Topics : Maroc, Israël, NSO Group, Quadream, Pegasus, espionnage,
Quadream proposait des infections sans clic pour iPhone. Une fuite de code révèle que leur logiciel espion a peut-être abusé de WhatsApp – La société a également développé un nouveau logiciel espion « terrifiant »
QuaDream, un fabricant israélien de logiciels espions qui comptait autrefois des clients en Arabie saoudite, a longtemps été considéré comme la plus grande menace locale pour le groupe NSO, le plus célèbre et le plus tristement célèbre des fabricants de cyberarmes du pays. Le logiciel espion de QuaDream était le seul à pouvoir rivaliser avec le produit phare de NSO, Pegasus, qui a fait l’objet d’un examen minutieux pour utilisation abusive par des clients du monde entier, transformant la puissante arme d’espionnage contre les militants et les journalistes. Pegasus permet de cibler l’iPhone de quelqu’un sans aucune action de sa part et de maintenir un accès continu à l’appareil, le tout à son insu.
Reign, le logiciel espion sans clic de QuaDream, permet à son opérateur de faire à peu près la même chose et d’avoir le contrôle total d’un smartphone ciblé, ainsi qu’un accès sans entrave aux messages instantanés de services tels que WhatsApp, Telegram et Signal – et aux e-mails, photos, textes et contacts, par code obtenu par Haartez. Cependant, il y a quelques semaines à peine, l’entreprise a annoncé à ses employés qu’elle fermait ses portes .
Le code et les documents obtenus par les chercheurs et dont la véracité a été confirmée par Haaretz ont maintenant révélé le logiciel jusqu’alors inconnu de l’entreprise. Cinq sources différentes familières avec l’industrie israélienne des logiciels espions affirment que l’entreprise, qui teste depuis longtemps les régulateurs, a décidé de fermer ses portes après avoir échoué à obtenir l’autorisation de vendre ses logiciels espions à de nouveaux clients (dont le Maroc).
De plus, selon des sources connaissant bien l’entreprise et ses activités, QuaDream a également investi massivement dans un certain nombre de nouveaux produits et capacités qui n’ont pas réussi à mûrir et à arriver sur le marché. Selon deux des sources, il s’agissait notamment d’étendre la portée de leurs logiciels espions pour pouvoir également pirater les appareils Android, ainsi que de développer ce qui a été qualifié de nouvelle forme de logiciel espion « terrifiante ». Sans capacité à conclure de nouveaux accords, et ces efforts et d’autres n’ont pas abouti – bien que pour des raisons différentes – l’entreprise a décidé de réduire ses pertes et de fermer boutique.
QuaDream travaille actuellement à vendre certains de ses actifs à des concurrents locaux, selon deux des sources. Ses équipes de recherche et son personnel sortant s’entretiennent avec d’autres cyberentreprises offensives, disent-ils.
Zéro clic, WhatsApp
Des morceaux de code de QuaDream, qui ont été divulgués par un employé, probablement par erreur, ont révélé non seulement l’existence de Reign, mais aussi Blue Spear – un programme jusque-là inconnu qui semble servir d’interface Web à travers laquelle les appareils ciblés sont probablement infectés. ( Cliquez ici pour une analyse technique complète)
Dans la barre de menu de gauche du programme, probablement une version de démonstration du programme réel, les opérateurs peuvent ouvrir de nouveaux «cas», et chaque cas peut avoir plusieurs missions, c’est-à-dire plusieurs téléphones infectés. Chaque cas répertorie un gestionnaire, des téléspectateurs et une «liste noire» et une «liste blanche» de numéros de téléphone qui peuvent (et vraisemblablement ne peuvent pas) être ciblés.
Le code et les captures d’écran de l’interface Web, également appelée Quantum dans certains cas, ont été trouvés dans un référentiel en ligne populaire utilisé par les programmeurs pour partager, stocker et collaborer sur le code. Il y a été téléchargé par un utilisateur utilisant un compte de messagerie QuaDream. D’autres utilisant des e-mails organisationnels similaires ont également interagi avec le code.
