Les conseils de plusieurs autorités de cybersécurité pour se prémunir des logiciels espion

Les ONG, think-tanks, défenseurs des droits humains et leurs employés, ainsi que les journalistes, feraient partie des « groupes les plus ciblés » par les acteurs malveillants parrainés par des États (APT), et leurs mercenaires. Les autorités anglo-saxonnes, en guerre contre leurs « logiciels espion », expliquent comment tenter de s'en protéger.

Les autorités en charge de la cybersécurité des États-Unis, du Canada, de l'Estonie, du Japon, de la Finlande et du Royaume-Uni viennent de publier (.pdf) leurs « conseils à l'intention des communautés à haut risque » afin d'aider les personnes et organisations de la société civile ne disposant que de « ressources limitées » à « atténuer les menaces ».

Le guide relève que des organisations non gouvernementales (ONG) et de défense des droits humains, « et leur personnel », ainsi que des journalistes, « notamment », sont « souvent la cible des acteurs malveillants parrainés par des États » (ou « Advanced Persistant Threats (APT) », en VO) qui « cherchent à porter atteinte aux valeurs et aux intérêts démocratiques » :

« Plus précisément, ils ciblent principalement les organisations et leur personnel en ligne en vue d’exercer une contrainte et de faire de l’intimidation, du harcèlement et de la surveillance, que l’on peut qualifier de répression numérique transnationale. »

Ils chercheraient dès lors à « compromettre leurs dispositifs et réseaux organisationnels et personnels pour intimider, museler, contraindre ou harceler organisations et personnalités de la société civile, ou leur porter préjudice ».

« Pour ce faire, ils ont souvent recours à des logiciels espion », conclut l'introduction du guide. Ce dernier entend fournir des recommandations pour aider les organisations et personnes « à haut risque » à atténuer ce type de « cybermenaces courantes » parrainées par des États, « sur la base des comportements malveillants observés ».

L’industrie constate une intensification des cybermenaces politiques

Le guide précise avoir été élaboré dans le cadre de l’initiative High-Risk Community Protection (HRCP) de la CISA (l'ANSSI états-unienne) et de la campagne Defending Democracy du NCSC, son pendant britannique.

Mise en place en 2023, HRCP « est au cœur du travail » réalisé par la CISA pour ce qui est d’ « identifier les groupes à haut risque et d’établir des partenariats avec elles pour mieux comprendre les menaces auxquelles elles sont confrontées », déterminer les ressources susceptibles de renforcer leur défense et combler les lacunes en matière de soutien.

Defending Democracy vise de son côté à « établir des partenariats avec le public à haut risque et les personnalités politiques » afin de les aider à mieux comprendre les menaces sophistiquées qui ciblent tant leurs dispositifs personnels que ceux de leurs organisations.

Or, « l’industrie a signalé une intensification dans le nombre et la nature des cybermenaces ayant des motivations politiques et idéologiques et ciblant la société civile à l’échelle mondiale » :

« Selon les faits rapportés par l’industrie, ces organisations et leur personnel sont des cibles connues dans la mesure où les acteurs malveillants parrainés par des États cherchent à ébranler les valeurs démocratiques. »

Le guide précise aussi que l'Atlantic Council, Authentic8, Cisco Talos, Cloudflare et Meta y ont également contribué, mais pas le Citizen Lab de l'Université de Toronto, qui est pourtant l'organisme documentant le plus et le mieux ce type de logiciels espion parrainés par des États, notamment via leurs mercenaires privés et APT.

ONG et think tanks sont « les deux groupes les plus ciblés »

Le Rapport de défense numérique Microsoft 2023 relève ainsi que les ONG et les groupes de réflexion étaient « les deux groupes les plus ciblés » par les APT, suivis du secteur des technologies de l’information.

