Monde

Predator : l’autre logiciel qui espionne les smartphones, utilisé par la Grèce et beaucoup d’autres

Predator infecte aussi bien les iPhone que les téléphones Android, via un lien envoyé par WhatsApp.
09 août 2022 à 15:50 - mise à jour 10 août 2022 à 13:43Temps de lecture5 min
Par Daniel Fontaine

Après des semaines de déni, le gouvernement grec a dû le reconnaître : oui, les Renseignements grecs (EYP) ont espionné un eurodéputé, et probablement des journalistes. Ce service, placé sous l’autorité du Premier ministre, a infecté leurs téléphones avec un logiciel d’espionnage, le Predator.

Ce mouchard est vendu par Cytrox, une société basée en Macédoine du Nord. Predator semble prendre progressivement la place de Pegasus, devenu un peu trop célèbre pour un dispositif censé rester secret.

Predator détecté

Tout commence le 28 juin dernier. L’eurodéputé socialiste Nikos Androulakis soumet alors son téléphone portable au service spécialisé du Parlement européen pour détecter l’éventuelle présence de logiciels illégaux. "Dès le premier contrôle, un lien suspect lié à l’outil de surveillance de Predator a été détecté", a dénoncé son parti, le Kinal-Pasok.

Le Premier ministre conservateur Kyriakos Mitsotakis a finalement reconnu une "erreur". Le chef de l’EYP a démissionné, ainsi qu’un proche collaborateur du Premier ministre désormais en difficulté. La Grèce se trouve sur une liste de pays autocratiques utilisant le Predator pour surveiller leurs opposants, comme l’Arabie saoudite et l’Egypte.

L’iPhone chauffait un peu trop

L’existence de ce logiciel espion a d’ailleurs été découverte grâce à la vigilance d’un opposant égyptien, Ayman Nour, ancien candidat à la présidentielle. Il est exilé en Turquie, comme son ami Jamal Khashoggi, assassiné par un commando saoudien.

Ayman Nour s’est étonné de voir son iPhone surchauffer alors qu’il l’utilisait assez peu. L’appareil a été confié aux enquêteurs de Citizen Lab. Bingo : le téléphone était infecté non pas par un, mais par deux logiciels espions, une première mondiale !

Les spécialistes y ont découvert le désormais fameux Pegasus, mais aussi le nouveau Predator, installé en juin 2021. Les deux logiciels étaient utilisés par deux gouvernements différents. Le Predator envoyait les informations recueillies aux services égyptiens.

Contrôle complet

Pegasus permet au commanditaire de l’attaque de pendre le contrôle complet du téléphone à l’insu de son propriétaire. Le logiciel espion peut lire tout le contenu de la mémoire (contacts, messages, photos…) et activer le micro et la caméra à distance.

Le groupe spécialisé de l’université de Toronto Citizen Lab n’a pas publié les performances de Predator. Mais ses clients recherchent les mêmes fonctionnalités. Citizen Lab estime par exemple que l’Arabie saoudite a changé il y a un an d’outil d’espionnage de Pegasus à Predator. Cela s’est produit lorsque le groupe israélien NSO, propriétaire de Pegasus, a rompu sa collaboration trop tapageuse avec Riyad.

Racheté par un officier israélien

Predator est commercialisé par la société Cytrox, basée à Skopje, en Macédoine du Nord. Cette start-up a été rachetée en 2019 par un ancien officier israélien spécialisé dans le cyber espionnage, Tal Dilian. Cytrox dispose désormais de bureaux en Israël et en Hongrie.

Tal Dilian a intégré Cytrox dans sa galaxie de sociétés qui proposent ses services aux gouvernements, Intellexa. Il vise à concurrencer l’autre groupe israélien, NSO.

Sociétés mercenaires de logiciels espions

Citizen Lab qualifie ces entreprises de "sociétés mercenaires de logiciels espions". Elles vendent aussi bien leurs services à des États démocratiques qu’à des régimes violant massivement les droits humains pour les aider à asseoir leur pouvoir répressif. Ces sociétés se protègent des poursuites judiciaires "en recourant à des techniques complexes de comptabilité et de création de sociétés, semblables à celles utilisées par les trafiquants d’armes ou les blanchisseurs d’argent", dénonce le groupe canadien.

