Un seul activiste a aidé à renverser la vapeur pour NSO Group, l’une des sociétés de logiciels espions les plus sophistiquées au monde qui fait maintenant face à une cascade d’actions en justice et à un examen minutieux de la part de Washington suite à de nouvelles allégations préjudiciables selon lesquelles son logiciel a été utilisé pour pirater des téléphones des responsables gouvernementaux et des dissidents du monde entier.
Tout a commencé par un problème logiciel sur son iPhone.
Un bug inhabituel dans le logiciel espion NSO a permis à la militante saoudienne des droits des femmes Loujain al-Hathloul et à des chercheurs sur la protection de la vie privée de découvrir un ensemble de preuves suggérant que le fabricant israélien de logiciels espions a aidé à pirater son iPhone, selon six personnes impliquées dans l’incident. Un mystérieux fichier de fausses images à l’intérieur de son téléphone, laissé par erreur par le logiciel espion, a alerté les chercheurs en sécurité.
La découverte du téléphone d’Al Hathloul l’année dernière a déclenché une tempête d’actions juridiques et gouvernementales qui a mis NSO sur la défensive. La façon dont le piratage a été initialement découvert a été rapportée par Reuters au cours du week-end pour la première fois.
Al-Hathloul, l’une des militantes les plus en vue d’Arabie saoudite, est connue pour avoir aidé à mener une campagne visant à mettre fin à l’interdiction de conduire des femmes en Arabie saoudite. Elle a été libérée de prison en février 2021, accusée d’avoir menacé la sécurité nationale.
Peu de temps après sa sortie de prison, la militante a reçu un e-mail de Google l’avertissant que des pirates informatiques soutenus par l’État avaient tenté de s’introduire dans son compte Gmail. Craignant que son iPhone n’ait également été piraté, al-Hathloul a contacté le groupe canadien de défense de la vie privée Citizen Lab et leur a demandé d’examiner son appareil à la recherche de preuves, ont déclaré à Reuters.
Après six mois à fouiller dans les journaux de son iPhone, le chercheur du Citizen Lab, Bill Marczak, a fait ce qu’il a décrit comme une découverte sans précédent : un bogue dans le logiciel de surveillance implanté dans son téléphone avait laissé derrière lui une copie du fichier image malveillant, au lieu de se supprimer lui-même, après avoir volé les messages de sa cible.
Il a déclaré que la découverte, le code informatique laissé par l’attaque, fournissait une preuve directe que NSO avait construit l’outil d’espionnage.
« Cela a changé la donne », a déclaré Marczak. « Nous avons attrapé quelque chose que l’entreprise pensait impossible à attraper. »
La découverte équivalait à un projet de piratage et a incité Apple à informer des milliers d’autres victimes de piratage soutenues par l’État dans le monde, selon quatre personnes ayant une connaissance directe de l’incident.
La découverte de Citizen Lab et d’al-Hathloul a servi de base au procès d’Apple contre NSO en novembre 2021 et s’est également répercutée à Washington, où les autorités américaines ont appris que l’arme électronique NSO était utilisée pour espionner des diplomates américains.
Ces dernières années, l’industrie des logiciels d’espionnage a connu une croissance explosive alors que les gouvernements du monde entier achètent des programmes de piratage téléphonique qui permettent le type de surveillance numérique autrefois réservé à quelques agences de renseignement d’élite.
Au cours de l’année écoulée, une série de révélations de journalistes et d’activistes, y compris la collaboration journalistique internationale Pegasus Project, ont lié l’industrie des logiciels espions à des violations des droits de l’homme, alimentant une surveillance accrue de NSO et de ses pairs.
Mais les chercheurs en sécurité affirment que la découverte d’al-Hathloul a été la première à fournir un modèle pour une nouvelle forme puissante de cyber espionnage, un outil de piratage qui pénètre les appareils sans aucune interaction de l’utilisateur, fournissant des preuves plus concrètes à ce jour de la portée de l’arme.
Dans un communiqué, un porte-parole de NSO a déclaré que la société n’exploitait pas les outils de piratage qu’elle vendait : « Le gouvernement, les forces de l’ordre et les agences de renseignement le font ». Le porte-parole n’a pas répondu aux questions visant à savoir si son logiciel avait été utilisé pour attaquer Al Hathloul ou d’autres militants.
Mais le porte-parole a déclaré que les organisations faisant ces affirmations étaient des « opposants politiques au cyber-renseignement » et a suggéré que certaines de ces affirmations étaient « contractuellement et technologiquement impossibles ». Le porte-parole a refusé de donner des détails, citant des accords de confidentialité avec des clients.
Sans donner plus de détails, la société a déclaré qu’elle avait mis en place une procédure pour enquêter sur l’utilisation abusive présumée de ses produits et avait coupé les clients pour des questions de droits de l’homme.
Al-Hathloul avait de bonnes raisons d’être méfiante : ce n’était pas la première fois qu’elle était surveillée.
Une enquête de Reuters en 2019 a révélé qu’en 2017, elle avait été ciblée par une équipe de mercenaires américains surveillant les dissidents au nom des Émirats arabes unis dans le cadre d’un programme secret appelé Project Raven, qui l’a qualifiée de «menace pour la sécurité nationale» et a piraté son iPhone.
Elle a été détenue et emprisonnée en Arabie saoudite pendant près de trois ans, où, selon sa famille, elle a été torturée et interrogée à l’aide d’informations volées sur son appareil. Al-Hathloul a été libérée en février 2021 et est actuellement interdit de quitter le pays.
