WhatsApp a corrigé une vulnérabilité zéro clic et jour zéro utilisée pour installer le logiciel espion Graphite de Paragon à la suite de rapports de chercheurs en sécurité du Citizen Lab de l’Université de Toronto.
La société s’est attaquée au vecteur d’attaque à la fin de l’année dernière « sans avoir besoin d’un correctif côté client » et a décidé de ne pas attribuer d’identifiant CVE après « avoir examiné les directives CVE publiées par MITRE et [ses] propres politiques internes. »
« WhatsApp a perturbé une campagne de logiciels espions menée par Paragon qui ciblait un certain nombre d’utilisateurs, y compris des journalistes et des membres de la société civile. Nous avons contacté directement les personnes qui, selon nous, ont été touchées », a déclaré un porte-parole de WhatsApp à Breachtrace.
« C’est le dernier exemple de la raison pour laquelle les sociétés de logiciels espions doivent être tenues responsables de leurs actions illégales. WhatsApp continuera de protéger la capacité des gens à communiquer en privé. »
Le 31 janvier, après avoir atténué l’exploit zero-click déployé dans ces attaques, WhatsApp a informé environ 90 utilisateurs Android de plus de deux douzaines de pays, y compris des journalistes et des militants italiens, ciblés par le logiciel espion Paragon pour collecter des données sensibles et intercepter leurs communications privées.
Les chercheurs ont découvert que les attaquants avaient ajouté les cibles à un groupe WhatsApp avant d’envoyer un PDF. Lors de l’étape suivante de l’attaque, l’appareil de la victime a automatiquement traité le PDF, exploitant la vulnérabilité zero-day désormais corrigée pour charger un implant de logiciel espion Graphite dans WhatsApp.
L’implant a ensuite compromis d’autres applications sur les appareils ciblés en échappant au bac à sable Android. Une fois installé, le logiciel espion permet à ses opérateurs d’accéder aux applications de messagerie des victimes.
Les infections de logiciels espions Graphite peuvent être détectées sur les appareils Android piratés à l’aide d’un artefact médico-légal (surnommé BIGPRETZEL) qui peut être repéré en analysant les journaux des appareils compromis.
Cependant, le manque de preuves d’infection n’exclut pas que les indicateurs médico-légaux soient écrasés ou non capturés en raison de « la nature sporadique des journaux Android. »
Citizen Lab a également cartographié l’infrastructure de serveur utilisée par Paragon pour déployer les implants de logiciels espions en graphite sur les appareils des cibles, trouvant des liens potentiels avec plusieurs clients gouvernementaux, notamment l’Australie, le Canada, Chypre, le Danemark, Israël et Singapour.
À partir du domaine d’un seul serveur au sein de l’infrastructure de Paragon, les chercheurs ont développé plusieurs empreintes digitales qui ont permis de découvrir 150 certificats numériques liés à des dizaines d’adresses IP censées faire partie d’une infrastructure de commande et de contrôle dédiée.
« Cette infrastructure comprenait des serveurs basés sur le cloud probablement loués par Paragon et/ou ses clients, ainsi que des serveurs probablement hébergés dans les locaux de Paragon et de ses clients gouvernementaux », ont déclaré les chercheurs.
« L’infrastructure que nous avons trouvée est liée à des pages Web intitulées « Paragon » renvoyées par des adresses IP en Israël (où Paragon est basé), ainsi qu’à un certificat TLS contenant le nom de l’organisation « Graphite », qui est le nom du logiciel espion de Paragon, et le nom commun « installerserver » (Pegasus, un logiciel espion concurrent, utilise le terme « Serveur d’installation » pour désigner un serveur conçu pour infecter un appareil avec un logiciel espion). »
Développeur israélien de logiciels espions Paragon Solutions Ltd. a été fondée en 2019 par Ehud Barak, l’ancien Premier ministre israélien, et Ehud Schneorson, l’ancien commandant de l’unité 8200 d’Israël. Le groupe d’investissement AE Industrial Partners, basé en Floride, aurait acquis la société en décembre 2024.
Contrairement à des concurrents comme NSO Group, Paragon affirme qu’il ne vend ses outils de surveillance qu’aux forces de l’ordre et aux agences de renseignement des pays démocratiques qui souhaitent cibler les criminels dangereux.