Logiciels espion : les États-Unis, la France et le Royaume-Uni veulent lutter contre les « abus »

Les États-Unis veulent priver de visa tout individu soupçonné d'avoir été impliqué dans une « utilisation abusive » d'un logiciel espion commercial, ainsi que ses conjoint et enfants. La France et le Royaume-Uni lancent de leur côté une initiative réunissant 35 pays, et plusieurs entreprises privées.

Ce lundi 5 février, Anthony Blinken, secrétaire d'État des États-Unis, a annoncé une nouvelle politique de restriction des visas ciblant les personnes « impliquées dans l'utilisation abusive de logiciels espions commerciaux ».

Sont concernées les individus « soupçonnés d'avoir été impliqués » dans l'utilisation de logiciels espions commerciaux pour « cibler, surveiller arbitrairement ou illégalement, harceler, supprimer ou intimider des personnes, notamment des journalistes, des militants, d'autres personnes perçues comme des dissidents pour leur travail, des membres de communautés marginalisées ou de populations vulnérables, ou les membres de la famille de ces personnes ciblées ».

• Pegasus : les États-Unis placent NSO sur « liste noire »
• Les États-Unis interdisent l'achat de logiciels espion utilisés à des fins politiques
• Les États-Unis ajoutent deux nouveaux marchands de logiciels espions israéliens à sa liste noire

Fait notable : sont visées, non seulement les personnes « soupçonnées de faciliter ou de tirer un avantage financier » de l'utilisation abusive des logiciels espions commerciaux, « y compris, mais sans s'y limiter, le développement, la direction ou le contrôle opérationnel de sociétés qui fournissent des technologies telles que des logiciels espions commerciaux à des gouvernements, ou à des personnes agissant au nom de gouvernements », mais également les membres de leurs familles immédiates, à savoir leurs « conjoints et enfants de tous âges ».

Le « Processus de Pall Mall »

Mardi, le Royaume-Uni et la France accueillaient de leur côté 35 nations à l'occasion d'une conférence inaugurale de deux jours « visant à lutter contre la prolifération et l'utilisation irresponsable des outils et services commerciaux de cyberintrusion et la menace qu'ils représentent pour la sécurité internationale, les droits de l'homme et la stabilité du cyberespace ».

Y figureront également des représentants d'entreprises et de sociétés technologiques leaders telles qu'Apple, BAE Systems, Google, HackerOne, Meta, Microsoft et YesWeHack.

Le Centre national de cybersécurité (NCSC, l'ANSSI britannique) avance que « le secteur des cyberintrusions commerciales double tous les dix ans », et que « des milliers de personnes sont ciblées chaque année dans le monde ».

• • Pegasus : 50 000 « cibles potentielles » ? (1/2)

• • Pour se protéger des logiciels espions : redémarrez votre téléphone (entre autres)

• • Onze pays (dont la France) s'engagent à enrayer la prolifération de logiciels espion utilisés à des fins politiques

Face à cette menace, le vice-Premier ministre Oliver Dowden annoncera le lancement d'une nouvelle initiative internationale, le « Pall Mall Process » (« Processus de Pall Mall » en français), qui sera signée par les États et les entreprises participants qui s'engageront à agir conjointement sur la question.

Les signataires y encouragent « vivement les États, le secteur privé, la société civile, le monde universitaire, les membres de la communauté technique et les particuliers à continuer de développer à l’échelle mondiale les capacités cyber à des fins défensives pour assurer un accès sûr, sécurisé, inclusif et fiable aux opportunités offertes par les technologies numériques ».

La déclaration avance que « des mesures devraient être prises, en tant que de besoin, pour demander des comptes aux États dont les actions ne respectent pas le droit international des droits de l’Homme, et aux acteurs non étatiques dans le cadre national ».

Une conférence de suivi sera organisée en France en 2025 pour examiner les progrès accomplis dans le cadre de ce programme et faire avancer les discussions. Et ce, alors que lors du sommet Royaume-Uni-France de 2023, les deux pays s'étaient déjà engagés à travailler ensemble sur le sujet.

Le Monde souligne cela dit que « de nombreux écueils s’annoncent : d’une part, l’objectif n’est pas d’empêcher purement et simplement l’utilisation et le commerce de ce type de logiciels si ces derniers sont utilisés pour lutter contre la grande criminalité, ou bien dans l’industrie de la cybersécurité pour tester la robustesse des systèmes informatiques en vue de leur sécurisation ».

Alors qu' « il est compliqué de détecter – et donc de contrôler – l’utilisation de ces outils ». D’autre part, conclut notre confrère, « certains des pays les plus prolifiques en matière de développement de logiciels offensifs, comme Israël, ne sont pas présents, malgré des invitations répétées des organisateurs ».

Une quarantaine de marchands de logiciels espion

Ce même mardi 6 février, en prévision de ce « Pall Mall Process », le Threat Analysis Group (TAG) de Google a de son côté publié un rapport documentant la montée en puissance des fournisseurs de surveillance commerciale et de l'industrie qui « menacent la liberté d'expression, la liberté de la presse et l'ouverture de l'internet ».