Reuters n’a aucune preuve que NSO ait été impliqué dans ce piratage antérieur.
L’expérience d’Al-Hathloul en matière de surveillance et d’emprisonnement l’a rendue déterminée à rassembler des preuves qui pourraient être utilisées contre ceux qui manient ces outils, a déclaré sa sœur Lina al-Hathloul. « Elle sent qu’elle a la responsabilité de continuer ce combat parce qu’elle sait qu’elle peut changer les choses. »
Le type de logiciel espion que Citizen Lab a découvert sur l’iPhone d’al-Hathloul est connu sous le nom de « zéro-clic », ce qui signifie que l’utilisateur peut être infecté sans cliquer sur un lien malveillant.
Les logiciels malveillants sans clic sont souvent supprimés après avoir infecté un utilisateur, laissant les chercheurs et les entreprises technologiques sans échantillon de l’arme à étudier. Selon les chercheurs en sécurité, cela peut rendre presque impossible l’obtention de preuves tangibles de piratage d’iPhone.
Mais cette fois, c’était différent.
Le bogue logiciel a laissé une copie du logiciel espion caché sur l’iPhone d’al-Hathloul, permettant à Marczak et à son équipe d’obtenir un plan virtuel de l’attaque et des preuves de qui l’a construit.
« Ici, nous avions la douille de la scène du crime », a-t-il déclaré.
Marczak et son équipe ont découvert que le logiciel espion fonctionnait, en partie, en envoyant des fichiers image à al-Hathloul via un message texte invisible.
Les fichiers image ont amené l’iPhone à abandonner toute sa mémoire, contournant la sécurité et permettant l’installation de logiciels espions qui voleraient les messages de l’utilisateur.
La découverte de Citizen Lab a fourni des preuves solides que la cyber arme a été construite par NSO, a déclaré Marczak, dont l’analyse a été confirmée par des chercheurs d’Amnesty International et d’Apple, selon trois personnes ayant une connaissance directe de la situation.
Le logiciel espion trouvé sur l’appareil d’al-Hathloul contenait un code qui montrait qu’il communiquait avec des serveurs que Citizen Lab avait précédemment identifiés comme contrôlés par NSO, a déclaré Marczak. Citizen Lab a appelé cette nouvelle méthode de piratage d’iPhone « ForcedEntry ». Les chercheurs ont ensuite fourni l’échantillon à Apple en septembre dernier.
Avoir un plan d’attaque en main a permis à Apple de corriger la vulnérabilité critique et les a incités à informer des milliers d’autres utilisateurs d’iPhone ciblés par le logiciel NSO, les avertissant qu’ils avaient été ciblés par des « attaquants parrainés par l’État ».
C’était la première fois qu’Apple franchissait cette étape.
Alors qu’Apple a déterminé que la grande majorité était ciblée par l’outil NSO, les chercheurs en sécurité ont également découvert que les logiciels espions d’un deuxième fournisseur israélien, QuaDream, exploitaient la même vulnérabilité de l’iPhone, a rapporté Reuters plus tôt ce mois-ci. QuaDream n’a pas répondu aux demandes répétées de commentaires. Lire plus.
Les victimes allaient de dissidents critiques à l’égard du gouvernement thaïlandais à des militants des droits de l’homme au Salvador.
Citant les conclusions du téléphone d’al-Hathloul, Apple a poursuivi NSO en novembre devant un tribunal fédéral, alléguant que le fabricant de logiciels espions avait violé la loi américaine en créant des produits conçus « pour cibler, attaquer et nuire aux utilisateurs d’Apple, aux produits Apple et à Apple ». Apple a crédité Citizen Lab d’avoir fourni les « informations techniques » utilisées comme preuve pour le procès, mais n’a pas révélé qu’elles avaient été obtenues à l’origine à partir de l’iPhone d’al-Hathloul.
NSO a déclaré que ses outils ont aidé les forces de l’ordre et sauvé « des milliers de vies ». La société a déclaré que certaines des allégations attribuées au logiciel NSO n’étaient pas crédibles, mais a refusé de donner des détails sur des allégations spécifiques, citant des accords de non-divulgation avec ses clients.
Parmi les personnes mises en garde par Apple figurent au moins neuf employés du département d’État américain en Ouganda qui ont reçu un logiciel NSO, selon des personnes proches du dossier, déclenchant une nouvelle vague de critiques contre l’entreprise à Washington.
En novembre, le département américain du Commerce a placé NSO sur une liste noire commerciale, empêchant les entreprises américaines de vendre les produits logiciels de la société israélienne, ce qui constitue une menace pour leur chaîne d’approvisionnement.
Le département du Commerce a déclaré que cette décision était basée sur des preuves que les logiciels espions NSO étaient utilisés pour cibler « des journalistes, des hommes d’affaires, des militants, des universitaires et des employés d’ambassade ».
En décembre, le sénateur démocrate Ron Wyden et 17 autres législateurs ont demandé au département du Trésor de sanctionner le groupe NSO et trois autres sociétés de surveillance étrangères qui, selon eux, ont aidé des gouvernements autoritaires à commettre des violations des droits de l’homme.
« Lorsque le public a vu des personnalités du gouvernement américain se faire pirater, cela a clairement déplacé l’aiguille », a déclaré Wyden à Reuters dans une interview, faisant référence aux attaques contre des responsables américains en Ouganda.
Lina al-Hathloul, la sœur de Loujain, a déclaré que les coups financiers sur NSO pourraient être la seule chose qui puisse dissuader l’industrie des logiciels espions. « Cela les a touchés là où ça fait le plus mal », a-t-il déclaré.