Depuis novembre 2023, les rapports de l'entreprise états-unienne de cybersécurité CrowdStrike révèlent pour leur part que cinq entités parrainées par des États sont connues pour cibler les groupes de réflexion, onze représentent des menaces potentielles pour les ONG, deux ciblent des organisations dissidentes et une est connue pour cibler les organismes sans but lucratif (OSBL).

Cloudflare a de son côté constaté que les cyberactivités malveillantes contre des organisations de la société civile étaient « généralement à la hausse ». Au cours du deuxième trimestre de 2023, les OSBL auraient ainsi été ciblés « plus souvent que toute autre industrie » au point que, « de tout le trafic dirigé vers les OSBL, 17,14 % correspondaient à des attaques par déni de service distribué (DDoS) ». Les OSBL se sont ensuite retrouvés, avec les médias, « au deuxième rang, derrière l’industrie métallurgique et minière », des victimes d'attaques DDoS.

L’Agence de l’Union européenne pour la cybersécurité (ENISA, pour European Union Agency for Cybersecurity) aurait, elle aussi, déterminé que les représentants de la société civile étaient « le deuxième secteur le plus ciblé à l’échelle mondiale » entre juillet 2022 à juin 2023.

OSINT, ingénierie sociale et répression numérique transnationale

Les auteurs du guide rappellent que les espions, pirates et mercenaires « font généralement des recherches préliminaires exhaustives pour en apprendre plus sur leurs victimes potentielles » en sources ouvertes (OSINT). Ils recueillent les informations susceptibles de les aider à procéder à de l'ingénierie sociale, en mode hameçonnage (phishing) ciblant les employés de l'organisation ou harponnage (spear phishing) ciblé, pour usurper leurs sessions ou pirater leurs terminaux :

« La répression numérique transnationale est souvent précédée d’une recherche exhaustive des sites Web organisationnels, des pages de médias sociaux, des publications géopolitiques et des communiqués de presse [...] pour recueillir l’information nécessaire au ciblage des organisations et de leurs représentants. »

Dans le cadre de ces activités malveillantes, précise le guide, les APT se présentent généralement comme des sources dignes de confiance (collègues, connaissances ou organisations établies) afin d'inciter les victimes à leur « fournir leurs identifiants d’ouverture de session – souvent en les saisissant dans un site Web contrôlé par l’auteure ou auteur de menace ».

Certains se font aussi fait passer pour des journalistes ou employés d'ONG sollicitant une entrevue, des institutions officielles transmettant des rapports et communiqués de presse (piégés) en pièces jointes ou invitant leurs victimes à cliquer sur un lien renvoyant vers un site destiné à collecter l'empreinte du terminal utilisé par la victime, voire à lui faire visiter un site web piégé, entraînant l'installation d'un malware ou logiciel espion.

En 2021, Meta a ainsi signalé qu'Earth Empusa, un APT pro-chinois dont l’objectif principal est de surveiller les activistes, journalistes et dissidents (et particulièrement les Ouïghours résidant à l’étranger), avait déployé des sites web trompeurs ressemblant à des magasins d’applications Android tiers :

« Ces fausses plateformes hébergeaient des applications personnalisées pour un auditoire ouïgour, y compris une application de clavier, une application de prière et une application de dictionnaire. »

L'Armée électronique syrienne (SEA, ou APT-C-27), un groupe spécialisé dans la conduite d’opérations ciblées contre des organisations humanitaires, journalistes et dissidents syriens pro-démocrates, avait de son côté camouflé ses applications malveillantes en les faisant passer pour des applications de VPN, fausses versions de Telegram et Facebook ou d'informations liées à la Syrie.

Des conseils pour les organisations...

Les auteurs du guide « encouragent fortement » les organisations de la société civile à mettre en place les « pratiques exemplaires » mentionnées par la CISA sur sa page Web Cross-Sector Cybersecurity Performance Goals (CPGs).

