Étiquette : logiciels espions

  • Au moins 35 journalistes de 4 pays ciblés par le Maroc

    Forbidden Stories et Amnesty International ont eu accès à une fuite de plus de 50 000 numéros de téléphones sélectionnés pour être ciblés par des clients de NSO Group. D’après l’analyse de ces données par le consortium, les téléphones d’au moins 180 journalistes ont été sélectionnés pour être ciblés dans 20 pays par au moins 10 clients de NSO. Comme le Pegasus Project l’illustrera ces prochains jours, ces clients gouvernementaux comprennent aussi bien des régimes autocratiques (Bahreïn, Maroc, Arabie Saoudite) que démocratiques (Inde, Mexique) et couvrent le monde entier – de la Hongrie à l’Azerbaïdjan en Europe, du Togo au Rwanda en Afrique. Aucun n’a hésité à sélectionner comme cible des journalistes, des défenseurs des droits humains, des opposants politiques, des hommes d’affaires et même des chefs d’État avec cette technologie intrusive.

    Dans un rapport publié en 2018, le groupe de défense de droits numériques Citizen Lab a identifié des opérateurs de Pegasus dans un certain nombre de pays ayant par le passé détenus arbitrairement des journalistes et des défenseurs des droits humains, notamment l’Arabie Saoudite, le Maroc et Bahreïn. Ces trois pays ont sélectionné des dizaines de milliers de numéros de téléphone pour qu’ils soient ciblés, d’après les données auxquelles a eu accès Forbidden Stories.

    Certains reporters, comme le journaliste d’investigation indépendant Omar Radi, au Maroc – dont l’infection du téléphone avait fait l’objet d’une enquête de Forbidden Stories en 2020 – ou le journaliste indien et défenseur des droits humains Anand Teltumbde, ont été emprisonnés après que l’infection de leurs téléphones soit documentée par des groupes de défense et des médias.

    Les murs de son bureau à la Maison des Journalistes sont couverts d’affiches de Reporters Sans Frontières et d’autres organisations de défense de la liberté de la presse. Hicham Mansouri vivait auparavant dans le bâtiment, qui sert à la fois de lieu d’exposition et de résidence pour les journalistes réfugiés. Il a depuis déménagé mais partage toujours un petit bureau au rez-de-chaussé où il se rend trois fois par semaine.

    Avant de discuter avec Forbidden Stories, le journaliste marocain éteint le portable qu’il a emprunté et le plonge au fond de son sac à dos. Une analyse scientifique de son téléphone précédent, réalisée par le Security Lab d’Amnesty International, a montré qu’il a été infecté par Pegasus plus de vingt fois sur une période de trois mois, de février à avril 2021.

    Journaliste d’investigation indépendant et co-fondateur de l’Association Marocaines des Journalistes d’Investigation (AMJI), Hicham Mansouri rédige actuellement un livre sur le trafic de drogue illégal dans les prisons marocaines, lui qui a fui son pays en 2016 en raison des nombreuses menaces physiques et judiciaires à son encontre.

    Le journaliste marocain Hicham Mansouri.

    En 2014, il est roué de coups par deux agresseurs anonymes alors qu’il quitte un rendez-vous avec d’autres défenseurs des droits humains, dont Maati Monjib, qui a plus tard, lui aussi, été ciblé par Pegasus. Un an après, des agents du renseignement armés perquisitionnent sa maison dès 9h et le trouve dans sa chambre en compagnie d’une amie. Ils l’ont alors entièrement déshabillé et arrêté pour « adultère », ce qui est un crime au Maroc. Hicham Mansouri passe dix mois dans la prison de Casablanca. Sa cellule est celle réservée aux criminels les plus dangereux et les autres détenus le surnomment « La Poubelle ». Au lendemain de sa libération, il saute dans un avion pour la France où il demande et obtient l’asile.
    Cinq ans plus tard, Hicham Mansouri découvre qu’il est toujours une cible du gouvernement marocain. « Tous les régimes autoritaires voient le danger partout », dénonce-t-il auprès de Forbidden Stories. « On ne se considère pas dangereux parce qu’on fait ce que l’on pense être légitime. On sait que l’on est dans notre droit. Mais pour eux nous sommes dangereux. Ils ont peur des étincelles parce qu’ils savent qu’elles peuvent mettre le feu. »

    Au moins 35 journalistes basés dans 4 pays ont été sélectionnés comme cibles par le Maroc, selon l’enquête publiée aujourd’hui. Nombre des journalistes marocains sélectionnés comme cibles ont été à un moment donné arrêtés, diffamés ou ciblés d’une certaine manière par les services de renseignement. D’autres, en particulier les rédacteurs en chef Taoufik Bouachrine et Souleimane Raissouni, sont actuellement en prison pour des accusations que les organisations de défense des droits humains prétendent être instrumentalisées avec pour objectif d’écraser le journalisme indépendant au Maroc.

    Dans une déclaration à l’attention de Forbidden Stories et ses partenaires, les autorités marocaines ont écrit qu’ils « ne comprennent pas le contexte de la saisine par le Consortium International de Journalistes » et que les autorités sont toujours « dans l’attente de preuves matérielles » pour « prouver une quelconque relation entre le Maroc et la compagnie israélienne précitée. »

    Taoufik Bouachrine, rédacteur en chef d’Akhbar al-Youm, a été arrêté en février 2018 pour trafic d’êtres humains, agression sexuelle, viol, prostitution et harcèlement. Parmi les quatorze femmes qui l’auraient accusé, dix se sont présentées au procès et cinq ont déclaré que le journaliste était innocent, d’après CPJ. Taoufik Bouachrine a par le passé écrit des tribunes critiques du régime marocain, accusant des hauts membres du gouvernement de corruption. Il a été condamné à 15 ans de prison et a passé plus d’un an à l’isolement. Forbidden Stories et ses partenaires ont pu confirmer qu’au moins deux des femmes impliquées dans l’affaire ont été sélectionnées comme cibles avec Pegasus.

