Les fournisseurs commerciaux de logiciels espions (CSV) étaient à l’origine de 80% des vulnérabilités zero-day découvertes par le Groupe d’analyse des menaces (TAG) de Google en 2023 et utilisées pour espionner les appareils dans le monde entier.

Les vulnérabilités Zero-day sont des failles de sécurité que les fournisseurs de logiciels concernés ne connaissent pas ou pour lesquelles il n’y a pas de correctifs disponibles.

Le TAG de Google a suivi les activités de 40 fournisseurs commerciaux de logiciels espions pour détecter les tentatives d’exploitation, protéger les utilisateurs de ses produits et aider à protéger la communauté au sens large en signalant les principales conclusions aux parties appropriées.

Sur la base de cette surveillance, Google a constaté que 35 des 72 exploits zero-day connus dans la nature ayant un impact sur ses produits au cours des dix dernières années peuvent être attribués à des fournisseurs de logiciels espions.

« Il s’agit d’une estimation inférieure, car elle ne reflète que les exploits connus de 0 jour. Le nombre réel d’exploits 0-day développés par les CSV ciblant les produits Google est presque certainement plus élevé après avoir pris en compte les exploits utilisés par les CSV qui n’ont pas été détectés par les chercheurs, les exploits dont l’attribution est inconnue et les cas où une vulnérabilité a été corrigée avant que les chercheurs ne découvrent des indications d’exploitation dans la nature. »- Google
Ces fournisseurs de logiciels espions utilisent les failles zero-day pour cibler les journalistes, les militants et les personnalités politiques selon les directives de leurs clients, y compris les gouvernements et les organisations privées.

Certains CSV notables mis en évidence dans le rapport de Google sont:

  • Cy4Gate et RC SLab: des entreprises italiennes connues pour les logiciels espions « Epeius » et « Hermit » pour Android et iOS. Le premier a acquis le second en 2022, mais opère de manière indépendante.
  • Intellexa: Alliance de sociétés de logiciels espions dirigée par Tal Dilian depuis 2019. Il combine des technologies telles que les logiciels espions Citrix « Predator » et les outils d’interception WiFi Whispers, offrant des solutions d’espionnage intégrées.
  • Egg Group: CSV italien à portée internationale créé en 2013. Il est connu pour les logiciels malveillants « Sky go free » et les logiciels espions « Virus », ciblant les appareils mobiles via des chaînes d’exploitation.
  • NSO Group: société israélienne célèbre pour les logiciels espions Pegasus et autres outils d’espionnage sophistiqués. Il poursuit ses opérations malgré les sanctions et les problèmes juridiques.
  • Varistance: CSV espagnol fournissant des solutions de sécurité sur mesure. Il collabore avec d’autres fournisseurs pour les exploits zero-day et est lié au framework Heliconia, en expansion aux EAU.

Ces fournisseurs vendent des licences d’utilisation de leurs produits pour des millions de dollars, permettant aux clients d’infecter des appareils Android ou iOS à l’aide d’exploits non documentés en 1 clic ou en zéro clic.

Certaines des chaînes d’exploitation utilisent des jours n, qui sont des failles connues pour lesquelles des correctifs sont disponibles, mais les retards de correction les rendent toujours exploitables à des fins malveillantes, souvent pendant de longues périodes.

Google affirme que les CSV sont devenus très agressifs dans leur chasse aux jours zéro, développant au moins 33 exploits pour des vulnérabilités inconnues entre 2019 et 2023.

Dans l’annexe du rapport détaillé de Google, on peut trouver une liste de 74 jours zéro utilisés par 11 CSV. Parmi ceux-ci, la majorité sont des jours zéro impactant Google Chrome (24) et Android (20), suivis d’Apple iOS (16) et Windows (6).

Lorsque les chercheurs au chapeau blanc découvrent et corrigent les failles exploitées, les CSV subissent souvent des dommages opérationnels et financiers importants alors qu’ils luttent pour reconstruire une voie d’infection alternative fonctionnelle.

« Chaque fois que Google et ses collègues chercheurs en sécurité découvrent et divulguent de nouveaux bogues, cela provoque des frictions pour les CSV et leur coûte des cycles de développement », explique Google.

« Lorsque nous découvrons et corrigeons les vulnérabilités utilisées dans les chaînes d’exploitation, cela protège non seulement les utilisateurs, mais empêche les CSV de respecter leurs accords avec les clients, les empêchant d’être payés et augmentant leurs coûts pour continuer à fonctionner. »

Cependant, cela ne suffit pas à enrayer la prolifération des logiciels espions, car la demande pour ces outils est forte et les contrats sont trop lucratifs pour que les CSV abandonnent.

Google demande que davantage de mesures soient prises contre l’industrie des logiciels espions, notamment des niveaux de collaboration plus élevés entre les gouvernements, l’introduction de directives strictes régissant l’utilisation des technologies de surveillance et des efforts diplomatiques avec les pays hébergeant des fournisseurs non conformes.

Google lutte de manière proactive contre les menaces de logiciels espions grâce à des solutions telles que la navigation sécurisée, la sécurité Gmail, le Programme de protection avancée (APP) et Google Play Protect, ainsi qu’en maintenant la transparence et en partageant ouvertement les informations sur les menaces avec la communauté technologique.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *