Cybersécurité : 2022, l’année où nous avons pris conscience de l’ampleur de la diffusion des logiciels espions

Pour achever cette année mouvementée une fois de plus en termes « Cyber », voici notre traditionnel retour en arrière annuel sur l’une des cybermenaces qui aura particulièrement marqué notre mémoire collective durant l’année écoulée : celle des logiciels espions.

Le nombre d’attaques informatiques contre les entreprises et les administrations françaises avait déjà quadruplé les années précédentes. Elles n’auront cessé d’être d’une ampleur à nouveau préoccupante en 2022. Les cyberattaques n’ont – fort logiquement – pas quitté les gros titres de la presse cette année encore, durant les derniers 365 jours. Hacks des hôpitaux, rançongiciels et confidentialité des données compromises : un bilan 2022 particulièrement chaotique et « cyber-explosif » une fois de plus ! Voici ce qu'il faudra retenir sur ces vecteurs malveillants devenus entre-temps emblématiques et célèbres pour le grand public, à l’image de la cyber-arme « Pegasus »…

Les révélations de l’affaire Pegasus initiées en 2021 auront fait l’effet d’un séisme sur la scène internationale, jusqu’en 2022. Et cela notamment en raison des cibles à très haute valeur ajoutée visées dans cette affaire, et l’ampleur du système d’espionnage mis en place. D’autres logiciels espions existent-ils, et sont-ils aussi dans la boucle ?

En France, des marqueurs suspects attribués au désormais célèbre spyware avaient été retrouvés sur les téléphones portables de plusieurs membres du gouvernement français, mais selon de nouvelles informations partagées par Reuters l’été dernier, l’affaire ne s’arrêterait pas au seul spyware « Pegasus » en effet.

Pour ce qui concerne les dispositifs concurrents, la société QuaDream aurait également développé un logiciel similaire, « Reign », qui serait lui aussi capable de pénétrer les défenses de l’iPhone d’Apple. La société israélienne QuaDream rivale de NSO Group et dont l'existence a – en outre – été révélée en même temps que Pegasus, au cours de l’année 2021. QuaDream, indiquait Reuters, serait une entreprise israélienne plus petite, moins connue que sa concurrente NSO, mais qui développe également des outils de piratage de smartphones destinés à des clients gouvernementaux. L’an dernier, Reign aurait développé la même capacité à s'introduire à distance dans les iPhone d’Apple sans que leur propriétaire ait besoin d'ouvrir un lien malveillant. Cela s’appelle le « zéro-click» et il a été utilisé par les deux compagnies via un même procédé : « Forced Entry », considéré comme « l'un des exploits les plus sophistiqués sur le plan technique » jamais détectés par les chercheurs en sécurité.

Contrairement à une attaque classique par phishing, les logiciels Pegasus et Reign ne nécessiteraient pas d’intervention externe (comme ouvrir une pièce jointe, ou l’action de « cliquer » sur lien compromis) pour s’infiltrer à sa guise dans un appareil de téléphonie mobile. Il s’agit d’une attaque de type « zero click » qui est particulièrement difficile à éviter lorsque l'on est visé. Reuters avait d’ailleurs interrogé un chercheur en sécurité du Citizen Lab, un organisme de surveillance numérique, qui leur avait indiqué que les capacités de Reign semblaient équivalentes à celles de Pegasus. On peut donc fort logiquement s’attendre à de nouvelles révélations dans les années à venir, à propos des cibles éventuellement visées par les commanditaires-utilisateurs usant de ces cyberarmes…

Du rapport de Citizen Lab, il ressort aussi que plusieurs services de sécurité à travers le monde, et notamment en Europe, se sont équipés ces dernières années de systèmes parfaitement équivalents ou similaires, ciblant les smartphones, mais également des ordinateurs personnels. De la même manière que le malware Pegasus, ces outils d'espionnage permettent de récupérer des données stockées dans ces terminaux à la barbe de leurs possesseurs. On y découvre, en l’occurrence, l’existence d’un logiciel aussi puissant – pour le moins – que Pegasus : le bien-nommé « Predator ». Un système de la société Cytrox, elle-même partie d’Intellexa, dont les locaux sont domiciliés en Grèce (d’après Citizen Lab, Intellexa serait un label marketing pour une gamme de fournisseurs de surveillance, qui a émergé en 2019, issu d’une alliance : « formée pour concurrencer NSO Group », et « basée et réglementée dans l'Union européenne, avec six sites et laboratoires de R&D, dans toute l'Europe »).

