Plus de 80 pays ont acheté des logiciels espion et de cyberintrusion

L'ANSSI britannique s'inquiète de la prolifération des logiciels de cyberintrusion, de leur utilisation « irresponsable » par un nombre croissant d'États-nations, et des risques d' « escalades involontaires » que fait peser la banalisation du marché des « hackers à louer » et du « Hacking-as-a-Service ».

Le National Cyber Security Centre (NCSC), l'agence britannique en charge de la cybersécurité, estime que « la prolifération et l'utilisation irresponsable d'outils de piratage commerciaux » constitueront « une menace croissante pour les organisations et les individus à l'échelle mondiale au cours des cinq prochaines années ».

Dans un rapport intitulé « La menace de la cyberprolifération commerciale », qu'il vient de publier à l'occasion de CYBERUK 2023 (l'événement phare du Royaume-Uni en matière de cybersécurité, organisé par le NCSC), il prévient que « les logiciels espions, les pirates informatiques à louer et l'accès à d'autres capacités cybernétiques devraient faire l'objet d'une demande croissante à l'échelle mondiale, ce qui entraînera très certainement une menace accrue pour un large éventail d'industries » :

« Au cours de la dernière décennie, plus de 80 pays ont acheté des logiciels de cyberintrusion, et certains États les ont certainement utilisés de manière irresponsable pour cibler des journalistes, des militants des droits de l'homme, des dissidents et des opposants politiques, ainsi que des représentants de gouvernements étrangers. En outre, le développement du marché des pirates informatiques à louer accroît le risque de ciblage imprévisible ou d'escalade involontaire. »

Pour Jonathon Ellison, directeur de la résilience et des technologies de l'avenir au NCSC, « la menace va non seulement s'intensifier, mais aussi devenir moins prévisible, car davantage de pirates informatiques à louer sont chargés de s'attaquer à un plus grand nombre de cibles, et les produits et exploits prêts à l'emploi réduisent la barrière à l'entrée » : 

« Il est presque certain que cela se produit à grande échelle, avec des milliers de personnes ciblées chaque année. Si les produits actuels se concentrent sur les appareils mobiles et la collecte de renseignements, il est probable qu'à mesure que le secteur se développera et que la demande augmentera, les produits et les services se diversifieront pour répondre à la demande. »

Hackers-for-Hire & Hacking-as-a-Service 

Au cours de la dernière décennie, le NCSC explique avoir assisté à la montée en puissance de l'industrie de la cyberintrusion, commercialisant un nombre croissant de produits et de services à des clients internationaux. 

Il s'agit notamment de capacités prêtes à l'emploi (« Hacking-as-a-Service ») mises en œuvre par des mercenaires du piratage (« Hackers-for-Hire ») et reposant sur des logiciels sophistiqués, voire des exploits de type « zero-day », dont la sophistication « rivalise désormais avec les capacités équivalentes de certains groupes de menaces persistantes avancées (APT) liés à des États ».

Les barrières à l'entrée auraient tellement été rabaissées que des acteurs étatiques et non étatiques sont désormais capables d'acheter, sur étagère, des capacités, logiciels et systèmes qu'ils n'auraient jamais pu développer, et qui n'étaient auparavant accessibles qu'à un petit nombre de services de renseignement techniques de pays disposant de dizaines d'années d'expérience et d'expertise en la matière.

On l'a notamment vu en Israël, où de nombreux anciens de l'Unité 8200 (la NSA israélienne, réputée pour son vivier de hackers) sont recrutés par des entreprises comme NSO, Candiru ou Quadream pour développer des logiciels espions particulièrement sophistiqués qui, ensuite, sont commercialisés auprès de pays ne disposant pas forcément d'autorités de contrôle vérifiant que leur utilisation ne viole pas les droits humains.

Jusqu'à 7 millions de dollars pour une faille « zero day » SMS/MMS

Si NSO a fait la « Une » des médias du monde entier, contrairement à Candiru ou Quadream, il existe désormais des centaines de marchands d'armes de cybersurveillance commercialisant, au-delà des médiatiques logiciels espions, IMSI-catcher, sondes réseaux ou DPI, failles et exploits « zero day », logiciels d'intrusion et autres plateformes de veille OSINT.

Signe de la bonne santé de ce secteur d'activité, Zerodium, le plus connu des « brokers » de failles « zero day », se dit prêt à payer jusqu'à 2,5 millions de dollars pour une faille Android, 2 millions pour une faille iOS, et 1 million pour une faille Windows. 

Son mystérieux concurrent Vulns Security, récemment repéré par Intelligence Online, se dit quant à lui prêt à débourser jusqu'à 7 millions de dollars pour une faille SMS/MMS, et 5 millions pour une faille iOS ou Android.