Ces « objectifs de performance intersectoriels en matière de cybersécurité » proposent en effet un ensemble de pratiques et de mesures de protection minimales à mettre en place en fonction des menaces et comportements les plus courants. Ils vont de la mise en œuvre d'une authentification multifacteur (AMF, ou authentification forte) à l'élaboration et la mise en pratique de plans d’intervention et de reprise en cas d’incident.

Il y est aussi question de désactiver les comptes non utilisés ou devenus inutiles, ainsi que des utilisateurs ayant quitté l'organisation, de supprimer leurs accès aux ressources organisationnelles, d'appliquer le principe de droit d’accès minimal pour limiter les dommages qu’un APT pourrait infliger s’il arrivait à compromettre un compte, mais aussi de surveiller les activités non autorisées ou malveillantes :

« L’utilisation des comptes d'administrateurs devrait faire l’objet d’une surveillance régulière pour détecter toute activité non autorisée et malveillante. »

Les piratages et cyberattaques passant souvent par des prestataires de service, le guide invite les organisations à exercer une « diligence raisonnable » au moment de choisir leurs fournisseurs, passer en revue les « relations contractuelles » avec tous les fournisseurs de services en accordant la priorité aux fournisseurs de services essentiels, et s’assurer que les contrats tiennent compte de la mise en œuvre de :

• • contrôles de sécurité adaptés pour répondre aux besoins particuliers de la clientèle ;

• • la surveillance et la journalisation appropriées des systèmes client gérés par les fournisseurs ;

• • une surveillance continue de la présence du fournisseur de services, de ses activités et de ses connexions au réseau client pour garantir sa conformité aux objectifs de performance de la cybersécurité et aux principes du développement sécurisé ;

• • la notification d’une liste à jour des destinataires des événements de sécurité et des incidents confirmés ou soupçonnés sur l’infrastructure et le réseau d’administration du fournisseur.

... et les personnes « à haut risque »

Pour les particuliers et représentants individuels des organisations, le guide propose des mesures d’atténuation concordant avec celles proposées dans le cadre du projet Upskill (que l'on pourrait traduire par « compétences supérieures », ou « améliorer les compétences ») de la CISA.

Développé dans le cadre des efforts de planification de l’initiative « High-Risk Community Protection » de la Joint Cyber Defense Collaborative de la CISA en 2023, le projet Upskill se présente comme une série de guides visant à aider les personnes ne disposant pas de connaissances techniques à renforcer leur sécurité numérique.

Au-delà des recommandations habituelles (authentification multifacteur, prudence sur les réseaux sociaux et avant de cliquer sur des liens ou d'ouvrir des pièces jointes, mises à jour automatiques et sans tarder), le guide fournit également des conseils inspirés de ceux qui peuvent être données aux personnalités particulièrement exposées, voire aux agents de services de renseignement :

• • préconisez un partage limité de données avec vos proches afin de renforcer votre sécurité contre toute exploitation potentielle ;

• • confirmez l’identité de vos contacts sur les médias sociaux pour atténuer le risque de faux profils et d'ingénierie sociale ;

• • restez à l’affût des tentatives d’usurpation d’identité, en particulier s’il s’agit de personnes prétendant être des journalistes ou des personnalités ;

• • sur les iPhone et les iPad, activez l’adresse Wi-Fi privée d’iOS ; dans un environnement constituant une cible à haut risque, vous pourriez envisager d’activer le mode Isolement (Lockdown) d’iOS ;

• • considérez le recours à des solutions d’isolation de navigateurs à distance pour renforcer la sécurité de la navigation Web au cours d’une recherche de nature sensible ;

• • utilisez un compte d’utilisateur standard pour la navigation et les autres tâches routinières ;

• • redémarrez votre terminal mobile une fois par semaine pour éliminer les espiogiciels possiblement installés ;

• • Pour se protéger des logiciels espions : redémarrez votre téléphone (entre autres)

Le chiffrement est essentiel à la protection de toutes les communications

Le guide rappelle par ailleurs que « le chiffrement est essentiel à la protection de toutes les communications établies avec des services en ligne » et préconise donc d' « utiliser des mesures de chiffrement pour protéger toutes les communications lors d’interactions avec des services en ligne » :