« Le code source exposé partage des artefacts de réseau avec des échantillons du logiciel espion Reign vu par le laboratoire de sécurité d’Amnesty International, confirmant que ce code a été développé en interne par QuaDream », a déclaré Donncha Ó Cearbhaill, un hacker éthique qui dirige l’unité de recherche technique de l’organisation des droits de l’homme et se concentre sur les enquêtes sur les cyberattaques contre la société civile.
Cearbhaill confirme que ce code est interne à Quadream, mais note qu’il s’agit peut-être davantage d’une démonstration que d’un système de travail tactique. Le code met néanmoins en lumière l’historique des logiciels espions vendus par QuaDream, montrant les intentions et les premiers développements de l’entreprise.
Reuters avait précédemment rapporté que la société avait développé des capacités zéro clic en 2021, en tandem avec NSO et en utilisant une méthode très similaire. Cependant, le code révélé maintenant est daté de mai 2019, indiquant que le logiciel espion de l’entreprise était actif plus tôt que prévu.
Reuters a décrit les capacités de 2021 comme exploitant une faille dans le service iMessage de l’iPhone. Récemment, Citizen Lab et Microsoft ont publié une enquête détaillée sur l’entreprise, révélant qu’elle avait exploité d’autres services Apple pour accéder aux iPhones dès 2019. Cependant, selon le code, d’ici 2019 – sinon 2018 – QuaDream a peut-être également essayé utiliser WhatsApp pour les infections, aussi.
Selon des morceaux de code trouvés dans le référentiel, WhatsApp est l’un des principaux vecteurs – un terme utilisé dans l’industrie pour décrire la méthode d’infection – par lequel Reign est installé sur les appareils d’une cible.
Il n’est pas clair si le système exploite une faille de sécurité dans WhatsApp, ou plutôt utilise simplement l’application pour envoyer des messages néfastes qui incluent un lien vers le logiciel espion.
QuaDream a développé des fonctionnalités sans clic pour les iPhones considérés comme deuxièmes en qualité uniquement par les NSO – qui ont également piraté des appareils en exploitant WhatsApp. Mais l’entreprise, selon une source qui a parlé à Haaretz, espérait également concurrencer NSO et d’autres sur le marché du piratage Android. Il est possible que WhatsApp soit censé être le vecteur des attaques Android.
Le code révèle également un autre vecteur d’attaque qui semble cibler les téléphones via les réseaux WiFi. Il n’était pas clair si ces efforts se sont concrétisés et ont été vendus.
« Les nouveaux vecteurs d’attaque envahissants tels que les « zéro-clics » dans WhatsApp ou le Wi-Fi tactique constituent une menace énorme pour les défenseurs des droits humains. Ils rendent une menace déjà sérieuse encore plus insidieuse et difficile à détecter, permettant aux auteurs d’atteintes aux droits de cibler en silence les critiques avec l’impunité », déclare Cearbhaill d’Amnesty.
L’année dernière, selon des sources, QuaDream a abandonné ces efforts, également en raison du fait qu’il n’a pas obtenu l’approbation réglementaire pour leurs ventes. L’équipe derrière elle est partie et a été intégrée presque dans sa totalité par un concurrent local.
Serveurs chypriotes
Deux mois avant qu’Apple ne corrige la violation d’iMessage exploitée à la fois par QuaDream et NSO, connue sous le nom d’entrée forcée, Gur Megido de Haaretz a révélé pour la première fois l’existence de l’ancienne entreprise au monde. Il a également dévoilé son plus gros client : l’Arabie saoudite.
