Il n’y a pas que la désinformation pour miner les élections qui concerneront, en 2024, 3 milliards d’humains : la surveillance électronique du personnel politiques, des dissidents, des journalistes, des défenseurs des droits de l’homme s’impose comme un sujet majeur de préoccupation.
En février 2024, le logiciel espion Pegasus a été découvert sur le téléphone portable de l’eurodéputée Nathalie Loiseau. Cet acte de piratage montre, à nouveau, qu’il est possible d’installer des logiciels espions dans un mobile à l’insu de son propriétaire.
Les entreprises qui vendent ces dispositifs en vantent les vertus pour lutter contre le terrorisme. Sauf que leurs clients, souvent des gouvernements, emploient ces logiciels, fournis « clés en main », contre qui bon leur semble.
40 entreprises actives dans la fourniture du logiciel espion
Google, dans une analyse fouillée, a dénombré 40 entreprises actives dans ce créneau, et pas forcément installées dans des pays autoritaires. C’est tout un service qui est vendu, pas un simple logiciel.
Il comprend une infrastructure qui permet de communiquer avec le software d’espionnage et de collecter les données (textos, mots de passe, emails, localisation, appels téléphoniques ou enregistrements vidéo ou audio).
Les sociétés qui les commercialisent ne se cachent pas, même si elles ne sont pas très disertes sur leurs clients ou l’utilisation réelle de leur produits.
Ces entreprises ont des sites web, des offres d’emploi, des équipes d’ingénierie, des communiqués de presse et sont présentes aux conférences internationales consacrées à la cybersécurité.
En réaction à cette menace, Google comme Apple redoublent d’efforts pour sécuriser Android et iOS.
Ces multinationales ont trop à perdre d’une perte de confiance de la part de leurs utilisateurs : le prix du service de surveillance proposé par les fabricants de logiciels espions s’en ressent.
Pour 8 millions d’euros, il est possible d’installer un logiciel dans 10 appareils mobiles (pas plus) simultanément, à l’aide d’un « exploit à un clic », autrement une unique interaction de la cible avec son mobile, via un lien vers un document à ouvrir pour installer le logiciel. Parfois, il ne faut même pas d’interaction du tout : délivrer un message suffit. Pour 1,2 million d’euros de plus, les cibles peuvent être à l’étranger.
Quand un logiciel espion a contaminé sa cible, il n’y reste pas forcément en permanence.
Il peut avoir été programmé pour « s’évanouir », sans éveiller l’attention du propriétaire du smartphone.
Mais l’option de persistance existe : pour que le logiciel demeure installé sur un téléphone, comptez un surcoût de 3 millions d’euros. A ce prix-là, beaucoup de clients préfèreront réinfecter la cible quand ils en ont besoin. Et seuls les gouvernements peuvent se permettre de tels investissements.
Une infection à 3 étapes
Pour entrer dans le mobile de sa cible, il faut se donner du mal. Et profiter d’un enchaînement de vulnérabilités, inconnues de Google et de Apple sans quoi ces géants du numérique les auraient corrigées. Elles doivent s’emboîter pour installer le logiciel espion.
Première vulnérabilité : une erreur dans le système d’exploitation du mobile, qui permet d’obtenir une augmentation des droits, dont le logiciel espion va tirer profit.
Cela ne suffit pas ; il en faut une deuxième, dite du « bac à sable ».
Chaque application mobile fonctionne en vase close, en utilisant une zone de mémoire où elle fait ce qu’elle doit faire, mais d’où elle ne peut pas accéder au reste du mobile, sauf autorisation donnée au moment de l’installation (en général).
La deuxième vulnérabilité est donc celle qui permettent de sortir du bac à sable et de se balader partout, sans alerter l’utilisateur final.
Enfin, il faut le chaînon manquant : la troisième vulnérabilité, celle qui permet l’exécution de code à distance, par exemple une suite de caractères spéciaux envoyées à une application de messagerie qui va l’interpréter comme du code informatique à exécuter.
Parfois, il est possible de faire l’économie de cette étape, en envoyant un lien à la cible, soi-disant venant de l’opérateur mobile avec un lien à cliquer pour rétablir la bonne qualité de la connexion.
Ce lien est un cheval de Troie pour télécharger une application sans passer par le Play Store ou Apple Store qui auraient tôt fait de la détecter. Les entreprises qui vendent ces logiciels ont évidemment des chercheurs qui découvrent (par successions d’essais et erreurs) ces vulnérabilités, mais ils les achètent aussi.
En venir à bout
La difficulté à trouver ces vulnérabilités et à les mettre en musique est en soi un garde-fou face aux risques d’espionnage.
Il n’y en a pas beaucoup qui permettent ces intrusions : Google en a dénombrée 53 sur 4 ans dont 33 qui auraient été découvertes par les sociétés de spyware. A chaque fois que les chercheurs de Google ou Apple en démantèlent une et proposent un correctif, c’est un logiciel espion qui ne fonctionne plus et la société qui le vend en est fort affaiblie.
Grâce aux efforts de chercheurs qui les traquent et révèlent leur vrai visage, comme Citizen Lab à l’origine de la découverte de Pegasus, les vendeurs de logiciels espions doivent changer de nom, disparaître, ce qui n’est évidemment pas bon quand on a un réseau commercial.
Leurs dirigeants, même s’ils sont inattaquables dans leurs pays d’origine, peuvent faire l’objet de citations en justice, de condamnations ou de mandats d’arrêt internationaux.
Les Etats-Unis ont décidé d’agir contre ces entreprises (ils n’en ont sans doute pas besoin pour leur propre usage : la NSA a tout ce qu’il faut dans ses tiroirs). Des sanctions sont appliquées contre celles qui franchissent la ligne rouge. Faire pression sur les pays et les gouvernements qui hébergent ces sociétés est un autre axe. Washington a même annoncé une politique restrictive de délivrance de visa pour toute personne utilisatrice à mauvais escient de ces logiciels.
En mars 2023, l’Australie, le Canada, le Costa Rica, le Danemark, la France, La Nouvelle-Zélande, Norvège, la Suède, la Suisse et le Royaume-Uni et les Etats-Unis se sont engagés à lutter contre la prolifération de ces outils.
Leurs objectifs annoncés : restreindre l’exportation de technologies qui permettent de développer ces systèmes de surveillance, s’engager avec la société civile à traquer ces logiciels, partager l’information, amener les utilisateurs à risque à faire inspecter leurs mobiles.
Faire passer ce business dans l’ombre le rendrait plus difficile d’accès. Mais les gouvernements demeurent dans l’ambiguïté face à cet outil qui peut leur nuire, mais qu’ils ne rechignent pas toujours à utiliser.
Ainsi, dans le European Media Freedom Act qui vient d’être voté pour protéger le journalisme en Europe, le recours aux logiciels espion contre la presse n’est pas totalement banni mais réservé aux cas graves, avec emprisonnement à la clé, sous l’autorité d’une décision judiciaire. La cible aura le droit de savoir et pourra contester cet usage devant la justice.
En 2023, certains pays s’étaient battus pour inclure dans les recours aux logiciels d’espionnage les cas relevant de la sécurité nationale.
sciencesetavenir