Cybersécurité : une faille de l’iPhone exploitée par une deuxième société d’espionnage israélienne

QuaDream et NSO Group, deux entreprises rivales, ont acquis l’année dernière la même capacité à s’introduire à distance dans les iPhones, leur permettant ainsi de compromettre les téléphones Apple sans que leur propriétaire ait besoin d’ouvrir un lien malveillant. [Shutterstock, PK Studio]

Une faille dans le logiciel d’Apple, exploitée par la société de surveillance israélienne NSO Group pour s’introduire dans les iPhones en 2021, a été simultanément exploitée par une société concurrente, selon cinq personnes connaissant bien le dossier.

Selon les sources, il s’agit de QuaDream, une entreprise israélienne plus petite et moins connue qui développe également des outils de piratage de smartphones destinés à des clients gouvernementaux.

Les deux entreprises rivales ont acquis l’année dernière la même capacité à s’introduire à distance dans les iPhones, ce qui signifie qu’elles pouvaient compromettre les téléphones Apple sans que leur propriétaire ait besoin d’ouvrir un lien malveillant. Selon un expert, le fait que deux entreprises aient employé la même technique de piratage sophistiquée — connue sous le nom de « zéro-clic » — montre que les téléphones sont plus vulnérables aux puissants outils d’espionnage numérique que l’industrie ne veut bien l’admettre.

« Les gens veulent croire qu’ils sont en sécurité, et les fabricants de téléphones veulent vous faire croire qu’ils sont sécurisés. Ce que nous avons appris, c’est qu’ils ne le sont pas », a indiqué Dave Aitel, partenaire de Cordyceps Systems, une société de cybersécurité.

Les experts qui analysent les intrusions menées par NSO Group et QuaDream depuis l’année dernière pensent que les deux sociétés ont utilisé des exploits logiciels très similaires, connus sous le nom de ForcedEntry, pour détourner les iPhones.

Un exploit est un code informatique conçu pour exploiter un ensemble de vulnérabilités spécifiques d’un logiciel, donnant à un pirate un accès aux données sans qu’il y ait été autorisé.

Les analystes ont estimé que les exploits de NSO et de QuaDream étaient similaires car ils exploitaient un grand nombre des mêmes vulnérabilités cachées dans la plate-forme de messagerie instantanée d’Apple et utilisaient une approche comparable pour implanter des logiciels malveillants sur les appareils ciblés. C’est en tout cas ce qu’estiment trois des sources.

Bill Marczak, un chercheur en sécurité de Citizen Lab, un organisme de surveillance numérique, qui a étudié les outils de piratage des deux sociétés, a confié à Reuters que les capacités de QuaDream avec le zéro-clic semblait « équivalentes » à celle de NSO.

Reuters a tenté à plusieurs reprises de joindre QuaDream pour obtenir des commentaires, en envoyant des messages aux dirigeants et aux partenaires commerciaux. La semaine dernière, un journaliste de Reuters s’est rendu dans les bureaux de QuaDream à Ramat Gan, dans la banlieue de Tel-Aviv, mais personne n’a ouvert la porte. L’avocate israélienne Vibeke Dank, dont l’adresse électronique figurait sur le formulaire d’enregistrement de la société QuaDream, n’a pas non plus répondu à plusieurs messages.

Un porte-parole d’Apple a refusé de commenter sur l’affaire QuaDream ou de dire quelle action, le cas échéant, ils prévoyaient de prendre concernant la société.

ForcedEntry est considéré comme « l’un des exploits les plus sophistiqués sur le plan technique » jamais découverts par les chercheurs en sécurité.

Les deux versions de ForcedEntry étaient si similaires que lorsqu’Apple a corrigé les failles sous-jacentes en septembre 2021, cela a rendu les logiciels d’espionnage de NSO et de QuaDream inopérants, selon deux personnes connaissant bien le dossier.

Dans une déclaration écrite, une porte-parole de NSO a expliqué que la société « n’a pas coopéré » avec QuaDream, mais il a indiqué que « l’industrie du cyberespionnage continue de se développer rapidement dans le monde entier ».

