans un téléphone ou un ordinateur même si l’utilisateur n’ouvre pas un lien ou une pièce jointe malveillante. Au lieu de cela, les pirates exploitent une série de failles de sécurité dans les systèmes d’exploitation – comme iOS d’Apple Inc. ou Android de Google – pour pénétrer dans un appareil sans avoir à inciter leur victime à faire quoi que ce soit. Une fois à l’intérieur, ils peuvent installer des logiciels espions capables de voler des données, d’écouter les appels et de localiser l’utilisateur.
Selon plus d’une douzaine d’employés de sociétés de surveillance, de chercheurs en sécurité et de pirates informatiques interrogés par Bloomberg News, les agences gouvernementales ont de plus en plus souvent recours à la technique du « zéro clic » pour espionner les militants, les journalistes et d’autres personnes, car les gens hésitent plus que jamais à cliquer sur des liens suspects dans les courriels et les SMS.
Autrefois réservée à quelques agences de renseignement, la technologie nécessaire aux piratages en un clic est désormais vendue aux gouvernements par un petit nombre de sociétés, dont la plus importante est la société israélienne NSO Group. Bloomberg News a appris qu’au moins trois autres sociétés israéliennes – Paragon, Candiru et Cognyte Software Ltd. – ont développé des outils de piratage en zéro clic ou les ont proposés à leurs clients, selon d’anciens employés et partenaires de ces sociétés, ce qui montre que la technologie se répand dans le secteur de la surveillance.
Il existe certaines mesures qu’une victime potentielle peut prendre pour réduire les chances de réussite d’une attaque de type « zero-click », notamment en maintenant un appareil à jour. Mais certaines des méthodes les plus efficaces – notamment la désinstallation de certaines applications de messagerie que les pirates peuvent utiliser comme passerelles pour pénétrer dans un appareil – ne sont pas pratiques car les gens comptent sur elles pour communiquer, a déclaré Bill Marczak, chercheur principal au Citizen Lab, un groupe de recherche de l’Université de Toronto qui se concentre sur les abus de la technologie de surveillance.
Dridi, qui est basée à Londres, a déclaré que le piratage l’a obligée à fermer certains de ses comptes de médias sociaux et l’a laissée isolée, craignant pour sa sécurité.
« Ils ont ruiné ma vie », a déclaré Dridi, qui soupçonne qu’elle a été ciblée en raison de ses reportages sur les droits des femmes dans le monde arabe ou de ses liens avec d’autres journalistes qui sont des critiques très médiatisés des gouvernements du Moyen-Orient. « J’ai essayé de revenir à la normale. Mais après cela, j’ai souffert de dépression, et je n’ai trouvé aucun soutien. »
On ne sait pas combien de personnes ont été visées par les hacks zéro-clic, car ils sont réalisés en secret et les victimes ne sont souvent pas au courant.
Les groupes de défense des droits de l’homme ont établi un lien entre la technologie zéro-clic de NSO Group et les attaques des gouvernements contre des individus ou des petits groupes d’activistes. Un procès intenté en 2019 par Facebook a accusé NSO Group d’utiliser une méthode de piratage à zéro clic pour implanter des logiciels espions sur les appareils de 1 400 personnes qui utilisaient son service WhatsApp. NSO Group a contesté ces allégations.
Les attaques peuvent être difficiles à détecter pour les experts en sécurité et posent de nouveaux défis aux géants de la technologie tels qu’Apple et Google, qui cherchent à combler les failles de sécurité exploitées par les pirates.
« Avec zéro clic, il est possible qu’un téléphone soit piraté sans laisser la moindre trace derrière lui », a déclaré Marczak. « Vous pouvez vous introduire dans des téléphones appartenant à des personnes qui ont une bonne conscience de la sécurité. La cible est hors du circuit. Vous n’avez pas besoin de les convaincre de faire quoi que ce soit. Cela signifie que même les cibles les plus sceptiques et les plus scrupuleuses peuvent être espionnées. »
Parfois, un piratage en zéro clic ne se déroule pas comme prévu et laisse des traces que les enquêteurs peuvent utiliser pour identifier qu’un appareil a été compromis. Dans le cas de Mme Dridi, les administrateurs d’Alaraby ont remarqué une activité suspecte sur leurs réseaux informatiques et ont suivi une piste numérique qui les a conduits à son téléphone, a-t-elle déclaré dans une interview.