« Sans le chiffrement, les acteurs malveillants peuvent exploiter des canaux non chiffrés et non authentifiés pour injecter des maliciels dans les dispositifs des utilisatrices et utilisateurs, ce qui pose des risques importants pour la vie privée et la sécurité. »

Le guide recommande dès lors l’utilisation d’applications de messageries chiffrées, qui permettent de renforcer la sécurité que ne le permet pas le protocole HTTPS. Il est ainsi possible de s’assurer que les messages et les appels sont intacts et confidentiels, et que des parties non autorisées ne seront pas en mesure de les consulter.

Une version francisée pour le moins problématique

On regrette que la version française proposée par le Centre canadien pour la cybersécurité ne prenne même pas la peine de préciser qu'elle a semble-t-il fait l'objet d'une traduction automatisée, voire qu'elle n'aurait pas été vérifiée et validée, ce qui poserait problème pour des conseils prodigués à des personnes et groupes « à haut risque ».

Le texte fait ainsi 10 mentions de la notion de « piratage psychologique », traduction québécoise de l'anglais « social engineering », généralement traduite en français par « ingénierie sociale ».

Plus gênant : certaines traductions semblent aussi avoir été « hallucinées » par une IA, au bénéfice de termes et expressions inappropriées, telles que « collectivités » à la place de « communautés » ou de « groupes ».

La francisation alourdit également inutilement le texte par une féminisation systématique et inappropriée de certains termes, à commencer par la mention des « auteures et auteurs de menace persistante avancée (MPA) parrainés par des États » en lieu et place des « acteurs [non genrés, puisqu'il s'agit des groupes qualifiés d' « Advanced Persistant Threats (APT) », pour reprendre l'expression consacrée, ndlr] parrainés par des États ».

La version originale, en anglais, explique aussi et par exemple que « Usage of admin user accounts should be regularly monitored to detect unauthorized and malicious activity », ce que la version québécoise traduit par « L’utilisation des comptes utilisateurs devrait faire l’objet d’une surveillance régulière pour détecter toute activité non autorisée et malveillante », confondant les administrateurs avec les utilisateurs...

Autre exemple de contre-sens : la VO (traduite par Deepl, et non corrigée) avance que « les utilisateurs devraient privilégier l'accès aux sites web et aux services via HTTPS, qui chiffre les données échangées entre l'appareil de l'utilisateur et le serveur du site web, protégeant ainsi contre l'écoute et la falsification par des acteurs malveillants ».

Sa traduction, en français, déforme cette préconisation en avançant que « les utilisatrices et utilisateurs devraient accorder une plus grande importance à l’accès aux sites Web et aux services qu’à l’utilisation du protocole HTTPS, qui chiffre les données échangées entre le dispositif de l’utilisatrice ou utilisateur et le serveur du site Web, offrant du coup une protection contre l’écoute clandestine et le trafiquage par des auteures et auteurs de menace ».

Un guide tardif, dans un contexte anxiogène

On notera enfin que, si les recommandations constituent un tour d'horizon bien documenté et mis à jour des modèles de menace en vigueur, cette prise de conscience est pour le moins tardive.

La première mention du logiciel espion de la société italienne HackingTeam, par l'auteur de ces lignes, date en effet de 2007, lorsque je l'avais mentionné au détour d'un florilège compilé à l'occasion d'une visite de Milipol, le salon de la sécurité intérieure des États réservé aux professionnels de la sécurité, où le pionnier des chevaux de Troie commercialisés à des États était venu promouvoir son spyware.

