La chute et la montée d'un empire des logiciels espions

Ville

Ville





Le logiciel espion était censé être invisible et intraçable. Au lieu de cela, la société a été capturée et exposée.

À l'âge de dix ans en 2014, la société italienne Hacking Team avait une activité mondiale dans le domaine de la surveillance. Sa technologie de surveillance avancée, appelée Remote Control System (RCS), a été vendue à des gouvernements, dont certaines des dictatures les plus notoires du monde. Il a été utilisé pour voler subrepticement des données à toute personne ciblée par le client. Lorsque les chercheurs ont finalement commencé à découvrir les activités de Hacking Team, la liste des cibles comprenait des militants des droits de l'homme et des journalistes.

En 2015, des hackers ont frappé Hacking Team. Des données totalisant plus de 400 gigaoctets, y compris des e-mails, des factures et le code source, ont été rendues publiques. Le propre compte Twitter de l'entreprise, lui-même piraté, a claironné la violation.



Au public, le l'entreprise a permis des régimes répressifs . Pour les collègues de l'industrie, c'est une entreprise de piratage qui a été piratée. Les clients ont commencé à rester à l'écart et même les étudiants hésitaient à travailler pour elle.

Près de cinq ans plus tard, Paolo Lezzi espère faire revivre la tenue en disgrâce, en transformant la catastrophe en une entreprise rentable.

Le nouveau régime

J'ai rencontré Lezzi la semaine dernière lors d'un salon high-tech de la défense et de l'armée à Paris. Cela fait un peu moins d'un an qu'il a acheté Hacking Team, a changé le nom, l'a combiné avec sa propre entreprise et s'est lancé dans la tâche de ramener l'entreprise autrefois puissante d'entre les morts.



Ma première question était une évidence pour le chef d'une entreprise de logiciels espions liée à des régimes répressifs.

Comment s'assurer qu'il n'y a pas d'abus ? J'ai demandé.

Lezzi inspira lentement en réfléchissant à la question. Il leva les yeux et montra un étalage de mitrailleuses à quelques mètres de l'endroit où nous parlions.



Pourquoi tout le monde nous pose cette question, mais personne ne leur pose cette question ? dit-il en haussant les sourcils.

Lezzi est propriétaire de Memento Labs et de sa société mère, InTheCyber. Memento Labs a été créé en mars lorsque Lezzi acquis Équipe de piratage.

Matériel marketing de l

Memento Labs fait la publicité de ses produits auprès de clients potentiels. Photo : Patrick Howell O'Neill



Cette acquisition a réuni les ingénieurs restants de Hacking Team et l'équipe de recherche et développement d'InTheCyber. La société a adopté son nouveau nom plus discret et a commencé à se reconstruire. Cette année, il a fait ses débuts publics lors des grandes conférences de l'industrie de la surveillance ISS World à Prague et Milipol à Paris, où je l'ai trouvé.

Nous avons complètement repensé, a déclaré Lezzi. Nous développons les meilleurs outils possibles pour soutenir les forces de l'ordre.

Impossible à découvrir

Memento Labs (Slogan : Hunting in the dark) vend une variété d'outils d'espionnage impressionnants.

Son produit KRAIT permet à quelqu'un d'attaquer n'importe quel appareil Android et de ne laisser aucune trace, en prenant le contrôle de l'appareil pour le surveiller sans action requise par la cible.

La société fournit ce qu'elle appelle un implant de confiance pour obtenir KRAIT sur l'appareil de la cible, ce qui signifie que le malware sera livré à partir de ce qui ressemble à la victime comme une source connue. C'est un service qui facilite la campagne d'ingénierie sociale. KRAIT est un petit agent et se cache à l'intérieur d'applications légitimes.

KRAIT peut voler les mots de passe de la cible. Il peut également lancer un certain nombre d'exploits coûteux, les outils très appréciés et en constante évolution qui tirent parti des vulnérabilités de la sécurité numérique pour se glisser à l'intérieur des logiciels et en prendre le contrôle. Les communications entre KRAIT et les serveurs de commande et de contrôle de l'attaquant sont camouflées en passant par des services et des applications en ligne de confiance.

Selon la société, les charges utiles ne sont jamais stockées sur les appareils cibles, ce qui rend presque impossible la découverte de l'existence de l'agent et de ses capacités.

Lorsque KRAIT prend le contrôle de votre téléphone, ce n'est plus votre téléphone. Les données de localisation de l'appareil, le microphone, l'appareil photo, les appels, le carnet d'adresses, le système de fichiers, les messages texte, etc. appartiennent désormais au pirate qui a acheté KRAIT.

Ce qui est particulièrement troublant, c'est que des produits comme KRAIT sont conçus pour infecter silencieusement et surveiller de manière invisible même les «cibles paranoïaques» qui pourraient avoir un niveau élevé de sensibilisation à la sécurité numérique, déclare Bill Marczak, chercheur au Citizen Lab de l'Université de Toronto qui a dirigé les premières recherches sur Équipe de piratage.

Ces produits sont parfaits pour les auteurs de violations des droits de l'homme, qui cherchent des outils pour attaquer une société civile de plus en plus vigilante.

L'événement principal

Le produit phare de Memento, RCS X, est la dernière version de RCS, le logiciel espion très efficace qui était en 2012 découvert être utilisé contre des journalistes et des militants des droits de l'homme dans le monde arabe et à Washington, DC. Citizen Lab a identifié d'autres utilisateurs gouvernementaux du RCS, y compris des régimes autoritaires allant de l'Égypte et de l'Éthiopie à l'Arabie saoudite et au Soudan. C'était repéré dans la nature aussi récemment que l'année dernière.