Les attaquants utilisent des piratages de type « zéro clic » pour accéder à un appareil et peuvent ensuite installer un logiciel espion, tel que Pegasus de NSO Group, pour surveiller secrètement l’utilisateur. Pegasus peut enregistrer secrètement des courriels, des appels téléphoniques et des messages texte, suivre la localisation et enregistrer des vidéos et des sons à l’aide de la caméra et du microphone intégrés au téléphone.
Marczak et ses collègues du Citizen Lab ont analysé l’iPhone XS Max de Dridi et ont trouvé des preuves qu’il avait été infecté au moins six fois entre octobre 2019 et juillet 2020 avec le Pegasus de NSO Group.. À deux reprises en juillet 2020, le téléphone de Dridi a été visé par des attaques de type « zéro clic », a conclu Citizen Lab dans un rapport, qui attribue les piratages au gouvernement des Émirats arabes unis.
Dridi poursuit maintenant une action en justice contre le gouvernement des Émirats arabes unis. Son avocat, Ida Aduwa, a déclaré qu’elle demanderait l’autorisation à un juge de la Haute Cour de Londres dans les prochaines semaines pour poursuivre l’affaire. « Nous voulons que soit reconnu le fait que les États ne peuvent pas s’en tirer à bon compte », a déclaré Ida Aduwa.
Un représentant de l’ambassade des EAU à Washington n’a pas répondu aux messages demandant des commentaires.
Marczak, de Citizen Lab, a déclaré que la plupart des cas documentés de hacks à zéro clic ont été retracés jusqu’à NSO Group. L’entreprise a commencé à déployer la méthode plus fréquemment vers 2017, a-t-il dit.
NSO Group, qui a été placé sur la liste noire des États-Unis en novembre pour avoir fourni des logiciels espions à des gouvernements qui les utilisaient pour cibler malicieusement des fonctionnaires, des journalistes, des hommes d’affaires, des militants et d’autres personnes afin de faire taire les dissidents, a déclaré qu’il vendait sa technologie exclusivement à des gouvernements et à des organismes d’application de la loi comme outil pour traquer les terroristes et les criminels.
« Le domaine du cyberespionnage continue de se développer et est beaucoup plus grand que le groupe NSO », a déclaré un porte-parole de la société dans une déclaration à Bloomberg News. « Pourtant, un nombre croissant d »experts’ qui prétendent être ‘familiers’ avec NSO Group font des allégations qui sont contractuellement et technologiquement impossibles, mettant à rude épreuve leur crédibilité. »
Le porte-parole a déclaré que NSO Group a mis fin à des relations avec des clients en raison de « problèmes de droits de l’homme » et ne vendra pas de produits de cyberespionnage à environ 90 pays. « L’utilisation abusive des outils de cyberespionnage est une question grave », a déclaré le porte-parole.
En décembre, des chercheurs en sécurité de Google ont analysé un exploit à clics nuls, développé selon eux par NSO Group, qui pouvait être utilisé pour s’introduire dans un iPhone en envoyant à quelqu’un une fausse image GIF par iMessage. Les chercheurs ont décrit l’exploit zéro-clic comme « l’un des plus sophistiqués sur le plan technique que nous ayons jamais vu » et ont ajouté qu’il montrait que NSO Group vendait des outils d’espionnage qui « rivalisent avec ceux que l’on pensait auparavant accessibles à une poignée d’États-nations. »
« L’attaquant n’a pas besoin d’envoyer des messages de phishing ; l’exploit fonctionne simplement en silence en arrière-plan », ont écrit les chercheurs de Google.
Si NSO Group a attiré l’attention des médias, plusieurs entreprises concurrentes en Israël proposent des outils similaires pour aider les gouvernements à espionner les téléphones portables. Au moins quatre autres sociétés israéliennes ont obtenu ou développé la technologie de piratage « zéro clic », selon des employés de ces sociétés, des professionnels de l’industrie de la surveillance et d’autres rapports médiatiques.
Candiru, une société de surveillance basée à Tel Aviv qui emploie plus de 120 personnes, s’est associée à une autre société israélienne, Cognyte, pour proposer aux gouvernements des logiciels d’espionnage à clics nuls qui peuvent être installés sur des appareils mobiles Android et iOS, selon deux anciens employés de Candiru.