La foire internationale des marchands d'armes de cybersurveillance

Le NCSC ne le nomme pas explicitement, mais les salons ISS World, consacrés aux systèmes d'appui au renseignement pour la surveillance électronique, le contrôle des médias sociaux/du darknet et la détection des cybermenaces, en sont la parfaite incarnation.

Depuis le début des années 2000, ISS a en effet organisé « plus de 400 événements industriels qui ont attiré plus de 50 000 représentants des forces de l'ordre, des services de renseignement et de la défense dans le monde entier », à raison de cinq salons par an, à Dubai, Prague, Singapour, Panama City et Washington.

ISS World se présente comme « là où les forces de l'ordre et les services gouvernementaux de renseignement s'adressent pour obtenir une formation technique et une sélection de produits » : 

« Les programmes d'ISS World présentent les méthodologies et les outils destinés aux forces de l'ordre, à la sécurité publique, aux gouvernements et aux communautés du renseignement du secteur privé dans la lutte contre le trafic de drogue, le blanchiment d'argent, la traite des êtres humains, le terrorisme et d'autres activités criminelles menées sur les réseaux de télécommunications, l'internet et les médias sociaux d'aujourd'hui. »

Contrairement à Milipol, le salon mondial de la sécurité intérieure des États, qui se tient en alternance à Paris et Doha, l'entrée d'ISS (facturée de 995 à 1 295 dollars) est réservée aux seuls enquêteurs d'entreprises privées, employés de gouvernements, forces de l'ordre et fournisseurs de produits ou de services de sécurité et de surveillance, et interdite au public, journalistes, et ONG : 

« ISS World est le plus grand rassemblement mondial d'analystes régionaux des forces de l'ordre, du renseignement et de la sécurité intérieure, d'enquêteurs des télécommunications et de la criminalité financière chargés des enquêtes sur la cybercriminalité, de la surveillance électronique et de la collecte de renseignements. » 

Signe d'un commerce décomplexé, le principal sponsor d'ISS World Europe, qui se tiendra du 6 au 8 juin 2023, n'est autre que NSO, qui s'y présente comme « une lanterne qui fournit aux agences de renseignement, militaires et d'application de la loi la capacité de s'opposer à l'obscurité, en voyant clairement ce qui est autrement invisible ».

Candiru, la seconde entreprise israélienne placée, comme NSO, sur la liste noire du département du commerce état-unien, pour avoir « fourni des logiciels espions à des gouvernements étrangers qui ont utilisé ces outils pour cibler de manière malveillante des fonctionnaires, des journalistes, des hommes d’affaires, des militants, des universitaires et des employés d’ambassades », fait elle aussi partie des sponsors d'ISS.

Tout comme Area, Cellebrite, ClearTrail, Cobwebs, Cognyte, Intellexa, IPS, Rayzone Group, RCS, Suneris, Trovicor Intelligence, VASTech et Wintego, elles aussi connues pour commercialiser leurs solutions de cybersécurité « offensive », de surveillance, d'interception voire d'intrusion, auprès d'États-nations.

Des chercheurs du Carnegie Endowment for International Peace ont, de leur côté, répertorié « au moins 74 pays », dont 44 régimes autoritaires et 30 démocraties, ayant acquis et utilisés de tels logiciels espions entre 2011 et 2023.

Faux lanceurs d'alerte, « hack and leaks » et cyber-blanchiments

Au-delà des cibles « médiatiques » (parce que dissidents, responsables politiques, défenseurs des droits humains ou journalistes) des clients de Pegasus, cette nouvelle industrie œuvrerait également en matière d'espionnage économique, pour le compte d'États, mais également d'entreprises privées, relève le NCSC : 

« En plus de fournir aux États des informations ayant une valeur traditionnelle d'espionnage, les hackers à louer seraient également utilisés dans le cadre de litiges juridiques, de vols de propriété intellectuelle, de délits d'initiés et de vols d'autres données privées. »

Les journalistes d'investigation Philippe Vasset et Pierre Gastineau ont ainsi documenté dans une enquête passionnante, « Armes de déstabilisation massive - enquête sur le business des fuites de données », la face sombre du phénomène des « leaks » qui, surfant sur l'hypermédiatisation de WikiLeaks, est depuis devenu un « gigantesque marché de la donnée volée, avec ses courtiers, ses intermédiaires, ses agents doubles et ses donneurs d’ordre ». 

De plus en plus de cyber-mercenaires sont en effet rémunérés par des cabinets d'intelligence économique ou d'avocats pour pirater les systèmes d'information et boîtes aux lettres des entreprises ou personnes avec qui ils sont en conflit. 

L'objectif de ces « hack and leaks » est en effet d'obtenir les preuves qu'ils pourront utiliser lors de procès, sans risquer d'être accusés de les avoir obtenus illégalement ou, a contrario, afin de faire pression sur leur adversaire, et éviter d'avoir à passer par la case tribunal. 