Dans l’un de ses rapports, Citizen Lab a depuis dévoilé une partie des pays qui auraient pu utiliser ce système de surveillance spécifique : l'Arménie, l'Egypte, la Grèce, l'Indonésie, l'Arabie saoudite, la Serbie. Une liste là encore non exhaustive, et qui demeure naturellement sujette à caution. En plus des systèmes Pegasus et Predator, il existe bien entendu bien d'autres logiciels ayant une vocation d’espionnage, présentant les même atouts techniques. Il y a par exemple « Candiru », une entreprise de sécurité informatique également, fondée en 2014, et reconnue comme l'une des sociétés de cyber espionnage israéliennes les plus en pointe dans le domaine. Elle propose notamment un logiciel espion, qui porte le nom de l'entreprise, et qui peut être utilisé pour infiltrer des plateformes numériques. En l'occurrence, Candiru et les révélations au sujet de son déploiement dans une dizaine de pays, auraient pu également faire l’objet de beaucoup de bruit dans le landerneau médiatique. Mais il n’en fut pourtant rien.

Les exemples de Candiru, de Reign ou de Predator démontrent que le logiciel Pegasus de NSO n’est pas l’unique représentant de son espèce. L’affaire Pegasus cache aussi dans son sillage une pléthore de dispositifs de cybersurveillance numérique et offensif. « Il y a des milliers d’outils qui permettent d’espionner ce qui se passe sur un téléphone portable », consentait à révéler Bastien Bobe, directeur technique pour l’Europe du Sud de la société de cybersécurité sur les smartphones « Lookout », cité sur les antennes de France 24. Certes, seule une dizaine de ces logiciels spécifiques sortent du lot, par leur grande efficacité mais surtout par la confidentialité qu’ils permettent à leurs opérateurs.

Existe-t-il en définitive des mécanismes de contrôle mis en place par les États, afin de déterminer dans quels cas ces dispositifs technologiques – véritables armes cyber – peuvent être utilisés légitimement ?

Au préalable, posons les choses : tout est à prendre au conditionnel dans ces affaires d’espionnages complexes, bien souvent découvertes par le truchement des médias. Les révélations qui sont faites au compte-gouttes à destination du grand public sont toujours sujettes à caution, car elles peuvent représenter des tentatives de tromperie, des moyens de « deception » (ruse en anglais) ou d’influence délétères, à des fins politico diplomatiques entre des nations – concurrentes ou ennemies –sur le plan géopolitique. Et dans ce contexte, les actions d’espionnage sont vieilles comme l’humanité elle-même, et ne cesseront naturellement jamais.

Rappelons-le pour mémoire, le spyware « Pegasus », a été créé par la société israélienne NSO Group. Il s’agit très schématiquement d’un très puissant logiciel capable d’infecter un téléphone ciblé à distance, et à l’insu de son propriétaire. Une fois installé subrepticement, il peut permettre à un opérateur de télécharger les historiques des messageries, d’accéder à la géolocalisation de l’appareil ciblé, d’espionner les appels en temps réel ou encore, de déclencher à distance le micro du téléphone, etc. Ce très puissant dispositif aurait été – en outre – massivement utilisé pour espionner délibérément des militants des droits humains, des avocats ou des journalistes à travers le monde. Les traces retrouvées vont en ce sens.

Consécutivement aux multiples révélations faites dans cette affaire, des signaux politiques très forts ont été donnés. Prenons par exemple le cas des États-Unis, et ce qu’avait déclaré en novembre 2021 le département du commerce des États-Unis : les activités de l’entreprise NSO Group, fabricante du logiciel espion Pegasus, représentent une menace pour la sécurité nationale. Et la société israélienne – NSO Group – a été immédiatement placée sur une liste noire d’entreprises soumises à d’importantes restrictions en matière d’exportations et d’importations. Soyons clair, ce placement de NSO sur cette liste n’interdit pas purement et simplement tout échange commercial entre le groupe israélien et les entreprises américaines qui pourraient lui fournir des services ou des technologies. Mais cette décision instaure en revanche de très sérieuses restrictions aux transactions, imposant aux acteurs américains qui souhaitent importer ou exporter certains types de produits en lien avec NSO, de faire une demande de licence auprès des autorités américaines. Une licence qui risque fortement d’être refusée en l’état. Des activités désormais très nettement classées comme « contraire à la sécurité nationale » des États-Unis.