Fruit de 15 ans de développement, RCS X offre une infection invisible de 99 % des plates-formes les plus utilisées au monde, notamment macOS, Linux, Android, iOS et BlackBerry. L'outil infecte un nombre quelconque de cibles grâce à l'utilisation de vulnérabilités de sécurité exploitées. Une seule console peut gérer toutes les infections et collecter des données chiffrées et signées cryptographiquement à partir d'applications, de calendriers, de messages, de mots de passe, etc.

Avec RCS X, un pirate peut contrôler le microphone et la caméra, prendre des captures d'écran et finalement obtenir le contrôle complet d'une machine ciblée.

Le logiciel espion a une longue histoire de ventes et d'utilisations réussies, bien que des utilisations qui, dans de nombreux cas, ont été détectées, malgré les promesses d'invisibilité, et ont fini par contribuer à la disparition de Hacking Team. Ce sera la clé de tout succès futur pour Memento Labs.

Plus rapide que la loi

Memento ne sera vendu qu'aux forces de l'ordre officielles, aux agences de renseignement et aux militaires. L'entreprise demande et exige l'autorisation des autorités d'exportation italiennes, les mêmes autorités qui révoqué La licence mondiale de Hacking Team en 2016 après que des preuves ont émergé que le produit était utilisé dans des pays comme le Soudan, l'Arabie saoudite et l'Égypte et lié à des violations des droits de l'homme.

Mais les lois régissant l'industrie ne sont pas assez bonnes, dit Marietje Schaake, une ancienne membre du Parlement européen qui a à plusieurs reprises sonné l'alarme sur la technologie de surveillance en cours de construction et de vente en Europe. Elle est tombée sur les outils pour la première fois pendant le printemps arabe, un mouvement pro-démocratie au Moyen-Orient, lorsque Hacking Team a été impliqué dans la vente de logiciels espions comme RCS à la dictature égyptienne.

Je n'ai pas été surpris que les dictateurs fassent n'importe quoi pour garder leur emprise sur le pouvoir, dit Schaake. J'ai été surpris que ces outils viennent de démocraties.

La carrière de dix ans de Schaake dans la branche législative de l'UE a été rythmée par des efforts visant à accroître la responsabilité juridique et la transparence dans l'industrie de la surveillance afin de prévenir les types d'abus qui ont fait la renommée de Hacking Team.

La technologie a évolué plus vite que les lois, dit-elle. Toutes les lois régissant les exportations provenaient du domaine de la sécurité. Il n'y a pas eu de composante droits de l'homme avant des événements comme le printemps arabe et le meurtre de Jamal Khashoggi. L'Italie, en particulier, traîne les pieds – ils sont toujours contre les restrictions et les sanctions. Ils préfèrent être « pragmatiques ».

Lezzi dit que Memento Labs prend maintenant une mesure technique pour éviter les abus : l'entreprise limite le nombre d'agents logiciels vendus aux gouvernements. C'est l'agent qui est capable d'espionner et de contrôler une machine.

Si vous vendez des milliers d'agents, il se peut que ce ne soit pas pour les forces de l'ordre, explique Lezzi, soulignant que certains concurrents de l'industrie vendent exactement ce type de capacité d'espionnage vaste et aveugle. Lui, en revanche, limite le nombre d'agents vendus alors que la technologie Memento se limite à 25 ou 50 infections. Il est impossible d'aller à l'encontre des droits de l'homme avec seulement 50 agents, dit-il.

Cependant, il n'y a aucun moyen pour Memento de détecter directement les abus par les gouvernements qui utilisent ses outils de surveillance, et donc l'utilisation ultime du logiciel espion est hors du contrôle de Lezzi.

Bill Marczak est sceptique quant au fonctionnement des garanties de Memento Labs, citant un cas de 2014 où le gouvernement éthiopien a utilisé le logiciel espion de Hacking Team pour cibler les journalistes. Le gouvernement éthiopien n'a eu aucun problème à poursuivre les journalistes et les groupes d'opposition avec les 50 agents vendus par le prédécesseur de Memento, Hacking Team, dit-il.

En effet, le nouveau matériel publicitaire pour RCS X promet également que les agents RCS peuvent être utilisés un nombre illimité de fois, permettant une polyvalence maximale dans les enquêtes et, semble-t-il, peu de limites sur la portée.

Reconstitution

Memento fait face à une bataille difficile, non seulement pour réformer sa réputation, mais aussi pour reprendre pied sur le marché. L'industrie de la surveillance compte de nombreux concurrents très compétents. Les entreprises israéliennes en particulier ouvrent de nouvelles voies sur le plan technologique et politique. Il n'est pas facile de rivaliser avec un géant de l'industrie de la surveillance de la taille du groupe israélien NSO.

Là encore, l'industrie est en plein essor : il n'y a jamais eu autant de produits de surveillance et d'espionnage à vendre qu'à la conférence Milipol de cette année. S'il y a plus de concurrents dans l'industrie, il y a aussi plus d'argent et une plus grande demande des pays du monde entier.

La plupart des pays n'ont pas le budget massif et les capacités de pointe des agences de renseignement américaines. Memento Labs espère construire une entreprise lucrative en compensant la différence pour les nations de taille moyenne qui souhaitent réaliser des ambitions dans le cyberespace à moindre coût. Que l'entreprise puisse éviter les catastrophes qui ont condamné son prédécesseur est une toute autre question.

cacher