Intitulé « Buying Spying », il présente la vision qu'a le TAG de la quarantaine de vendeurs de logiciels de surveillance commerciale (Commercial Surveillance Vendors - CSV) qu'il suit activement, mais dont il ne mentionne que 15 : les israéliens Candiru, QuaDream, Wintego systems et NSO Group (connu pour son logiciel espion Pegasus), les italiens Negg Group, Cy4Gate et sa filiale RCS Lab, l'Alliance Intellexa (notamment composée du français Nexa Technologies – ex-Amesys –, Cytrox, WiSpear et Senpai), l'espagnol Variston, et l'autrichien DSIRF (qui, comme Quadream, a depuis cessé ses activités).

• • Chez Google, la moitié des attaques 0-day sont dues aux entreprises de logiciels espion

• • « L’Union européenne est un sanctuaire pour les fabricants de logiciels espions »

• • Israël a torpillé le marché des logiciels espions et précipité la chute de QuaDream

• • NSO dénombre 22 utilisateurs actifs de son logiciel espion Pegasus dans 12 pays européens

• • NSO (Pegasus) veut accueillir plus d'employés : nouveaux locaux et communication décomplexée

Les CSV sont en effet « à l'origine de la moitié des exploits 0-day connus ciblant les produits Google ainsi que les appareils de l'écosystème Android ».

Le TAG relève que si les principaux CSV « attirent l'attention du public et font les gros titres », il en existe « des dizaines d'autres qui sont moins remarqués », bien qu'ils jouent un rôle important dans le développement des logiciels espions.

Le TAG souligne à ce titre que si les gouvernements ont longtemps eu le monopole en matière d'armes de surveillance cyber, « cette époque est révolue » : « le secteur privé est désormais responsable d'une grande partie des outils les plus sophistiqués que nous détectons ».

Quatre groupes principaux, ayant « trouvé rentable de travailler ensemble », favorisent l'essor de ce secteur, souligne le rapport :

• • les chercheurs de vulnérabilités et développeurs d'exploits qui, plutôt que de rentabiliser leur travail en améliorant la sécurité des produits (en contribuant, par exemple, à des programmes de « bug bounty »), exploitent leurs connaissances pour développer et vendre des exploits à des courtiers, ou directement à des CSV ;

• • les courtiers spécialisés dans la vente d'exploits à des clients « qui sont souvent, mais pas toujours, des gouvernements » ;

• • les marchands de produits de surveillance (CSV) ou acteurs offensifs du secteur privé (Private Sector Offensive Actors - PSOA), axés sur le développement et la vente de logiciels espions en tant que produits, « y compris les mécanismes de livraison initiaux, les exploits, l'infrastructure de commande et de contrôle (C2) et les outils d'organisation des données collectées » ;

• • les clients gouvernementaux qui achètent (fort chers) des logiciels espions aux CSV, dont la demande « reste forte », au point que le TAG souligne « l'ampleur de la prolifération des capacités de piratage et d'espionnage des CSV, qui affaiblissent la sécurité de l'internet pour tous ».

8 millions de dollars pour espionner 10 terminaux

Le rapport du TAG évoque ainsi un devis du consortium Intellexa d'un montant de 8 millions de dollars permettant, pendant un an, d'infecter jusqu'à 10 terminaux en simultané, via 100 infections réussies, sur le territoire national du client gouvernemental.

La persistance était proposée via une licence supplémentaire d'un montant de 3 millions d'euros, mais précisait que l'infection « ne survivrait pas à une réinitialisation d'usine et n'empêcherait pas les mises à jour de version sur l'appareil ».

TAG relève que de nombreux clients n'optent pas pour la persistance, préférant tenter de réinfecter régulièrement les portables de leurs cibles.

Un module complémentaire d'un montant supplémentaire de 1,2 million d'euros permettait au surplus d'accéder à cinq pays supplémentaires « à convenir d'un commun accord, sans limitation géographique de l'emplacement de la cible ».

Ces coûts élevés visent également à pouvoir acheter de nouvelles failles de sécurité, et développer de nouveaux exploits, afin de pouvoir rebondir suite aux mises à jour de sécurité effectuées par Google et Apple sur leurs écosystèmes iOS et Android, les deux multinationales redoublant d'efforts en la matière depuis les révélations Snowden puis celle du Projet Pegasus.

TAG raconte ainsi qu'il a fallu 45 jours pour qu'Intellexa parvienne à exploiter une nouvelle chaîne d'exploits après que Google ait patché une vulnérabilité « 0 day » que le consortium exploitait dans Chrome jusqu'en avril 2023. Or, il ne fallut que 4 jours seulement à TAG pour corriger la nouvelle faille « 0 day » d'Intellexa.

En 2023, TAG indique avoir découvert 25 vulnérabilités 0-day en cours d'exploitation active, dont 20 ont été exploités par des fournisseurs de systèmes de surveillance commerciale, précise The Register, qui estime que cette industrie pèserait 12 milliards de dollars par an.