Cependant, alors que l’accord de NSO avec l’Arabie saoudite a été conclu par les voies diplomatiques israéliennes et a reçu la bénédiction de l’organisme israélien d’exportation de défense, la vente de QuaDream a été réalisée par l’intermédiaire d’une société chypriote appelée InReach. Cette entreprise serait au-delà de la compétence des régulateurs israéliens des exportations de défense.
De nombreuses entreprises israéliennes utilisent depuis longtemps des filiales chypriotes pour augmenter leurs opérations réglementées. Alors que certaines entreprises israéliennes ont choisi de s’y installer complètement, QuaDream et ses liens avec InReach ont « testé » les régulateurs israéliens, selon des sources.
InReach, conformément aux documents juridiques à Chypre , a été créé pour promouvoir les ventes des produits développés par Israël de QuaDream à l’extérieur du pays. Des sources et des documents obtenus par Haaretz semblent indiquer que l’entreprise a opéré depuis Chypre pendant environ un an. Ils suggèrent qu’il a mis fin à certaines de ses opérations de développement en Israël en 2019, licenciant une partie du personnel israélien (y compris le développeur qui a publié le code en ligne), en déplaçant d’autres à Limassol, puis en dissolvant les opérations des bureaux chypriotes d’ici août 2020. .
Le compte de messagerie QuaDream lié au référentiel de codes a également été utilisé pour une offre d’emploi , pour tenter d’enrôler de nouveaux travailleurs dans l’entreprise via une énième entreprise, où le fait d’avoir un « passeport étranger » était décrit comme un avantage. « Vous ne trouverez pas de site Web, nous aimons rester sous le radar », a écrit 4dco, la société supposée derrière l’affichage, pour se décrire sur le site de chasse aux têtes.
QuaDream et InReach ont entamé un long différend juridique en 2020 sur des allégations selon lesquelles QuaDream n’a pas tenu son engagement et payé à InReach son pourcentage des ventes. La bataille juridique s’est terminée par un règlement de 5 millions de dollars.
Malheurs marocains
En réponse au contrecoup de l’accord saoudien et depuis les retombées avec sa branche chypriote, des sources affirment que QuaDream a travaillé sous la stricte surveillance israélienne.
NSO connaît depuis longtemps le succès en Occident et domine toujours le marché européen. Mais il a acquis une notoriété pour avoir travaillé avec des clients dans des régions moins démocratiques du monde grâce à des ventes soutenues et activement soutenues par Israël dans le cadre de la « cyberdiplomatie » du Premier ministre Benjamin Netanyahu.
Incapable de rivaliser avec NSO au sein de l’UE et misant sur la politique d’armement numérique de Netanyahu, QuaDream a concentré ses efforts de vente sur les agences de renseignement et d’application de la loi en Asie, en Afrique et dans le monde arabe – des pays qui ne peuvent pas développer leur propre logiciel espion ou ceux qui ont échoué. pour conclure un accord avec NSO.
Au cours des deux dernières années, QuaDream a eu des entretiens avec au moins quatre de ces nations, selon trois des sources. Les pourparlers ont initialement reçu la bénédiction d’Israël – lancer des logiciels espions avancés à des pays étrangers nécessite un permis – mais les accords finaux ne l’ont pas fait.
Le plus important des accords était avec le Maroc. Les pourparlers auraient commencé en août 2021. Le royaume, qui a normalisé ses relations avec Israël dans le cadre des accords d’Abraham, est considéré depuis longtemps comme un client de NSO. Mais Israël lui a interdit d’importer de la cybertechnologie après que des informations aient suggéré qu’il avait utilisé Pegasus à mauvais escient pour cibler de hauts responsables en Europe, notamment en France et en Espagne.
Les allégations selon lesquelles Pegasus aurait été utilisé par des opérateurs marocains pour tenter de cibler un téléphone lié au président français Emannuel Macron ont déclenché unepetite crise diplomatiqueentre Jérusalem et Paris, avec Benny Gantz, alors ministre de la Défensevisiting Francepour essayer d’apaiser leurs inquiétudes.