On se souviendra aussi que le département du commerce américain s’était auparavant engagé dans une démarche très similaire face au géant de l’électronique chinois « Huawei », et aux entreprises chinoises de surveillance, comme « Hikvision » ou « Sensetime ». Les plaçant elles aussi sur cette fameuse liste noire du commerce américain. Les termes du département du commerce sont à ce titre sans appel : « Ces outils ont également permis à des États étrangers d’étendre leur répression au-delà de leurs frontières, une pratique des gouvernements autoritaires visant des dissidents, des journalistes et des activistes à l’étranger pour réduire au silence toute opposition. Ces pratiques menacent l’ordre international. ». Un signal fort et clair, adressé aussi à toutes les entreprises du secteur des technologies de surveillance, leur indiquant qu’elles ne peuvent désormais plus poursuivre leurs activités comme elles l’ont fait précédemment. Cela montre aussi qu’elles ne peuvent plus se cacher, que leurs pratiques sont aussi très surveillées par les agences gouvernementales de sécurité nationale, et que leurs décisions auront des conséquences. Pour certains experts du secteur de l’armement interrogés dans la presse, cela peut être également considéré comme un arrêt de mort commercial car, « même s’ils essayent de se fournir auprès d’entreprises européennes, les services d’exportation vont refuser pour ne pas se fâcher avec les Américains. »

Est-ce que l’outil Pegasus pourrait être qualifié comme tous ses concurrents du marché de la surveillance, de « cyber-arme » ? Et si oui, conformément à quelle réglementation celui-ci pourrait-il être utilisé ? Sinon, que manque-t-il pour pouvoir le qualifier de « cyber-arme » ?

Les choses sont complexes. Et dans le cas qui nous occupe, récapitulons les faits : comme le rapportent les éléments glanés dans la presse spécialisée, NSO n’est pas une entreprise nouvellement crée. Elle a été fondée en 2009 par trois Israéliens, Niv Carmi, Shalev Hulio et Omri Lavie. Contrairement à ce que l’on croit, ils ne viennent pas de l’Unité 8200 (spécialisée au sein de l’armée israélienne en cyberdéfense). Ils se sont réunis pour développer un logiciel d’identification d’objets dans des images ou des vidéos qui renvoyaient ensuite les utilisateurs vers un site de vente en ligne. Puis ils ont mis au point un outil de service après-vente pour se connecter à distance au téléphone de leurs clients. La légende veut qu’un service de renseignement européen les ait approchés pour leur conseiller de développer leur logiciel vedette… Hulio et Lavie ont fondé NSO, et ils ont su s’entourer de brillants ingénieurs venus de l’unité spécialisée 8200. En Israël, pays où l’armée sert de creuset national, les relations public-privé sont très développées. NSO peut-elle vendre ses capacités d’espionnage à n’importe quel client ? Toute vente de technologie de défense sensible, que ce soit cyber ou autre, est soumise à autorisation régalienne drastique à l’export. Ceci n’est pas spécifique à Israël. C’est aussi le cas en Europe ou la législation à cet égard est très stricte. Le fait que le ministère de la Défense donne son aval à la vente de solutions cyber-offensives démontre, au-delà du contrôle qui en est fait, qu’il s’agit aussi d’un outil de soft power. Pegasus a notamment été vendu aux Émirats arabes unis bien avant la signature des accords de normalisation dits « accords Abraham ». Cette vente de licence est à l’origine d’une des premières affaires connues où le nom de NSO a été mentionné : en 2016, un opposant émirati s’était en effet rendu compte que son téléphone avait été infecté.

Existe-t-il un consensus international sur la définition des « cyberarmes » ? La question de la régulation des « cyberarmes » est naturellement posée et le sera de plus en plus dans les années à venir, « mais les discussions à ce propos se pressent… très lentement » selon certaines sources autorisées. De facto, il n’y a pas de consensus établit à ce sujet à ce jour entre États. Les États-Unis parlent de « cybercapacités » en excluant les logiciels qui ont exclusivement accès à un système informatique, à des fins d’exploitation de données. La France inclut quant à elle dans les « armes numériques » les logiciels dits « intrusifs ». Le marché de ces logiciels « intrusifs » est investi par de très nombreux acteurs : l’Allemagne ou le Canada, entre autres acteurs, ont par exemple développé des logiciels d’espionnage ou de gestion de réseau comme « Finfisher » ou « Blue Coat »… Des logiciels informatiques qui sont aussi des biens technologiques à « double usage », pouvant donc aisément être utilisés à des fins militaires, mais également potentiellement « retournables » contre des populations civiles, dans le cadre de régimes autoritaires qui souhaiteraient naturellement se maintenir au pouvoir par exemple. Par ailleurs, l’exportation de capacités cyber-offensives comporte aussi le risque notable de « reverse engineering » par la concurrence ou l’adversité. Ainsi, de nombreux chercheurs ont remarqué que le malware (logiciel espion) « Shamoon » avait de nombreuses similitudes avec « Stuxnet », le ver informatique désormais bien connu, qui avait en outre infecté le programme nucléaire iranien au début des années 2010.