Paragon, une entreprise fondée par d’anciens membres de l’agence de surveillance israélienne Unit 8200, a développé sa propre technologie de piratage zéro-clic qu’elle a commercialisée auprès de gouvernements d’Europe et d’Amérique du Nord comme moyen d’accéder à des applications de messagerie cryptées telles que WhatsApp et Signal, selon deux anciens employés de Paragon.
Une quatrième société israélienne, QuaDream, a également la capacité de compromettre les iPhones d’Apple à l’aide de piratages en zéro clic, a rapporté Reuters au début du mois.
Hila Vazan, une porte-parole de Candiru, a déclaré que la société n’avait pas développé ou vendu de technologie de piratage en zéro-clic, mais elle a reconnu que Candiru avait « exploré une collaboration » avec Cognyte pour la proposer à ses clients. Les États-Unis ont également mis Candiru sur liste noire en novembre pour avoir fourni des logiciels espions à des gouvernements qui utilisaient sa technologie de manière malveillante.
Paragon a refusé de faire des commentaires. Les représentants de Cognyte et de QuaDream n’ont pas répondu aux messages demandant des commentaires.
Il existe un marché florissant sur lequel les pirates et les courtiers vendent les dernières vulnérabilités de type » zéro clic » directement aux agences gouvernementales, parfois pour des sommes à sept chiffres, selon les professionnels du secteur de la surveillance.
L’un des principaux courtiers est Zerodium, une « plateforme d’acquisition d’exploits » qui propose de payer jusqu’à 2 millions de dollars pour un exploit « zéro-clic » permettant de pénétrer dans les dernières versions du logiciel iOS d’Apple, selon son site Web. Zerodium offre également jusqu’à 2,5 millions de dollars pour un exploit en zéro-clic permettant de pirater des téléphones Android, et jusqu’à 1 million de dollars pour un exploit en zéro-clic permettant de compromettre les ordinateurs Windows de Microsoft.
Le site Web de Zerodium indique que l’entreprise a travaillé avec plus de 1 500 chercheurs en sécurité et a versé plus de 50 millions de dollars en « primes », c’est-à-dire des honoraires versés aux chercheurs en sécurité qui découvrent des failles de sécurité logicielle pouvant être utilisées pour pirater des ordinateurs ou des téléphones. Une fois que Zerodium a acquis les derniers exploits « zero-click » auprès des chercheurs en sécurité, elle les vend ensuite aux gouvernements, principalement en Europe et en Amérique du Nord, selon son site web.
Un représentant de Zerodium n’a pas répondu aux demandes de commentaires. La société a été constituée dans le Delaware en 2015, mais on ignore où se trouvent actuellement ses bureaux.
Dans une interview accordée à Bloomberg, un chercheur en sécurité basé en Asie a déclaré avoir gagné plusieurs millions de dollars en vendant une série d’exploits en zéro clic qui pouvaient être utilisés pour pirater les téléphones iOS, Android et BlackBerry, en plus des ordinateurs Windows. Le chercheur, qui a requis l’anonymat en raison d’accords de confidentialité, a déclaré avoir vendu certains de ses exploits « zero-click » à Zerodium. Il a identifié un pays européen dont le gouvernement ou les forces de l’ordre ont piraté des téléphones en utilisant un exploit qu’il a vendu.
Parmi les autres fournisseurs d’exploits zero-click figure Arity Business Inc, un opérateur basé en Lettonie et en Estonie. Alex Prokopenko, un cadre d’Arity, a déclaré dans un courriel que l’entreprise a été fondée en 2015 et qu’elle travaille à l’identification d’une variété de vulnérabilités de sécurité logicielle, y compris les clics zéro. Arity vend ensuite les vulnérabilités de sécurité aux agences gouvernementales et aux entreprises qui travaillent avec les services de renseignement et les forces de l’ordre afin qu’elles puissent être utilisées pour pirater les ordinateurs Windows, en plus des téléphones iOS et Android, a-t-il dit.
M. Prokopenko a refusé de nommer des clients spécifiques mais a déclaré qu’Arity avait vendu ses exploits dans des pays tels que l’Irlande, l’Italie, l’Espagne, la Pologne, l’Ukraine, Israël, les EAU, la Turquie, l’Inde et Singapour. La plupart des ventes de la société, a-t-il ajouté, se situaient entre 200 000 et 600 000 dollars.
« Maintenant, les exploits sont beaucoup plus populaires auprès des gouvernements, des services de renseignement et des sociétés militaires privées, car auparavant, cet outil n’était pas aussi accessible qu’aujourd’hui », a déclaré Prokopenko. « L’exploit est une arme numérique, et son utilisation doit être réglementée ».