    Souleimane Raissouni est le successeur de Taoufik Bouachine aux commandes du quotidien indépendant Akhbar al-Youm. Lui aussi est arrêté pour des accusations d’agression sexuelle en mai 2020. Il est accusé d’agression par un militant LGBT, sous le pseudonyme d’Adam Muhammed, qui a avoué à CPJ qu’il n’avait pas été à l’aise pour déposer une plainte publique à cause de son orientation sexuelle. Des journalistes et défenseurs de la liberté de la presse affirment, de leur côté, penser que les plaintes à l’encontre de Souleimane Raissouni sont des représailles pour ses reportages critiques. En juillet 2021, alors qu’il a entamé une grève de la faim de près de 100 jours, il est condamné à cinq ans d’emprisonnement.

    « L’intérêt [de la surveillance] c’est [a priori] de suivre la vie privée des gens afin de trouver une faille sur laquelle ils peuvent baser tout un procès », éclaire Ahmed Benchemsi, ancien journaliste et fondateur des média indépendants TelQuel et Nichane, qui dirige désormais la communication d’Human Rights Watch au Moyen-Orient et en Afrique du Nord. Alors que par le passé les journalistes marocains étaient systématiquement poursuivis judiciairement pour ce qu’ils écrivaient – pour diffamation par exemple, ou pour manque de respect au roi – la nouvelle tactique consiste à les accuser de graves crimes tels que de l’espionnage, ou des viols ou agressions sexuelles, poursuit Ahmed Benchemsi. À ces fins-là, la surveillance est devenue clé pour glaner des informations personnelles utiles. « Il y a souvent un bout de vérité dans les grandes calomnies, et c’est ce morceau-là – qui est généralement personnel et confidentiel – qui provient de la surveillance. »

    Des journalistes étrangers qui couvrent la détresse des journalistes marocains ont eu aussi été sélectionnés comme cibles, et dans certains cas leurs téléphones a été infecté. C’est le cas d’Edwy Plenel, directeur et l’un des cofondateurs du site d’investigation indépendant Mediapart, dont le portable a été compromis au cours de l’été 2019 selon l’analyse opérée par le Security Lab d’Amnesty International – et qui a été revue et confirmée par le groupe de défense de droits numériques Citizen Lab. En juin de cette année-là, Edwy Plenel assiste à une conférence de deux jours à Essaouira, au Maroc, à la demande d’un journaliste partenaire de Mediapart, Ali Amar, le fondateur du magazine d’investigation marocain LeDesk – dont le numéro de téléphone apparaît, lui aussi, dans la liste à laquelle a eu accès Forbidden Stories. À cette occasion, Edwy Plenel donne plusieurs interviews où il aborde la question des violations des droits humains par l’État marocain. À son retour à Paris, des processus suspects commencent à apparaître sur son portable.

    « Nous travaillions alors avec Ali Amar, c’est-à-dire que nous publions certaines enquêtes ensemble. Je le connaissais un peu comme je connais beaucoup de journalistes qui se battent pour la liberté de la presse au Maroc », explique Edwy Plenel au cours d’une interview avec Forbidden Stories. « Donc quand j’ai appris ma surveillance, tout cela a semblé logique. » Edwy Plenel estime que le ciblage de son téléphone – ainsi que celui d’une autre journaliste de Mediapart, Lénaïg Bredoux – avec Pegasus était probablement un « Cheval de Troie visant nos collègues marocains ».

    Comme Hicham Mansouri, de nombreux journalistes ont, soit fui le pays, soit complètement arrêté le journalisme. Accablé par les arrestations successives et la pression financière, le journal de Souleimane Raissouni et Taoufik Bouachrine, Akhbar al-Yaoum, a lui arrêté de paraître en mars 2021. « Il y a 10 ou 15 ans, il y avait un espace de liberté d’expression au Maroc. Mais ce n’est plus le cas aujourd’hui. C’est fini », regrette Ahmed Benchemsi. « Survivre aujourd’hui, cela signifie intérioriser un degré élevé d’autocensure. À moins que vous supportiez les autorités bien sûr. »

    Source : Forbidden Stories, 18/07/2021

    Etiquettes : Maroc, Pegasus, logiciels espions, spyware, journalistes, presse, NSO Group,

  • Le Maroc, deuxième plus grand utilisateur du logiciel Pegasus

    Selon les données du projet Pegasus, le Royaume du Maroc est, après le gouvernement d’Enrique Peña Nieto, le deuxième plus grand utilisateur du logiciel espion. Les services de renseignement du roi Mohammed VI ont massivement sélectionné les noms de militants, de journalistes et d’opposants politiques dans leur plateforme Pegasus.

    Ainsi, le Royaume a sélectionné plus de 20 fois en trois mois – de février à avril de cette année – le numéro de téléphone de Hicham Mansouri, un journaliste qui est en asile en France depuis 2016, après avoir subi un lourd harcèlement juridique et physique, et passé 10 mois dans une prison de Casablanca. Bien qu’il ait quitté son pays depuis cinq ans, l’homme reste une cible d’espionnage pour le gouvernement qui l’a envoyé en prison.

    « Tout régime autoritaire voit le danger de tous les côtés. Nous ne nous considérons pas comme dangereux, parce que nous faisons des choses qui, à notre avis, sont légitimes, et nous savons que c’est notre droit, mais pour eux, c’est dangereux », explique le journaliste à Forbidden Stories.

    Les données du projet Pegasus montrent qu’au moins 35 journalistes basés dans quatre pays ont été ciblés par le gouvernement marocain par le biais de Pegasus. Parallèlement, de nombreux journalistes marocains ont été arrêtés – trois victimes de Pegasus, Taoufik Bouchrine, Soulaimane Raïssouni et Omar Radi, sont actuellement en prison – mais aussi diffamés ou autrement visés par les services de renseignement du roi, qui ont récemment adopté la stratégie consistant à les accuser de délits sexuels ou d’espionnage.

    « Il y avait de la place pour la liberté d’expression au Maroc il y a 15 ans, mais il n’y en a plus. C’est fini. Tous les médias indépendants sont morts », déplore Ahmed Benchemsi, porte-parole de Human Rights Watch pour le Moyen-Orient.

