Logiciels espion : les États-Unis, la France et le Royaume-Uni veulent lutter contre les « abus »
À consommer avec modération
Les États-Unis veulent priver de visa tout individu soupçonné d'avoir été impliqué dans une « utilisation abusive » d'un logiciel espion commercial, ainsi que ses conjoint et enfants. La France et le Royaume-Uni lancent de leur côté une initiative réunissant 35 pays, et plusieurs entreprises privées.
Le 09 février à 14h43
9 min
Droit
Droit
Ce lundi 5 février, Anthony Blinken, secrétaire d'État des États-Unis, a annoncé une nouvelle politique de restriction des visas ciblant les personnes « impliquées dans l'utilisation abusive de logiciels espions commerciaux ».
Sont concernées les individus « soupçonnés d'avoir été impliqués » dans l'utilisation de logiciels espions commerciaux pour « cibler, surveiller arbitrairement ou illégalement, harceler, supprimer ou intimider des personnes, notamment des journalistes, des militants, d'autres personnes perçues comme des dissidents pour leur travail, des membres de communautés marginalisées ou de populations vulnérables, ou les membres de la famille de ces personnes ciblées ».
- Pegasus : les États-Unis placent NSO sur « liste noire »
- Les États-Unis interdisent l'achat de logiciels espion utilisés à des fins politiques
- Les États-Unis ajoutent deux nouveaux marchands de logiciels espions israéliens à sa liste noire
Fait notable : sont visées, non seulement les personnes « soupçonnées de faciliter ou de tirer un avantage financier » de l'utilisation abusive des logiciels espions commerciaux, « y compris, mais sans s'y limiter, le développement, la direction ou le contrôle opérationnel de sociétés qui fournissent des technologies telles que des logiciels espions commerciaux à des gouvernements, ou à des personnes agissant au nom de gouvernements », mais également les membres de leurs familles immédiates, à savoir leurs « conjoints et enfants de tous âges ».
Le « Processus de Pall Mall »
Mardi, le Royaume-Uni et la France accueillaient de leur côté 35 nations à l'occasion d'une conférence inaugurale de deux jours « visant à lutter contre la prolifération et l'utilisation irresponsable des outils et services commerciaux de cyberintrusion et la menace qu'ils représentent pour la sécurité internationale, les droits de l'homme et la stabilité du cyberespace ».
Y figureront également des représentants d'entreprises et de sociétés technologiques leaders telles qu'Apple, BAE Systems, Google, HackerOne, Meta, Microsoft et YesWeHack.
Le Centre national de cybersécurité (NCSC, l'ANSSI britannique) avance que « le secteur des cyberintrusions commerciales double tous les dix ans », et que « des milliers de personnes sont ciblées chaque année dans le monde ».
Face à cette menace, le vice-Premier ministre Oliver Dowden annoncera le lancement d'une nouvelle initiative internationale, le « Pall Mall Process » (« Processus de Pall Mall » en français), qui sera signée par les États et les entreprises participants qui s'engageront à agir conjointement sur la question.
Les signataires y encouragent « vivement les États, le secteur privé, la société civile, le monde universitaire, les membres de la communauté technique et les particuliers à continuer de développer à l’échelle mondiale les capacités cyber à des fins défensives pour assurer un accès sûr, sécurisé, inclusif et fiable aux opportunités offertes par les technologies numériques ».
La déclaration avance que « des mesures devraient être prises, en tant que de besoin, pour demander des comptes aux États dont les actions ne respectent pas le droit international des droits de l’Homme, et aux acteurs non étatiques dans le cadre national ».
Une conférence de suivi sera organisée en France en 2025 pour examiner les progrès accomplis dans le cadre de ce programme et faire avancer les discussions. Et ce, alors que lors du sommet Royaume-Uni-France de 2023, les deux pays s'étaient déjà engagés à travailler ensemble sur le sujet.
Le Monde souligne cela dit que « de nombreux écueils s’annoncent : d’une part, l’objectif n’est pas d’empêcher purement et simplement l’utilisation et le commerce de ce type de logiciels si ces derniers sont utilisés pour lutter contre la grande criminalité, ou bien dans l’industrie de la cybersécurité pour tester la robustesse des systèmes informatiques en vue de leur sécurisation ».
Alors qu' « il est compliqué de détecter – et donc de contrôler – l’utilisation de ces outils ». D’autre part, conclut notre confrère, « certains des pays les plus prolifiques en matière de développement de logiciels offensifs, comme Israël, ne sont pas présents, malgré des invitations répétées des organisateurs ».
Une quarantaine de marchands de logiciels espion
Ce même mardi 6 février, en prévision de ce « Pall Mall Process », le Threat Analysis Group (TAG) de Google a de son côté publié un rapport documentant la montée en puissance des fournisseurs de surveillance commerciale et de l'industrie qui « menacent la liberté d'expression, la liberté de la presse et l'ouverture de l'internet ».