Dans le premier cas, les donneurs d'ordre se font de plus en plus souvent passer pour des « lanceurs d'alerte » anonymes auprès de journalistes qu'ils instrumentalisent, profitant de l'image de « chevaliers blancs » désormais associée à ce type d'opérations. 

Objectif : « blanchir » les documents obtenus illégalement en les publiant dans des médias, si possible de plusieurs pays, afin de maximaliser l'exposition politique, voire juridique, de leurs cibles et adversaires.

Non content d'affaiblir leurs opposants grâce à la médiatisation des « leaks », les donneurs d'ordre de ce type de piratages auront ensuite beau jeu d'exposer au tribunal les documents en expliquant aux juges les avoir récupérés grâce au « lanceur d'alerte » qui les avait confiés aux journalistes, évitant ainsi d'avoir à reconnaître les avoir obtenus illégalement.

Qui surveillera les (cyber)surveillants ?

Le NCSC estime que ces « pirates à louer » augmentent en outre la probabilité d'un « ciblage imprévisible ou d'une escalade involontaire en tentant de compromettre un plus grand nombre de cibles » : 

« La prolifération des capacités cybernétiques commerciales entraînera une augmentation du nombre d'éléments à détecter et à atténuer par la cyberdéfense, ainsi qu'une augmentation similaire du nombre et du type de victimes. »

Il craint également que cette « banalisation des outils » permette à certains donneurs d'ordre de recourir à des cybercriminels, notamment « moins qualifiés », ce qui pourrait « très certainement augmenter le nombre de victimes » : 

« Ces dernières années, les marchés de la cybercriminalité se sont développés et sont devenus de plus en plus professionnels, en partie en raison de la demande des auteurs de ransomwares. Un exemple est le Malware-as-a-Service (MaaS), un service qui fournit l'utilisation d'un logiciel malveillant, éliminant ainsi la nécessité de créer et de développer le logiciel et réduisant le seuil de connaissances requis pour utiliser le logiciel malveillant. »

Le NCSC estime par ailleurs que, en matière de lutte contre la cyberprolifération « la surveillance du secteur des cyberintrusions commerciales ne fera certainement pas l'objet d'un consensus international, sera difficile à mettre en œuvre et sera soumise à des influences politiques et commerciales » :

« Toutefois, il est probable que de nombreuses entreprises commerciales de cyberintrusion seront incitées à contrôler et à limiter leur clientèle si une surveillance efficace et des normes internationales sur le développement et la vente de cybercapacités commerciales voient le jour. »

Enrayer la prolifération de logiciels espion

« Toute réponse politique doit porter sur tous les aspects de ce marché, et la participation de l'industrie et de la société civile est essentielle », explique le NCSC : 

« Il s'agit d'un problème international qui nécessite une solution internationale, et le Royaume-Uni a l'intention de travailler en étroite collaboration avec ses partenaires pour s'assurer que le développement, la vente et l'utilisation futurs des cybercapacités commerciales contribuent à un cyberespace sûr et prospère pour tout le monde. »

Lors du sommet pour la démocratie des 29 et 30 mars, onze pays (Australie, Canada, Costa Rica, Danemark, France, Nouvelle-Zélande, Norvège, Suisse, Suède, Royaume-Uni et États-Unis) s'étaient ainsi engagés à enrayer la prolifération de logiciels espion utilisés à des fins politiques et répressives.

« Nous reconnaissons la menace que représente l'utilisation abusive de logiciels espions commerciaux et la nécessité de contrôles nationaux et internationaux stricts sur la prolifération et l'utilisation de cette technologie », affirmaient les signataires. 

• Onze pays (dont la France) s'engagent à enrayer la prolifération de logiciels espion utilisés à des fins politiques

Ils s'engageaient à « établir des garde-fous et des procédures solides afin de garantir que toute utilisation de logiciels espions commerciaux par nos gouvernements soit compatible avec le respect des droits humains universels, de l'État de droit, des droits civils et des libertés civiles ».

Mais également à « empêcher l'exportation de logiciels, de technologies et d'équipements à des utilisateurs finaux susceptibles de les utiliser pour des activités cybernétiques malveillantes », y compris en travaillant en étroite collaboration avec les ONG « afin d'éclairer notre approche, de contribuer à la sensibilisation et de fixer des normes appropriées ».

L'objectif est également d'œuvrer à promouvoir de tels contrôles et restrictions auprès de leurs pays partenaires pour « atténuer collectivement l'utilisation abusive de logiciels espions commerciaux », et « encourager la réforme de ce secteur, notamment en encourageant l'industrie et les sociétés d'investissement à suivre les principes directeurs des Nations unies relatifs aux entreprises et aux droits humains ».