    Mais les journalistes marocains ne sont pas les seules cibles de l’espionnage gouvernemental : plusieurs journalistes français célèbres ont été attaqués par Pégasus depuis le Maroc, notamment Edwy Plenel, ancien rédacteur en chef du quotidien Le Monde et fondateur du journal d’investigation en ligne Mediapart, dont le téléphone portable a été mis sur écoute alors qu’il participait à un congrès culturel au Maroc, où il a critiqué la répression des manifestations dans la région du Rif.

    « Je connais beaucoup de journalistes qui se battent pour une presse libre au Maroc », a déclaré Plenel à Forbidden Stories, ajoutant : « Alors quand j’ai entendu parler de l’espionnage, cela m’a paru logique (…) c’était un cheval de Troie pour espionner nos collègues marocains ».

    En plus de Plenel, le gouvernement marocain a tenté – et souvent réussi – à mettre sur écoute des journalistes travaillant pour des médias français de premier plan, tels que Le Monde, France Télévisions – la chaîne de télévision publique française -, Le Canard Enchaîné, Le Figaro ou l’agence AFP ; plusieurs de ces collègues avaient enquêté sur les services de renseignement marocains, ou écrit sur les droits sexuels ou les mouvements d’opposition.

    « Dans d’autres cas, la logique des services de renseignement marocains semble étrange : la journaliste du Monde dont le téléphone a été attaqué et infecté ne travaille sur aucun sujet lié de près ou de loin au Maroc, de même que d’autres journalistes dont les numéros ont été sélectionnés par le client marocain de NSO Group ; il est possible qu’ils aient été attaqués principalement pour accéder à leurs annuaires, et ainsi obtenir les numéros d’autres cibles », note Le Monde, qui a également participé au projet Pegasus.

    Le gouvernement français, va-t-il réagir face à ces attentats contre la vie privée et professionnelle de ses citoyens par un pays étrenger?

    Etiquettes : Maroc, logiciels espions, spyware, Pegasus, journalistes,

  • Microsoft: Candiru a vendu des outils pour pirater Windows

    15 juillet (Reuters) – Un groupe israélien a vendu un outil permettant de pirater Microsoft Windows, ont déclaré jeudi Microsoft et Citizen Lab, un groupe de défense des droits de l’homme spécialisé dans la technologie, mettant ainsi en lumière l’activité croissante de recherche et de vente d’outils permettant de pirater des logiciels largement utilisés.

    Le vendeur de l’outil de piratage, nommé Candiru, a créé et vendu un logiciel d’exploitation capable de pénétrer dans Windows, l’un des nombreux produits de renseignement vendus par une industrie secrète qui trouve des failles dans les plateformes logicielles courantes pour ses clients, selon un rapport de Citizen Lab.

    L’analyse technique effectuée par les chercheurs en sécurité montre comment l’outil de piratage de Candiru s’est répandu dans le monde entier jusqu’à de nombreux clients anonymes, où il a ensuite été utilisé pour cibler diverses organisations de la société civile, notamment un groupe de dissidents saoudiens et un média indonésien de gauche, indiquent les rapports de Citizen Lab et de Microsoft.

    Les tentatives de joindre Candiru pour obtenir des commentaires n’ont pas abouti.

    Selon le rapport de Citizen Lab, l’exploit récupéré par Microsoft Corp (MSFT.O) a été déployé contre des utilisateurs dans plusieurs pays, dont l’Iran, le Liban, l’Espagne et le Royaume-Uni.

    « La présence croissante de Candiru et l’utilisation de sa technologie de surveillance contre la société civile mondiale nous rappellent avec force que l’industrie des logiciels espions mercenaires compte de nombreux acteurs et est sujette à des abus généralisés », indique Citizen Lab dans son rapport.

    Microsoft a corrigé les failles découvertes mardi par le biais d’une mise à jour logicielle. Microsoft n’a pas attribué directement les exploits à Candiru, mais l’a désigné comme un « acteur offensif du secteur privé basé en Israël » sous le nom de code Sourgum.

    « Sourgum vend généralement des cyberarmes qui permettent à ses clients, souvent des agences gouvernementales du monde entier, de pirater les ordinateurs, les téléphones, les infrastructures réseau et les appareils connectés à Internet de leurs cibles », écrit Microsoft dans un billet de blog. « Ces agences choisissent ensuite les personnes à cibler et exécutent elles-mêmes les opérations réelles ».

    Les outils de Candiru ont également exploité des faiblesses dans d’autres logiciels courants, comme le navigateur Chrome de Google.

    Mercredi, Google (GOOGL.O) a publié un billet de blog dans lequel il divulgue deux failles du logiciel Chrome que Citizen Lab a trouvé liées à Candiru. Google n’a pas non plus mentionné le nom de Candiru, mais l’a décrit comme une « société de surveillance commerciale ». Google a corrigé les deux vulnérabilités plus tôt cette année.

    Selon les experts en sécurité informatique, les cyber-artisans comme Candiru enchaînent souvent plusieurs vulnérabilités logicielles pour créer des exploits efficaces qui permettent de s’introduire à distance dans les ordinateurs à l’insu de la cible.

    Ces types de systèmes secrets coûtent des millions de dollars et sont souvent vendus sur la base d’un abonnement, ce qui oblige les clients à payer à plusieurs reprises un fournisseur pour un accès continu, ont déclaré à Reuters des personnes connaissant bien l’industrie des cyberarmes.

    « Les groupes n’ont plus besoin d’avoir l’expertise technique, maintenant ils ont juste besoin de ressources », écrit Google dans son billet de blog.

    Reuters, 15/07/2021

    Etiquettes : Israël, Candiru, logiciels espions, spyware, cyberguerre, cyberarmes, Citizen Lab, Google, Google Chrome, Microsoft, hacking, piratage, espionnage,

  • Des spywares vendus pour pirater des journalistes et des dissidents

    L’entreprise israélienne Candiru a vendu des logiciels espions aux États pour pirater des journalistes et des dissidents.