En novembre, Apple a poursuivi NSO Group au sujet de ForcedEntry, affirmant que NSO avait violé les conditions d’utilisation et l’accord de services d’Apple. L’affaire en est encore à ses débuts.

Dans son procès, Apple a déclaré qu’elle « repousse continuellement et avec succès diverses tentatives de piratage ». NSO a pour sa part nié tout acte répréhensible.

Les sociétés de logiciels espions ont longtemps fait valoir qu’elles vendaient des technologies de pointe pour aider les gouvernements à déjouer les menaces pesant sur la sécurité nationale. Mais les groupes de défense des droits de l’homme et les journalistes ont documenté à plusieurs reprises l’utilisation de logiciels espions pour attaquer la société civile, saper l’opposition politique et interférer dans les élections.

Apple a notifié des milliers de cibles de ForcedEntry en novembre, faisant comprendre aux élus, aux journalistes et aux défenseurs des droits de l’homme du monde entier qu’ils avaient été placés sous surveillance.

En Ouganda, par exemple, ForcedEntry du groupe NSO a été utilisé pour espionner des diplomates américains, a rapporté Reuters.

Outre le procès intenté par Apple, WhatsApp de la société Meta fait également l’objet d’un litige concernant les abus présumés de sa plateforme. En novembre, NSO a été placé sur une liste noire commerciale par le département du commerce américain en raison de problèmes de droits de l’homme.

Contrairement à NSO, QuaDream a fait profil bas bien qu’il serve certains des mêmes clients du gouvernement. La société n’a pas de site web vantant ses activités, et les employés ont été priés de ne pas faire référence à leur employeur sur les réseaux sociaux, selon une personne qui connaît bien la société.

REIGN

QuaDream a été fondée en 2016 par Ilan Dabelstein, un ancien responsable militaire israélien, et par deux anciens employés de NSO, Guy Geva et Nimrod Reznik, selon les registres des entreprises israéliennes et deux personnes familières avec l’entreprise. Reuters n’a pas pu joindre les trois dirigeants pour obtenir des commentaires.

Comme le logiciel espion Pegasus de NSO, le produit phare de QuaDream — appelé REIGN — pourrait prendre le contrôle d’un smartphone, récupérant les messages instantanés de services tels que WhatsApp, Telegram et Signal, ainsi que les e-mails, les photos, les messages et les contacts, à en croire deux brochures du produit datant de 2019 et 2020 et auxquelles Reuters a eu accès.

Les capacités de la « Collection Premium » de REIGN comprenaient les « enregistrements d’appels en temps réel », « l’activation de la caméra — avant et arrière », et « l’activation du microphone », indique une brochure.

Les prix semblent varier. Un système QuaDream qui aurait donné aux clients la possibilité de lancer 50 cyberattaques sur des smartphones par an était proposé pour 2,2 millions de dollars, hors coûts de maintenance, peut-on lire dans la brochure de 2019. Deux personnes familières avec les ventes du logiciel ont déclaré que le prix de REIGN était généralement plus élevé.

Au fil des ans, QuaDream et NSO Group ont employé certains ingénieurs similaires, selon trois personnes connaissant bien le dossier. Deux de ces sources ont déclaré que les sociétés n’avaient pas collaboré au piratage de l’iPhone et qu’elles avaient trouvé leurs propres moyens de tirer parti des failles du téléphone portable.

Selon quatre des sources, plusieurs acheteurs de QuaDream et de NSO se sont chevauchés, notamment l’Arabie saoudite et le Mexique, qui ont tous deux été accusés d’utiliser des logiciels espions pour cibler des opposants politiques.

L’un des premiers clients de QuaDream était le gouvernement singapourien, indiquent deux des sources, et la documentation examinée par Reuters montre que la technologie de surveillance de la société a également été présentée au gouvernement indonésien. Reuters n’a pas pu déterminer si l’Indonésie est devenue un client.

Les responsables mexicains, singapouriens, indonésiens et saoudiens n’ont pas répondu aux demandes de commentaires sur QuaDream.

Subscribe to our newsletters

Subscribe