Selon des sources, NSO n’a pas obtenu l’autorisation de renouveler son contrat avec le Maroc. QuaDream, dont les pourparlers avec le Maroc ont commencé plus tôt, n’a pas non plus reçu de feu vert.
« Les tentatives de QuaDream de vendre leurs logiciels espions au Maroc, à la suite de nombreux abus signalés de logiciels espions ciblant les journalistes et la société civile, montrent l’incapacité totale de l’industrie des logiciels espions commerciaux à se contrôler. Des structures d’entreprise obscures ne devraient pas permettre à l’industrie des logiciels espions de se Les outils de logiciels espions extrêmement invasifs dotés de capacités telles que Reign devraient être interdits car leur potentiel d’abus est tout simplement trop élevé », a déclaré Cearbhaill d’Amensty.
Au milieu d’un débat mondial plus large sur ces logiciels espions et sur la manière de réglementer leurs ventes, la décision finale de QuaDream de fermer, selon des sources, a été alimentée par la décision d’Israël à l’automne 2021 de retirer drastiquement l’industrie locale des cyberarmes. Israël a pris cette mesure suite aux révélations du projet Pegasus sur les activités de NSO et à la suite de la colère américaine face à l’utilisation abusive de son logiciel espion.
En novembre 2021, il a été révélé qu’un client en Afrique avait utilisé Pegasus pour espionner des responsables du département d’État américain. En conséquence, les États-Unis ont mis sur liste noire deux entreprises israéliennes, Candiru et NSO. Ce dernier faisait déjà l’objet de poursuites judiciaires par Apple et par Meta, le propriétaire de WhatsApp, pour avoir utilisé l’application de messagerie pour infecter des appareils.
En réponse, Israël a fait volte-face et a considérablement réduit la liste des pays auxquels les ventes de cybertechnologies offensives étaient autorisées, passant d’environ 100 à un peu plus de 35, la plupart étant des démocraties occidentales. Cette décision a plongé l’industrie locale dans une chute libre et a conduit un certain nombre d’entreprises à fermer leurs portes.
QuaDream, n’utilisant plus son front chypriote et fortement investi dans des pourparlers avec quatre États non occidentaux, n’a pas obtenu l’autorisation de renouveler bon nombre de ses contrats existants et a perdu l’espoir de faire approuver l’un de ses nouveaux accords.
L’entreprise avait beaucoup investi dans le développement de ce que des sources appelaient de « nouvelles formes » de logiciels espions, mais soit n’a pas réussi à trouver un produit fonctionnel, soit n’a pas obtenu le feu vert d’Israël pour vendre ce qui serait encore considéré comme une technologie extrêmement sensible. QuaDream n’est pas la seule entreprise à avoir travaillé au développement de telles technologies, mais elle semble être la seule à avoir misé sur leur lancement pour sa survie.
Malgré le retour au pouvoir de Netanyahu et le relâchement attendu de l’emprise réglementaire d’Israël – pour renouveler les ventes aux États moins que démocratiques – la direction de QuaDream a décidé de réduire complètement ses pertes lorsque Citizen Lab et Microsoft ont publié un rapport révélant ses activités .
Selon une source de haut niveau connaissant l’industrie des logiciels espions, l’ascension et la chute de QuaDream sont un excellent exemple des changements qui ont eu lieu dans le cyberespace offensif israélien ces dernières années. « Ils avaient espéré dépasser NSO NSO, mais la décision d’Israël de réduire les ventes conformément aux exigences américaines et d’imposer des réglementations strictes a fait tomber le marché sous leurs pieds », a déclaré la source. « Si vous ne pouvez pas vendre en dehors de l’Europe et des États-Unis, alors le marché n’est tout simplement pas assez grand pour toutes les entreprises, et seules les grandes survivront. »
Haaretz, 23 mai 2023
#Pegasus #NSOGroup #Quadream #Maroc #Espionnage