    Selon un rapport, les vulnérabilités de Microsoft et de Google ont été exploitées par les clients d’un groupe de cyberguerre.

    Selon une nouvelle étude, un groupe de cyber-guerre israélien a exploité les vulnérabilités des produits Microsoft et Google, permettant ainsi aux gouvernements de pirater plus de 100 journalistes, activistes et dissidents politiques dans le monde.

    L’acteur relativement inconnu, qui se présente sous le nom de Candiru, fait partie d’une industrie israélienne lucrative de la cybernétique offensive qui recrute souvent des vétérans des unités d’élite de l’armée et vend des logiciels permettant à ses clients de pirater à distance des ordinateurs et des téléphones portables.

    Des entreprises comme Candiru et le plus grand acteur de cette industrie opaque, NSO Group, qui a été valorisé à 1 milliard de dollars lors d’une transaction en 2019, ont déclaré que leurs logiciels sont conçus pour être utilisés par les organismes gouvernementaux et les forces de l’ordre afin de contrecarrer le terrorisme et les crimes potentiels.

    Mais l’ONU, le Citizen Lab de l’Université de Toronto et des groupes de défense des droits comme Amnesty International ont régulièrement retrouvé la trace de ces logiciels espions sur les téléphones et les ordinateurs de journalistes, de dissidents politiques et de militants critiquant les régimes répressifs.

    Les courriels envoyés aux multiples adresses des dirigeants de Candiru pour obtenir des commentaires ont été renvoyés ou sont restés sans réponse.

    En l’occurrence, Microsoft et Citizen Lab ont découvert que Candiru vendait un logiciel espion qui exploitait des failles dans Microsoft Windows, permettant à ceux qui le déployaient de voler des mots de passe, d’exporter des fichiers et des messages depuis des appareils, notamment depuis l’application de messagerie cryptée Signal, et d’envoyer des messages depuis des comptes de messagerie et de médias sociaux.

    Le rapport indique que son analyse a révélé que les systèmes de Candiru, qui sont vendus exclusivement aux gouvernements, ont été « exploités depuis l’Arabie saoudite, Israël, les Émirats arabes unis, la Hongrie et l’Indonésie, entre autres pays ».

    Selon le rapport, le logiciel espion de Candiru a ciblé au moins 100 membres de la société civile, dont des politiciens, des militants des droits de l’homme, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques, notamment au Royaume-Uni, en Espagne, à Singapour, en Israël et dans les territoires palestiniens occupés.

    Les chercheurs ont également découvert plus de 750 faux sites Web se faisant passer pour des groupes tels qu’Amnesty International, le mouvement Black Lives Matter et le service postal russe, qui étaient équipés de son logiciel espion.

    « Candiru a essayé de rester dans l’ombre depuis sa création », a déclaré Bill Marczak, chercheur principal au Citizen Lab. « Mais il n’y a pas de place dans l’ombre pour les entreprises qui facilitent l’autoritarisme en vendant des logiciels espions utilisés contre les journalistes, les militants et la société civile. »

    Microsoft a déclaré dans un billet de blog qu’elle avait publié cette semaine une mise à jour logicielle « qui protégera les clients Windows des exploits que [l’entreprise] utilisait pour aider à diffuser ses logiciels malveillants ».

    Par ailleurs, le rapport de Citizen Lab a révélé que deux vulnérabilités de Google Chrome divulguées mercredi par la société de la Silicon Valley avaient été exploitées par Candiru. Bien que Google n’ait pas explicitement lié les exploits à Candiru, il les a attribués à une « société de surveillance commerciale ».

    Le rapport jette une lumière crue sur l’industrie croissante des logiciels espions mercenaires, qui suscite de plus en plus l’ire des grandes plateformes technologiques dont les logiciels peuvent être utilisés comme armes par ces groupes. Le groupe NSO, grand rival de Candiru, fait actuellement l’objet d’une action en justice de la part de WhatsApp, soutenue par d’autres groupes technologiques, pour avoir prétendument vendu des outils permettant aux clients d’injecter son logiciel subrepticement dans des téléphones via des appels WhatsApp.

    Dans un document marketing de Candiru datant de 2019, vu par le Financial Times, le groupe faisait la promotion de son « système de cyberespionnage de niveau superpuissance », affirmant que « les processus d’installation et d’exfiltration sont furtifs et secrets, sans interruption de l’activité régulière de la cible ».

    Il a ajouté que « des agents d’infiltration propriétaires sont déployés silencieusement dans l’appareil de la cible, en utilisant notre ensemble de vecteurs d’attaque et de vulnérabilités de type « zero-day » développés en interne » – ce qui suggère que la faille de Microsoft Windows n’est que l’une de celles qu’il a exploitées.

    Google a déclaré dans son billet cette semaine qu’il y avait « plus de fournisseurs commerciaux vendant des accès à des jours zéro qu’au début des années 2010 ».

    Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft, a déclaré : « Un monde où les entreprises du secteur privé fabriquent et vendent des cyberarmes est plus dangereux pour les consommateurs, les entreprises de toutes tailles et les gouvernements. »

    Financial Times, 15/07/2021

    Etiquettes : Israël, Candiru, spywares, logiciels espions, journalistes, opposants, répression, espionnage, hacking, piratage,

  • Citizen Lab : Un logiciel espion de la société israélienne Candiru a été utilisé pour cibler des militants.

    Le Citizen Lab de l’Université de Toronto, qui suit les activités de piratage et de surveillance illégales, a déclaré qu’au moins 100 militants, journalistes et dissidents gouvernementaux dans 10 pays avaient été ciblés par un logiciel espion produit par une société israélienne appelée Candiru.