Predator utilise les failles de sécurité des smartphones qui utilisent le système IOS (Apple) ou Android (Google). Il suffit que l’utilisateur clique sur un lien envoyé par la messagerie WhatsApp pour que le mouchard s’installe et commence à récolter des données.

Apple, Google et Meta en chasse

Après sa découverte, Citizen Lab a collaboré avec les entreprises concernées pour les aider à mieux protéger leurs produits : Apple, Google, mais aussi Meta (Facebook). Cytrox utilise de faux comptes sur les réseaux sociaux et de faux sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé.

Les recherches communes ont identifié une quinzaine de pays où des entités utilisent Predator : Grèce, Arabie saoudite et Egypte, comme déjà mentionné, mais aussi Arménie, Indonésie, Madagascar, Oman, Serbie, Colombie, Côté d’Ivoire, Vietnam, Philippine, Espagne et Allemagne.

50.000 utilisateurs visés

La notification de Facebook d'une tentative d'intrusion par un logiciel espion.

Selon Meta, plus de 50.000 de ses utilisateurs ont été ciblés par le logiciel espion. Ils ont été avertis individuellement. Le groupe a supprimé quelque 300 comptes Instagram et Facebook créés par Cytrox. Ils étaient utilisés pour obtenir des informations sur les cibles, les approcher et les infecter. Le groupe de Mark Zuckerberg a également supprimé 1500 comptes qui avaient envoyé des liens contaminés vers des cibles. Les adresses Web à partir desquelles des logiciels espions malveillants étaient distribués ont été bloquées.

De son côté, Google a reconnu que Cytrox avait pu utiliser des failles dans le navigateur Chrome et dans le système Android pour infecter des smartphones.

30 fournisseurs sous surveillance

Le Groupe d’analyse de la menace chez Google (TAG) a dénoncé dans la foulée le développement d’un "écosystème des fournisseurs de solutions de surveillance" et les "pratiques néfastes de l’industrie de la surveillance commerciale" qui offre ses services aux États. "TAG continue de suivre plus de 30 fournisseurs, dont le niveau de sophistication et d’exposition publique varie, qui vendent des failles ou des capacités de surveillance à des acteurs soutenus par des gouvernements", écrit Shane Huntley, directeur du TAG de Google.

Il faut souligner que les pays les plus avancés technologiquement disposent des ressources au sein de l’appareil d’État pour développer leur propre logiciel espion sur mesure, sans passer par une société commerciale. Pegasus ou Predator peuvent être vus comme des solutions proposées aux États qui ne disposent pas des fonds ou de l’expertise nécessaire à ce développement interne d’outils de surveillance. "Le marché des capacités d’intrusion offensive est vaste, varié et en expansion au niveau international", souligne Citizen Lab.

Loading...

Avec Amnesty International, le laboratoire canadien alerte depuis plusieurs années sur l’utilisation débridée de ces logiciels espions commerciaux. Officiellement, ils sont vendus aux États pour les aider à lutter contre la criminalité et le terrorisme. Comme le montre la crise en Grèce, même les services d’États démocratiques succombent à la tentation d’une surveillance illégale mais désormais facile d’élus, d’opposants, de journalistes, d’avocats…

"Nous pensons que cette tendance persistera tant que les gouvernements autocratiques seront en mesure de se procurer des technologies de piratage sophistiquées, conclut Citizen Lab. En l’absence de réglementations et de garanties internationales et nationales, les journalistes, les défenseurs des droits de l’homme et les groupes d’opposition continueront à être piratés dans un avenir prévisible".

Sur le même sujet

"Predatorgate" : le scandale d'espionnage qui secoue le gouvernement grec

Monde

Logiciel Pegasus : la Commission européenne aurait trouvé des "indices" de piratage de plusieurs téléphones

Monde

Articles recommandés pour vous