Une campagne élaborée de piratage informatique menée par une société mercenaire de cybersurveillance et visant les systèmes d’exploitation Android de Google a été mise en lumière par le Security Lab d’Amnesty International.
Les conclusions techniques ont été communiquées au groupe d’analyse des menaces de Google, qui travaille sur la lutte contre les cyberattaques soutenues par des gouvernements. En conséquence, Google, ainsi que les autres fournisseurs touchés, notamment Samsung, ont pu publier des mises à jour de sécurité pour protéger des milliards d’utilisateurs et utilisatrices d’Android, Chrome et Linux des techniques d’exploitation de faille utilisées pour cette attaque.
Amnesty International ne nomme pas la société, car le Security Lab continue de surveiller et d’enquêter sur ses activités. Cependant, l’attaque présentait toutes les caractéristiques d’une campagne de cyberattaque sophistiquée élaborée par une entreprise commerciale de cybersurveillance et vendue à des pirates informatiques gouvernementaux en vue de mener des cyberattaques ciblées.
« Les entreprises peu scrupuleuses de cybersurveillance représentent un réel danger pour notre vie privée et notre sécurité à toutes et tous. Nous encourageons les utilisateurs et utilisatrices à veiller à installer les dernières mises à jour de sécurité sur leurs appareils », a déclaré Donncha Ó Cearbhaill, responsable du Security Lab d’Amnesty International.
« Bien qu’il soit essentiel de remédier à ces failles, ces corrections ne sont qu’un emplâtre sur une jambe de bois dans une crise mondiale des logiciels espions. Il est urgent de mettre en place un moratoire mondial sur la vente, le transfert et l’utilisation des logiciels espions, jusqu’à ce que des garanties réglementaires solides relatives aux droits humains soient mises en place, sinon d’autres cyberattaques sophistiquées continueront d’être utilisées comme outil de répression contre les militant·e·s et les journalistes. »
Le Security Lab d’Amnesty International mène un travail actif de suivi et d’enquête sur les entreprises et gouvernements de plus en plus nombreux qui utilisent de manière abusive les technologies de cybersurveillance représentant une grave menace pour les défenseur·e·s des droits humains, les journalistes et la société civile.
Le 27 mars 2023, prenant une mesure importante pour faire face à la crise des logiciels espions, le président Joe Biden a signé un décret restreignant l’utilisation par le gouvernement de logiciels espions commerciaux représentant un danger pour les droits humains. Cette décision est un message fort encourageant d’autres gouvernements à prendre des mesures similaires.
Attaque zero-day
Les conclusions du Security Lab ont permis à Google, en décembre 2022, de repérer une chaîne de failles zero-day utilisée pour pirater des appareils Android. Les failles zero-day sont particulièrement dangereuses car elles permettent aux personnes à leur origine de pirater même des téléphones complètement protégés et mis à jour, la faille étant inconnue du développeur.
La campagne récemment découverte de cybersurveillance était déployée depuis au moins 2020 et visait des appareils portables ou de bureau, notamment des utilisateurs et utilisatrices du système d’exploitation Android de Google. Le logiciel espion et les failles zero-day étaient installés depuis un vaste réseau de plus de 1 000 domaines malveillants, notamment des domaines se faisant passer pour des sites Internet de médias dans plusieurs pays.
Amnesty International a publié les informations sur les domaines et infrastructures qu’elle a identifiés comme étant associés à l’attaque, afin d’aider la société civile à enquêter sur ces attaques et à y répondre.
Le groupe d’analyse des menaces de Google a découvert que des utilisateurs et utilisatrices d’Android aux Émirats arabes unis avaient été pris pour cible par l’envoi par SMS de liens d’attaque unique qui, s’ils étaient ouverts, installaient le logiciel espion sur le téléphone ciblé. Les défenseur·e·s des droits humains aux Émirats arabes unis ont régulièrement été la cible de logiciels espions d’entreprises de cybersurveillance comme NSO Group et Hacking Team ces dix dernières années, notamment Ahmed Mansoor, qui a été la cible de logiciels espions des deux entreprises, avant d’être emprisonné par les autorités émiriennes en raison de son travail de défense des droits humains.
Le Security Lab d’Amnesty International a en outre identifié des activités liées à cette campagne de cybersurveillance en Indonésie, au Bélarus, aux Émirats arabes unis et en Italie. Ces pays ne sont sans doute que quelques-unes des cibles de la campagne de cybersurveillance, compte tenu de l’ampleur de l’infrastructure globale d’attaque.
Le groupe d’analyse des menaces a également obtenu l’ensemble de la charge utile du logiciel espion Android de cette campagne d’attaque. La chaîne de failles utilisait plusieurs failles zero-day et d’autres failles récemment corrigées pour infiltrer un appareil Samsung Android pourtant protégé. Ces failles comprennent une faille zero-day dans Chrome, une sortie de l’environnement de bac à sable (sandbox) et une faille d’élévation des privilèges dans Mali GPU Kernel Driver. La faille Mali GPU avait été traitée par Arm, mais cette correction n’avait pas été intégrée à la dernière version du micrologiciel de Samsung en décembre 2022. La chaîne de failles utilisait également une faille zero-day dans le noyau Linux pour obtenir des privilèges root (CVE-2023-0266) sur le téléphone. La faille finale permettait aux pirates d’attaquer le bureau Linux et les systèmes intégrés.
Amnesty International continue de travailler avec un réseau grandissant de partenaires de la société civile afin de détecter les menaces en matière de cybersécurité auxquelles sont confrontés les défenseur·e·s des droits humains et d’y répondre. À ces fins, l’organisation partage des indices d’infection, des méthodologies techniques et l’élaboration d’outils techniques comme la Mobile Verification Toolkit (boîte à outils de vérification mobile), que la société civile peut utiliser pour détecter des menaces de cybersurveillance.
Les nombreuses attaques révélées par Amnesty International et des partenaires de la société civile ces dernières années ont démontré que l’industrie de la cybersécurité représentait une grave menace pour les défenseur·e·s des droits humains et la société civile dans le monde. Les préjudices systémiques de la cybersurveillance croissante et non réglementée vont bien au-delà du célèbre logiciel espion Pegasus élaboré par NSO Group. Dans le sillage du Projet Pegasus, qui a révélé que des logiciels espions avaient été utilisés pour prendre pour cible des journalistes, des défenseur·e·s des droits humains et des personnalités politiques du monde entier, il est urgent d’instaurer un moratoire mondial sur l’élaboration, l’utilisation, le transfert et la vente de logiciels espions, jusqu’à ce qu’un cadre réglementaire mondial soit mis en place pour empêcher ces attaques et protéger les droits humains à l’ère du numérique.