    Selon des chercheurs en cybersécurité du Citizen Lab de l’Université de Toronto, qui étudie le piratage et la surveillance illégaux, au moins 100 activistes, journalistes et dissidents gouvernementaux dans 10 pays ont été ciblés par un logiciel espion produit par une société israélienne appelée Candiru.
    Grâce à une paire de vulnérabilités dans Windows de Microsoft Corp., des cyber-opérateurs opérant en Arabie saoudite, en Israël, en Hongrie, en Indonésie et ailleurs ont acheté et installé un logiciel d’espionnage à distance fabriqué par Candiru, selon les chercheurs. L’outil a été utilisé dans le cadre d’ »attaques de précision » contre les ordinateurs, les téléphones, les infrastructures de réseau et les appareils connectés à Internet des cibles », a déclaré Cristin Goodwin, directrice générale de l’unité de sécurité numérique de Microsoft.
    Microsoft a été alerté de ces attaques par des chercheurs du Citizen Lab et, après des semaines d’analyse, la société a publié le 13 juillet des correctifs pour une paire de vulnérabilités Windows considérées comme le point d’entrée du logiciel espion, selon un blog Microsoft publié jeudi. Microsoft ne nomme pas Candiru mais fait référence à un « acteur offensif du secteur privé basé en Israël » qu’il appelle Sourgum.
    Candiru n’a pas répondu immédiatement à un message demandant un commentaire. Candiru est le nom d’un poisson ressemblant à une anguille, originaire de la région de l’Amazone, qui pénétrerait dans l’urètre des humains avant de déployer de courtes épines – une histoire que certains considèrent comme un mythe.
    Les utilisateurs du logiciel espion ont également piraté des hommes politiques et des militants des droits de l’homme, selon les chercheurs, qui ont refusé de nommer les victimes.
    Selon les chercheurs du Citizen Lab, le logiciel espion Candiru fait partie d’une industrie privée florissante qui vend des technologies aux gouvernements et aux dirigeants autoritaires afin qu’ils puissent avoir accès aux communications des particuliers et de l’opposition politique. Une autre société israélienne, NSO Group Ltd, a été accusée de fournir des logiciels espions à des gouvernements répressifs qui les ont utilisés pour espionner des journalistes et des militants.
    NSO a affirmé qu’elle vendait sa technologie exclusivement aux gouvernements et aux forces de l’ordre comme outil de lutte contre le terrorisme et la criminalité. Dans un rapport publié le 30 juin, NSO Group a déclaré qu’il refusait de vendre des logiciels espions à 55 pays et qu’il avait pris des mesures pour limiter les abus de ses clients.
    John Scott-Railton, chercheur principal au Citizen Lab, a déclaré que la recherche sur Candiru « montre qu’il y a tout un écosystème qui vend aux régimes autoritaires ».
    « Des outils comme Candiru sont utilisés pour exporter la peur », a-t-il ajouté.
    Les conclusions du Citizen Lab ont également permis de mieux comprendre le coût des activités de l’industrie des logiciels espions.
    Pour 16 millions d’euros (18,9 millions de dollars), les clients de Candiru peuvent tenter de compromettre un nombre illimité de dispositifs, mais ne peuvent en suivre activement que 10 à la fois, selon Citizen Lab. Pour un supplément de 1,5 million d’euros (1,8 million de dollars), les acheteurs peuvent surveiller 15 victimes supplémentaires.
    Selon le journal israélien Haaretz, Candiru a des clients en Europe, en Russie, au Moyen-Orient, en Asie et en Amérique latine. Des organismes de presse locaux ont fait état de contrats en Ouzbékistan, en Arabie saoudite, aux Émirats arabes unis, à Singapour et au Qatar, selon le rapport du Citizen Lab.
    Les clients de Candiru ne peuvent opérer que dans les « territoires convenus », selon Citizen Lab. Les clients de la société signent des contrats qui limitent les opérations en dehors des États-Unis, de la Russie, de la Chine, d’Israël et de l’Iran, selon le rapport. Mais Microsoft a déclaré avoir récemment découvert des activités avec le logiciel espion en Iran, ce qui suggère que les règles ne sont pas concrètes, selon le rapport.
    Aljazeera, 15/07/2021
    Etiquettes : Candiru, logiciels espions, spyware, Citizen Lab, Université de Toronto, Israël, NSO Group Ltd.,

  • De faux sites Web d’ONG pour pirater des cibles

    Une société de logiciels espions israélienne liée à de faux sites Web Black Lives Matter et Amnesty – rapport

    Un rapport indique qu’une société israélienne de logiciels espions est liée à de faux sites Web de Black Lives Matter et d’Amnesty.
    Les chercheurs affirment que des domaines web se faisant passer pour des groupes d’activistes, de santé et de médias sont utilisés par des gouvernements pour pirater des cibles.

    Selon un nouveau rapport, une société israélienne qui vend des logiciels espions à des gouvernements est liée à de faux sites web Black Lives Matter et Amnesty International qui sont utilisés pour pirater des cibles.

    Des chercheurs du Citizen Lab de l’Université de Toronto, qui ont travaillé avec Microsoft, ont publié jeudi un rapport sur les cibles potentielles de Candiru, une société basée à Tel-Aviv qui commercialise des logiciels espions « intraçables » capables d’infecter et de surveiller des ordinateurs et des téléphones.

    Les chercheurs ont découvert que le logiciel de la société était associé à des URL se faisant passer pour des ONG, des défenseurs des droits des femmes, des groupes d’activistes, des organisations de santé et des médias d’information. Les recherches du Citizen Lab ont permis de découvrir des sites Web liés à Candiru avec des noms de domaine tels que « Amnesty Reports », « Refugee International », « Woman Studies », « Euro News » et « CNN 24-7 ».

    Les chercheurs n’ont pas identifié les cibles spécifiques des sites Web se faisant passer pour des groupes de défense des droits de l’homme, et n’ont pas confirmé l’implication de clients gouvernementaux spécifiques. Microsoft a déclaré qu’il semble que Candiru vende le logiciel espion qui permet les piratages, et que les gouvernements choisissent généralement les cibles et mènent eux-mêmes les opérations.

    Ces conclusions suggèrent qu’une entreprise secrète et peu connue, mais d’envergure mondiale, pourrait aider les gouvernements à pirater et à surveiller les membres de la société civile. Le rapport s’inscrit dans un contexte d’inquiétudes croissantes concernant les technologies de surveillance qui peuvent contribuer aux violations des droits de l’homme, à la surveillance des forces de l’ordre et à la répression de Black Lives Matter et d’autres groupes militants.

