Une coalition de dizaines de pays, dont la France, le Royaume-Uni et les États-Unis, ainsi que des entreprises technologiques telles que Google, MDSec, Meta et Microsoft, ont signé un accord commun pour lutter contre l’utilisation abusive de logiciels espions commerciaux visant à commettre des violations des droits de l’homme.
L’initiative, baptisée Processus du centre commercial Pallvise à lutter contre la prolifération et l’utilisation irresponsable des outils commerciaux de cyber-intrusion en établissant des principes directeurs et des options politiques pour les États, l’industrie et la société civile en ce qui concerne le développement, la facilitation, l’achat et l’utilisation de ces outils.
La déclaration indique que la « diffusion incontrôlée » d’offres de logiciels espions contribue à « une escalade involontaire dans le cyberespace », soulignant qu’elle présente des risques pour la cyberstabilité, les droits de l’homme, la sécurité nationale et la sécurité numérique.
« Lorsque ces outils sont utilisés de manière malveillante, les attaques peuvent accéder aux appareils des victimes, écouter des appels, obtenir des photos et contrôler à distance une caméra et un microphone via un logiciel espion « zéro clic », ce qui signifie qu’aucune interaction de l’utilisateur n’est nécessaire », a déclaré le gouvernement britannique. dit dans un communiqué de presse.
Selon le National Cyber Security Center (NCSC), on estime que des milliers de personnes sont ciblées chaque année dans le monde par des campagnes de logiciels espions.
« Et à mesure que le marché commercial de ces outils se développe, le nombre et la gravité des cyberattaques compromettant nos appareils et nos systèmes numériques augmenteront également, causant des dommages de plus en plus coûteux et rendant plus difficile que jamais la protection des institutions et des services publics par nos cyberdéfenses. , » Vice-Premier ministre Oliver Dowden dit à la conférence France-Royaume-Uni sur la Cyberprolifération.
L’absence notable de la liste des pays ayant participé à l’événement est Israël, qui abrite un certain nombre d’acteurs offensifs du secteur privé (PSOA) ou de fournisseurs de services de surveillance commerciale (CSV) tels que Candiru, Intellexa (Cytrox), NSO Group et QuaDream. .
Nouvelles futures enregistrées signalé que la Hongrie, le Mexique, l’Espagne et la Thaïlande – qui ont été associés à des abus de logiciels espions dans le passé – n’ont pas signé l’engagement.
L’action multipartite coïncide avec une annonce du Département d’État américain de refuser des visas aux personnes qu’il juge impliquées dans l’utilisation abusive de technologies de logiciels espions dangereux.
« Jusqu’à récemment, le manque de responsabilité a permis à l’industrie des logiciels espions de faire proliférer des outils de surveillance dangereux dans le monde entier », a déclaré Google dans un communiqué partagé avec The Hacker News. « Limiter la capacité des fournisseurs de logiciels espions à opérer aux États-Unis contribue à modifier la structure d’incitation qui a permis leur croissance continue. »
D’une part, les logiciels espions tels que Chrysaor et Pégase sont concédés sous licence à des clients gouvernementaux pour une utilisation dans le cadre de l’application de la loi et de la lutte contre le terrorisme. D’un autre côté, ils ont également été régulièrement exploités par des régimes oppressifs pour cibler des journalistes, des militants, des avocats, des défenseurs des droits humains, des dissidents, des opposants politiques et d’autres membres de la société civile.
De telles intrusions exploitent généralement des exploits sans clic (ou en un seul clic) pour diffuser subrepticement le logiciel de surveillance sur les appareils Google Android et Apple iOS des cibles dans le but de récolter des informations sensibles.
Cela dit, les efforts en cours pour combattre et contenir l’écosystème des logiciels espions ont été en quelque sorte un véritable casse-tête, soulignant le défi de repousser les acteurs récurrents et moins connus qui fournissent ou proposent des cyber-armes similaires.
Cela s’étend également au fait que les CSV continuent de déployer des efforts pour développer de nouvelles chaînes d’exploits à mesure que des entreprises comme Apple, Google et d’autres découvrent et corrigent les vulnérabilités du jour zéro.
 |
| Source : Groupe d’analyse des menaces (TAG) de Google |
« Tant qu’il y aura une demande en capacités de surveillance, les CSV seront incités à continuer à développer et à vendre des outils, perpétuant ainsi une industrie qui nuit aux utilisateurs à haut risque et à la société dans son ensemble », a déclaré le groupe d’analyse des menaces (TAG) de Google.
Un rapport détaillé publié cette semaine par TAG a révélé que la société suit environ 40 sociétés commerciales de logiciels espions qui vendent leurs produits à des agences gouvernementales, dont 11 sont liées à l’exploitation de 74 jours zéro dans Google Chrome (24), Android (20). ), iOS (16), Windows (6), Adobe (2), Mozilla Firefox (1) au cours de la dernière décennie.
Des acteurs inconnus parrainés par l’État, par exemple, ont exploité trois failles d’iOS (CVE-2023-28205, CVE-2023-28206 et CVE-2023-32409) comme zero-day l’année dernière pour infecter leurs victimes avec un logiciel espion développé par Barcelone. basé à Variston. Les failles ont été corrigées par Apple en avril et mai 2023.
La campagne, découverte en mars 2023, délivrait un lien via SMS et ciblait les iPhones situés en Indonésie exécutant les versions iOS 16.3.0 et 16.3.1 dans le but de déployer l’implant de logiciel espion BridgeHead via le cadre d’exploitation Heliconia. Variston exploite également une faille de sécurité de haute gravité dans les puces Qualcomm (CVE-2023-33063) qui a été révélée pour la première fois en octobre 2023.
La liste complète des vulnérabilités Zero Day dans Apple iOS et Google Chrome découvertes en 2023 et liées à des fournisseurs de logiciels espions spécifiques est la suivante :
« Les entreprises du secteur privé sont impliquées dans la découverte et la vente d’exploits depuis de nombreuses années, mais l’essor des solutions d’espionnage clés en main est un phénomène plus récent », a déclaré le géant de la technologie.
« Les CSV fonctionnent avec une expertise technique approfondie pour offrir des outils « payants » qui regroupent une chaîne d’exploits conçue pour contourner les défenses d’un appareil sélectionné, les logiciels espions et l’infrastructure nécessaire, le tout pour collecter les données souhaitées auprès d’un individu. appareil. »