On en retrouve d'ailleurs la trace dans les e-mails de Hacking Team, que Wikileaks avait mis en ligne suite au piratage de son système d'information, et que le site spyworld-actu.com, qui faisait alors référence en la matière, présentait de la sorte :

« La société italienne Hacking Team propose RCS, Remote Control Stystem. C’est un cheval de Troie légal destiné aux forces de polices pour lutter contre le terrorisme ou la pédophilie. Ce "logiciel" permet de surveiller toute activité sur un ordinateur de manière complètement invisible pour la cible, même si elle utilise des outils de monitoring avancés. Sites visités, documents, e-mails, touches frappées au clavier (pour récupérer des mots de passe par exemple) et même conversation Skype (avant le cryptage) sont surveillés.

Il peut être installé par CD ou clef USB lorsqu’un accès physique à la machine est possible ; sinon l’installation se fait par internet par des "techniques de piratage automatiques". Cerise sur le gâteau, chaque RCS est unique, deux RCS installés sur la même machine n’entrent donc pas en conflit. C’est ça le piratage éthique... »

Avaient ensuite suivi la série des SpyFiles, en partenariat avec Wikileaks et des médias de six pays – L’ARD en Allemagne, Le Bureau of Investigative Journalism au Royaume-Uni, The Hindu en Inde, L’espresso en Italy, OWNI en France et le Washington Post aux États-Unis –, à partir de 2011 et jusqu'en 2014, sur la base de plaquettes de promotion et de documents vantant les mérites des produits de près de 160 marchands d'armes de cybersurveillance.

Les révélations Snowden, à partir de 2013, puis le Projet Pegasus, à partir de 2021, ont certes contribué à vulgariser ce business florissant, mais au prix d'une « panique morale » et de nombreux raccourcis ou approximations autour de la notion de « surveillance de masse », ou encore du nombre, très largement exagéré, de personnes ayant réellement été ciblées par le logiciel espion Pegasus de la société NSO.

• • Pegasus : 50 000 « cibles potentielles » ? (1/2)

Le Pegasus Project avait en effet laissé entendre que Pegasus avait ciblé 50 000 « cibles potentielles », quand bien même leur consortium de 80 journalistes de 17 rédactions émanant de 10 pays n'avait pourtant identifié qu'un peu « plus de 1 000 » de leurs détenteurs, et donc que 98 % des utilisateurs de ces 50 000 numéros de téléphone n'avaient pas été identifiés.

De plus, sur les 67 smartphones alors autopsiés par AmnestyTech, seuls 37 (dont 15 journalistes) avaient alors « montré des signes d'activité de Pegasus », soit 55 % des 67 terminaux autopsiés, 3,7 % de ceux dont les détenteurs ont été identifiés, et 0,074 % du total.

Depuis, la liste des cibles avérées de Pegasus maintenue par l'experte en cybersécurité Runa Sandvik en dénombre certes 130 (dont 99 journalistes, 43 avocats, 39 « activistes », 10 employés et 7 responsables politiques), soit 13 % des « plus de 1 000 » numéros de téléphone dont les propriétaires avaient pu être identifiés, mais 0,26 % seulement des « 50 000 cibles potentielles » initialement mentionnées, et largement reprises dans les médias ayant relayé l'info.

La publication de ce guide intervient après que plusieurs marchands de logiciels espion ont été placés sur liste noire par les États-Unis, et que plusieurs pays se soient prononcés contre la prolifération non contrôlée de ce type d'armes de cybersurveillance, notamment dans les pays autoritaires ou connus pour réprimer l'opposition.

• • Les États-Unis ajoutent deux nouveaux marchands de logiciels espions israéliens à sa liste noire

• • Logiciels espion : les États-Unis, la France et le Royaume-Uni veulent lutter contre les « abus »

• • 23 personnes, dont 7 ministres en exercice, identifiées comme « victimes » de Pegasus

On relèvera enfin qu'en France, qui aurait pourtant été, elle aussi, ciblée par Pegasus (et dont l'enquête à ce sujet aurait récemment permis à l'Espagne de rouvrir son enquête au sujet des clients de NSO), ni l'ANSSI ni la CNIL n'ont à ce jour proposé de recommandations en la matière.