    Le centre de renseignement sur les menaces de Microsoft, qui suit les menaces de sécurité et les cyber-armes, a mené sa propre analyse et a déclaré avoir trouvé au moins 100 cibles de logiciels malveillants liés à Candiru, y compris des politiciens, des militants des droits de l’homme, des journalistes, des universitaires, des employés d’ambassade et des dissidents politiques. Selon le rapport, Microsoft a trouvé des cibles au Royaume-Uni, en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, en Turquie, en Arménie et à Singapour.

    Dans un billet de blog publié jeudi, Microsoft a déclaré avoir désactivé les « cyberarmes » de Candiru et mis en place des protections contre le malware, notamment en publiant une mise à jour du logiciel Windows.

    Il n’y a pas de raisons légitimes pour que les services de renseignement ou leurs clients gouvernementaux créent des sites web qui se font passer pour des groupes d’activistes très connus et des organisations à but non lucratif, a déclaré Bill Marczak, co-auteur du rapport, dans une interview.

    Les militants ciblés peuvent cliquer sur des liens qui semblent provenir de sources fiables, puis être dirigés vers un site au contenu inoffensif ou redirigés ailleurs, a-t-il expliqué. « Mais ce site, qui a été spécialement enregistré dans le but d’exploiter leur ordinateur, exécuterait un code en arrière-plan qui prendrait silencieusement le contrôle de leur ordinateur », a-t-il ajouté.

    Le logiciel malveillant pourrait permettre « un accès permanent à pratiquement tout ce qui se trouve sur l’ordinateur », ce qui pourrait permettre aux gouvernements de voler des mots de passe et des documents ou d’activer un microphone pour espionner l’environnement de la victime.

    « L’utilisateur ne se rendrait pas compte que quelque chose ne va pas », a déclaré M. Marczak, chercheur principal au Citizen Lab, qui a passé au crible des entreprises britanniques, allemandes et italiennes spécialisées dans les logiciels espions, et qui a précédemment exposé les activités de NSO Group, une autre entreprise israélienne qui aurait permis au gouvernement de pirater des journalistes et des militants.

    L’utilisation de logiciels espions peut avoir des conséquences dévastatrices pour les militants et les dissidents. Ahmed Mansoor, militant des droits de l’homme aux Émirats arabes unis, a été emprisonné et a subi des violences après avoir été piraté et surveillé par un logiciel espion acheté par les Émirats. Il a été visé par des tentatives d’hameçonnage sophistiquées du gouvernement, notamment un SMS de 2016 avec un lien sur son téléphone qui prétendait inclure des informations sur la torture des détenus dans les prisons des EAU.

    Une « industrie du logiciel espion mercenaire ».
    Le public dispose d’un minimum d’informations sur Candiru, qui a été fondée en 2014 et a subi plusieurs changements de nom, selon le rapport. Elle serait désormais enregistrée sous le nom de Saito Tech Ltd, mais reste connue sous le nom de Candiru. En 2017, l’entreprise a réalisé des ventes d’une valeur de près de 30 millions de dollars, servant des clients dans le Golfe, en Europe occidentale et en Asie, selon une action en justice rapportée par un journal israélien. Candiru pourrait avoir des accords avec l’Ouzbékistan, l’Arabie saoudite et les Émirats arabes unis, a rapporté Forbes.

    Candiru proposerait à ses clients plusieurs moyens de pirater leurs cibles, notamment par le biais d’hyperliens, d’attaques physiques et d’un programme appelé « Sherlock », selon le rapport, qui cite un document de proposition de projet de la société ayant fait l’objet d’une fuite. La fonction de « Sherlock » n’est pas claire. La société vend également des outils pour Signal et Twitter, selon le rapport. Le document de proposition ayant fait l’objet d’une fuite comprenait un accord stipulant que le produit ne serait pas utilisé aux États-Unis, en Russie, en Chine, en Israël ou en Iran.

    Microsoft a toutefois déclaré avoir trouvé des victimes en Israël et en Iran.

    Citizen Lab a déclaré avoir pu identifier un ordinateur qui avait été piraté par le logiciel malveillant de Candiru, puis avoir utilisé ce disque dur pour extraire une copie du logiciel espion Windows de la société. Le propriétaire de l’ordinateur était un individu « politiquement actif » en Europe occidentale, selon le rapport.

    L’équipe a également identifié plus de 750 noms de domaine qui semblaient être liés à Candiru et à ses clients. Outre les sites se faisant passer pour des organisations à but non lucratif, les chercheurs ont trouvé des URL qui semblaient usurper l’identité d’une publication indonésienne de gauche ; un site qui publie les actes d’accusation de prisonniers palestiniens prononcés par des tribunaux israéliens ; un site Web critiquant le prince héritier d’Arabie saoudite, Mohammed bin Salman ; et un site qui semblait être associé à l’Organisation mondiale de la santé.

    « La présence apparente de Candiru, et l’utilisation de sa technologie de surveillance contre la société civile mondiale, est un rappel puissant que l’industrie des logiciels espions mercenaires contient de nombreux acteurs et est sujette à des abus généralisés », indique le rapport. « Cette affaire démontre, une fois de plus, qu’en l’absence de toute garantie internationale ou de contrôles stricts des exportations par les gouvernements, les vendeurs de logiciels espions vendront à des clients gouvernementaux qui abuseront régulièrement de leurs services. »

    Le rapport ne fait pas état de violations spécifiques de la loi, bien qu’il soit difficile d’évaluer la légalité sans savoir quelles nations ont été impliquées dans le piratage.

    Les conclusions concernant Candiru suggèrent qu’il existe des problèmes systématiques dans le secteur des logiciels espions et dans la manière dont il est réglementé, a déclaré M. Marczak. « Il ne s’agit pas seulement d’une pomme pourrie », a-t-il ajouté, faisant référence à NSO Group, dont le logiciel espion aurait été utilisé contre un journaliste du New York Times auteur d’un livre sur le prince Mohammed et un membre du personnel d’Amnesty International.