La diffusion de la technologie de cryptage, qui protège la confidentialité des conversations envoyées par le biais d’applications de chat telles que WhatsApp ou iMessage d’Apple, a rendu plus difficile pour les forces de l’ordre et les agences de renseignement de fouiner dans les conversations des gens, a déclaré Prokopenko. L’une des seules façons pour les enquêteurs d’avoir accès aux communications cryptées est de pirater un appareil, a-t-il ajouté.
C’est la raison pour laquelle toutes ces entreprises apparaissent – parce qu’il y a un marché pour cela », a déclaré Fionnbharr Davies, un chercheur en sécurité qui a travaillé pour Azimuth Security, une autre entreprise basée aux États-Unis et en Australie qui, selon lui, développe des exploits de type « zéro clic » et les vend aux gouvernements. « Il ne coûte que quelques millions de dollars pour pirater n’importe quel iPhone – c’est tellement bon marché du point de vue d’un État-nation ». Un représentant d’Azimuth Security n’a pas répondu à un message demandant un commentaire.
L’expérience de Carine Kanimba montre à quel point il peut être difficile d’empêcher un piratage par zéro clic. Depuis deux ans, elle fait campagne pour la libération de son père, Paul Rusesabagina, un critique du gouvernement rwandais qui a été « disparu de force » en août 2020, selon Human Rights Watch. L’année dernière, Rusesabagina, qui a fait l’objet du film « Hotel Rwanda », a été condamné pour terrorisme par un tribunal rwandais, une procédure que ses partisans estiment motivée par des considérations politiques.
Kanimba, une citoyenne mixte américano-belge, a déclaré qu’elle savait qu’il y avait une possibilité qu’elle soit sous surveillance. En octobre 2020, ses conseillers en sécurité étaient si inquiets qu’ils ont détruit son téléphone portable. Elle a acheté un nouvel iPhone, mais au printemps dernier, des chercheurs d’Amnesty International ont informé Kanimba qu’il avait été piraté en un clic et infecté par Pegasus de NSO Group.
Une analyse médico-légale de son appareil, examinée par Bloomberg, a révélé qu’un attaquant avait utilisé iMessage pour envoyer des notifications push malveillantes.
« Je n’ai jamais vu aucun message », a déclaré Kanimba. « Le message arrive et disparaît aussitôt, ou bien il arrive et on ne le voit pas. Il n’y a donc aucun clic, aucune action de votre part. Il se contente d’infecter. »
Un représentant du gouvernement rwandais n’a pas répondu à un message demandant un commentaire.
Nedal Al-Salman, présidente par intérim du Bahrain Center for Human Rights, a fait part d’une expérience similaire. Al-Salman a déclaré qu’elle et quatre de ses collègues ont été informés l’année dernière que leurs téléphones avaient été compromis, certains d’entre eux dans des attaques apparentes de type « zero-click ».
Selon Al-Salman, deux de ses téléphones portables – un iPhone 11 et un Samsung Galaxy Note – ont été piratés. M. Marczak, du Citizen Lab, a déclaré qu’il n’avait pas procédé à une analyse médico-légale des appareils d’Al-Salman, mais a affirmé avoir confirmé que trois des collègues d’Al-Salman avaient vu leurs téléphones infectés par le logiciel espion de NSO Group.
Al-Salman a déclaré qu’elle et ses collègues ont été confrontés à la répression au Bahreïn, où le gouvernement a réprimé les droits de l’homme et l’activisme pro-démocratique. Al-Salman a déclaré qu’elle avait été empêchée par le passé de voyager en dehors de Bahreïn, et que d’autres membres actuels et anciens du Bahrain Center for Human Rights avaient été emprisonnés ou contraints de vivre en exil. Selon un rapport du Citizen Lab publié l’année dernière, le gouvernement de Bahreïn a déployé les logiciels espions de NSO Group pour cibler les militants et les personnalités politiques de l’opposition.
Un représentant de l’ambassade de Bahreïn à Washington n’a pas répondu à une demande de commentaire.
Tout le monde a des informations personnelles sur son téléphone, a dit Mme Al-Salman, qu’il s’agisse de messages montrant des disputes avec un membre de la famille ou des vidéos de danse avec des amis. Mais normalement, dit-elle, « il n’y a que vous qui êtes au courant ».