Intitulé « Buying Spying », il présente la vision qu'a le TAG de la quarantaine de vendeurs de logiciels de surveillance commerciale (Commercial Surveillance Vendors - CSV) qu'il suit activement, mais dont il ne mentionne que 15 : les israéliens Candiru, QuaDream, Wintego systems et NSO Group (connu pour son logiciel espion Pegasus), les italiens Negg Group, Cy4Gate et sa filiale RCS Lab, l'Alliance Intellexa (notamment composée du français Nexa Technologies – ex-Amesys –, Cytrox, WiSpear et Senpai), l'espagnol Variston, et l'autrichien DSIRF (qui, comme Quadream, a depuis cessé ses activités).
Les CSV sont en effet « à l'origine de la moitié des exploits 0-day connus ciblant les produits Google ainsi que les appareils de l'écosystème Android ».
Le TAG relève que si les principaux CSV « attirent l'attention du public et font les gros titres », il en existe « des dizaines d'autres qui sont moins remarqués », bien qu'ils jouent un rôle important dans le développement des logiciels espions.
Le TAG souligne à ce titre que si les gouvernements ont longtemps eu le monopole en matière d'armes de surveillance cyber, « cette époque est révolue » : « le secteur privé est désormais responsable d'une grande partie des outils les plus sophistiqués que nous détectons ».
Quatre groupes principaux, ayant « trouvé rentable de travailler ensemble », favorisent l'essor de ce secteur, souligne le rapport :
-
- les chercheurs de vulnérabilités et développeurs d'exploits qui, plutôt que de rentabiliser leur travail en améliorant la sécurité des produits (en contribuant, par exemple, à des programmes de « bug bounty »), exploitent leurs connaissances pour développer et vendre des exploits à des courtiers, ou directement à des CSV ;
-
- les courtiers spécialisés dans la vente d'exploits à des clients « qui sont souvent, mais pas toujours, des gouvernements » ;
-
- les marchands de produits de surveillance (CSV) ou acteurs offensifs du secteur privé (Private Sector Offensive Actors - PSOA), axés sur le développement et la vente de logiciels espions en tant que produits, « y compris les mécanismes de livraison initiaux, les exploits, l'infrastructure de commande et de contrôle (C2) et les outils d'organisation des données collectées » ;
-
- les clients gouvernementaux qui achètent (fort chers) des logiciels espions aux CSV, dont la demande « reste forte », au point que le TAG souligne « l'ampleur de la prolifération des capacités de piratage et d'espionnage des CSV, qui affaiblissent la sécurité de l'internet pour tous ».
8 millions de dollars pour espionner 10 terminaux
Le rapport du TAG évoque ainsi un devis du consortium Intellexa d'un montant de 8 millions de dollars permettant, pendant un an, d'infecter jusqu'à 10 terminaux en simultané, via 100 infections réussies, sur le territoire national du client gouvernemental.
La persistance était proposée via une licence supplémentaire d'un montant de 3 millions d'euros, mais précisait que l'infection « ne survivrait pas à une réinitialisation d'usine et n'empêcherait pas les mises à jour de version sur l'appareil ».
TAG relève que de nombreux clients n'optent pas pour la persistance, préférant tenter de réinfecter régulièrement les portables de leurs cibles.
Un module complémentaire d'un montant supplémentaire de 1,2 million d'euros permettait au surplus d'accéder à cinq pays supplémentaires « à convenir d'un commun accord, sans limitation géographique de l'emplacement de la cible ».
Ces coûts élevés visent également à pouvoir acheter de nouvelles failles de sécurité, et développer de nouveaux exploits, afin de pouvoir rebondir suite aux mises à jour de sécurité effectuées par Google et Apple sur leurs écosystèmes iOS et Android, les deux multinationales redoublant d'efforts en la matière depuis les révélations Snowden puis celle du Projet Pegasus.
TAG raconte ainsi qu'il a fallu 45 jours pour qu'Intellexa parvienne à exploiter une nouvelle chaîne d'exploits après que Google ait patché une vulnérabilité « 0 day » que le consortium exploitait dans Chrome jusqu'en avril 2023. Or, il ne fallut que 4 jours seulement à TAG pour corriger la nouvelle faille « 0 day » d'Intellexa.
En 2023, TAG indique avoir découvert 25 vulnérabilités 0-day en cours d'exploitation active, dont 20 ont été exploités par des fournisseurs de systèmes de surveillance commerciale, précise The Register, qui estime que cette industrie pèserait 12 milliards de dollars par an.
Logiciels espion : les États-Unis, la France et le Royaume-Uni veulent lutter contre les « abus »
-
Le « Processus de Pall Mall »
-
Une quarantaine de marchands de logiciels espion
-
8 millions de dollars pour espionner 10 terminaux
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/02/2024 à 15h14
Le 09/02/2024 à 15h27
Le 09/02/2024 à 19h17
Sinon tout ça ne me paraît être qu'une vaste blague ...
Le 10/02/2024 à 10h43
Interdire sur un simple soupçon sur des activités de ce type violant tout un tas de droits fondamentaux, pourquoi pas tant qu'il y a des voies de recours (c'est indispensable dans un état de droit), mais il faut laisser la famille en dehors de ça sans soupçons aussi pour les mêmes activités.
Le 12/02/2024 à 11h24
Les USA ne sont plus un état de droit depuis un petit moment
Le 10/02/2024 à 20h32