    « Nous avons désespérément besoin de mieux comprendre cette industrie, car elle se développe beaucoup plus vite que nous ne pouvons le suivre, et elle est plus importante que nous ne le savons », a ajouté John Scott-Railton, un autre chercheur du Citizen Lab et coauteur, notant que les gouvernements deviennent également de plus en plus vulnérables au piratage et à l’espionnage par d’autres États. « C’est un problème urgent de sécurité nationale, et les gouvernements du monde entier vont se retrouver ciblés par cette technologie, si ce n’est déjà fait. »

    Les représentants de Candiru n’ont pas immédiatement répondu aux demandes de commentaires du Guardian jeudi.

    The Guardian, 15/07/2021

    Etiquettes : Israël, logiciels espions, Black Lives Matter, Amnesty International, Citizen Lab, Candiru, « Amnesty Reports », « Refugee International », « Woman Studies », « Euro News » et « CNN 24-7 », Saito Tech Ltd, Sherlock,

  • Le Maroc se prépare pour une vaste opération de hacking

    La coopération officielle entre le Maroc et Israël porte une marque militaire. Après avoir reçu un premier lot de drones israéliens, le royaume vient de signer un accord de coopération en matière de cybersécurité, selon le site israélien I24News. « . Il s’agit du premier accord de cyberdéfense mis en place entre les deux pays depuis le début des relations l’an dernier », dit-il.

    Dans cette nouvelle ère des relations avec Tel Aviv, le Maroc n’a pas visé le moyen de lutter contre la pandémie qui ravage le pays ni contre la pauvreté et le sous-développement. Son intérêt semble se focaliser sur a guerre qu’il mène au Sahara Occidental et qu’il compte soutenir avec une cyberguerre dont les cibles seront l’Algérie, l’Espagne et les Nations Unies.

    Ainsi, Rabat compte revenir aux vieilles pratiques révélées par les documents confidentiels de la diplomatie marocaines publiés sur la toile par le hacker Chris Coleman. Parmi eux, des documents confidentiels du Département des opérations de paix de l’ONU (DPKO) subtilisés par les services marocains ainsi que d’autres documents émanant d’autres services dépendant du Secrétariat général de l’ONU. Pour défendre ses ambitions expansionnistes a besoin de connaître les intentions de acteurs principaux du dossier concernant le contentieux du Sahara Occidental dont les nombreuses richesses naturelles constituent l’obsession de la monarchie alaouite et ses soutiens français et américains.

    Pour cela, les autorités marocaines semblent compter sur le soutien d’Israël et son expérience dans ce domaine, l’Etat hébreu étant connu pour ses logiciels espions et son expérience avérée en matière de hacking et espionnage.

    Etiquettes : Maroc, Algérie, Israël, cybersécurité, cyberguerre, informatique, piratage, hacking, Pegasus, logiciels espions,

  • Israël : Le groupe NSO tente de se racheter

    Le groupe NSO publie un rapport sur la transparence ; Amnesty estime que c’est trop peu et trop tard.

    Le groupe NSO, la société israélienne de logiciels espions dont les produits ont été impliqués dans de nombreuses affaires, du meurtre du journaliste saoudien Jamaal Kashoggi au ciblage et à la surveillance de militants et de journalistes au Maroc, au Mexique, à Chypre et ailleurs, a publié son premier « Rapport sur la transparence et la responsabilité ».

    Le rapport de 32 pages comprend une section sur la politique du groupe en matière de droits de l’homme, qui affirme que NSO inclura « l’intégration de procédures de diligence raisonnable en matière de droits de l’homme afin d’identifier, de prévenir et d’atténuer les risques d’impacts négatifs sur les droits de l’homme », ainsi que « des obligations contractuelles exigeant de nos clients qu’ils limitent l’utilisation de nos produits à la prévention et aux enquêtes sur les crimes graves, y compris le terrorisme, et qu’ils garantissent que les produits ne seront pas utilisés pour violer les droits de l’homme ».

    Cependant, Amnesty International, qui a elle-même eu des employés ciblés par la technologie du groupe, a qualifié le rapport de « nouvelle occasion manquée. »

    « Le dernier rapport de NSO Group – qui se lit davantage comme une brochure de vente – est une nouvelle occasion manquée pour l’entreprise d’être transparente et de fournir des informations significatives sur les impacts de ses produits sur les droits humains », a déclaré Amnesty.

     » Il est crucial que NSO Group ignore la question de la réparation pour les victimes et ne divulgue pas tous les défis juridiques auxquels l’entreprise a été confrontée en raison de l’utilisation abusive de sa technologie. C’est une omission grave qui laisse les investisseurs dans l’ignorance des risques juridiques auxquels ils peuvent être confrontés. »

    En 2019, Amnesty International a révélé que deux défenseurs marocains des droits humains, Maati Monjib et Abdessadak El Bouchattaoui, ont été ciblés par le logiciel Pegasus de NSO Group. Si la cible clique sur un seul lien, Pegasus peut être installé sur un appareil et enregistrer toutes les activités de ses utilisateurs.

    Monjib était un universitaire et un militant qui faisait des reportages sur la liberté d’expression dans le royaume nord-africain, tandis qu’El Bouchattaoui était un avocat de la défense représentant les dirigeants du Hirak El-Rif, un mouvement de résidents amazighs autochtones de la région montagneuse du Rif au Maroc qui a protesté contre les brutalités policières en 2016. Quarante-trois dirigeants du mouvement ont finalement été condamnés à des peines de prison allant jusqu’à 20 ans.

    Bien que NSO affirme ne vendre qu’à des gouvernements et que ses outils sont destinés à être utilisés pour lutter contre la grande criminalité organisée et le terrorisme, les deux militants marocains sont loin d’être les seuls en dehors de cette définition à être visés par ces outils.

    Rien qu’au Mexique, 11 journalistes, activistes et travailleurs anti-corruption ont été ciblés par les outils de NSO entre 2015 et 2016, a rapporté l’OCCRP.

    OCCRP, 03/07/2021

    Etiquettes, NSO Group, espionnage, logiciels espions, hacking, piratage, Pegasus, Maroc, Israël, Amnesty International,

  • Cybersurveillance en Libye: la société française Amesys mise en examen

    La société française Amesys, accusée d’avoir fourni du matériel de cybersurveillance au régime du dirigeant libyen Mouammar Kadhafi, a été mise en examen pour « complicité d’actes de torture », a appris jeudi l’AFP de sources proches du dossier.

    La société d’ingénierie a été mise en examen par courrier le 18 juin, selon ces sources.

    Elle était placée depuis mai 2017 sous le statut intermédiaire de témoin assisté dans l’information judiciaire ouverte en 2013, après une plainte de la FIDH et de la LDH lui reprochant d’avoir vendu entre 2007 et 2011 à Tripoli un logiciel qui aurait permis de traquer des opposants libyens.

    Ce changement de statut dans la procédure, après quatre ans de poursuites des investigations, fait désormais peser la menace d’un renvoi aux assises pour Amesys, rachetée par Bull en janvier 2010.

    Contacté par l’AFP, l’avocat de la société, Me Olivier Baratelli, a contesté « une quelconque complicité d’actes de torture » de la société, se refusant à tout autre commentaire.

    Peu avant, les juges d’instruction chargés de ces investigations avaient mis en examen Philippe Vannier, qui avait été le président d’Amesys jusqu’en 2010 avant de prendre la tête de Bull.

    Dans un autre volet, concernant cette fois l’Egypte et l’entreprise Nexa Technologies – dirigée par d’anciens responsables d’Amesys et qui a vendu le même logiciel au régime d’Abdel Fatah al-Sissi – les magistrats avaient mis en examen quatre dirigeants et responsables pour « complicité d’actes de torture et de disparitions forcées ».

    « Il faut saluer cette remarquable avancée de l’instruction, que nous attendions depuis de nombreuses années, et qui constitue un précédent important », ont déclaré à l’AFP Clémence Bectarte et Patrick Baudouin, avocats de la FIDH.

    Dans l’information judiciaire visant Amesys, les parties civiles accusent la société d’avoir fourni en toute connaissance de cause du matériel de cybersurveillance à l’Etat libyen qui l’a utilisé pour repérer des opposants, ensuite emprisonnés et torturés.

    Les médias en ligne reflets.info et owni.fr avaient effectué de premières investigations sur le sujet mais l’affaire avait véritablement éclaté en 2011, en plein printemps arabe: des journalistes du Wall Street Journal avaient alors visité le centre de surveillance de Tripoli et découvert des documents selon lesquels Amesys l’avait équipé avec un système d’analyse du trafic internet (DPI), permettant de contrôler les messages qui s’y échangaient.

    Après l’émoi provoqué par cet article, Amesys avait reconnu avoir fourni au régime de Kadhafi du « matériel d’analyse » portant sur des « connexions internet », tout en rappelant que le contrat avait été signé dans un contexte de « rapprochement diplomatique » avec la Libye sous la présidence de Nicolas Sarkozy.

    Notre Temps, 01/07/2021

    Etiquettes : France, Libye, Amesys, Mouammar Kadhafi, Bull, Nexa Technologies, espionnage, logiciels espions, surveillance,

  • Surveillance et torture en Egypte et en Libye – des dirigeants d’Amesys et Nexa Technologies mis en examen

    Paris, 22 juin 2021 — Les 16 et 17 juin dernier, quatre dirigeants des entreprises Amesys et Nexa Technologies ont été mis en examen par des juges d’instruction du pôle crimes contre l’humanité, crimes et délits de guerre du Tribunal judiciaire de Paris, respectivement pour complicité de tortures pour le volet libyen de l’enquête, et complicité de tortures et disparitions forcées pour le volet égyptien. Les deux entreprises sont mises en cause pour avoir fourni une technologie de surveillance à des régimes autoritaires en Libye et en Égypte.

    Ces mises en examen font suite à deux plaintes distinctes déposées par la Fédération internationale pour les droits humains (FIDH) et la Ligue des droits de l’Homme (LDH), qui visaient ces entreprises en raison de la vente de technologies de surveillance aux régimes libyen de Mouammar Khadafi (en 2007) et égyptien d’Abdel Fattah al-Sissi (en 2014).
    Le 19 octobre 2011, nos organisations avaient déposé une première plainte contre Amesys suite aux révélations parues dans le Wall Street Journal et WikiLeaks. En 2013, la FIDH accompagnait des victimes libyennes du régime Kadhafi qui avaient témoigné devant les juges de la manière dont elles avaient été identifiées puis interpellées et torturées, après avoir fait l’objet de surveillance par les services de sécurité libyens.
    Le 9 novembre 2017, la FIDH et la LDH, avec le soutien du Cairo Institute for Human Rights Studies, avaient déposé au Pôle crimes contre l’humanité du Parquet de Paris une dénonciation de faits relatifs à la participation de cette même entreprise (devenue entre-temps Nexa Technologies) aux opérations de répression menées par le régime al-Sissi, via la vente de matériel de surveillance. Cette demande d’ouverture d’une nouvelle enquête pour des faits de complicité de torture et disparitions forcées commis en Egypte faisait suite aux révélations du journal Télérama, en juillet 2017, selon lesquelles la société Amesys avait « changé de nom et d’actionnaires pour vendre ses services au nouveau pouvoir égyptien. Sans que l’État français y trouve à redire ».
    En mai 2017, la société Amesys a été placée sous le statut de témoin assisté pour complicité d’actes de torture commis en Libye entre 2007 et 2011.
    Depuis, nos organisations et les parties civiles qui avaient eu le courage de témoigner devant la justice française attendaient des évolutions dans ces affaires, et avaient exprimé à plusieurs reprises leur incompréhension face aux lenteurs constatées.
    FIDH, 22 juin 2021
    Etiquettes : France, Libye, logiciels espions, Amesys, Nexa technologies, répression, torture,