Une enquête du quotidien Haaretz révèle que suite aux scandales au sujet du logiciel espion Pegasus de la société NSO, les autorités israéliennes auraient considérablement restreint la possibilité de commercialiser de telles armes de surveillance, au point d'acculer QuaDream, le principal concurrent de NSO, à fermer boutique.
La fermeture de QuaDream, le principal concurrent de NSO sur le marché des logiciels espion, serait la conséquence des restrictions imposées par les États-Unis et du placement sur liste noire de NSO et de son autre concurrent Candiru, révèle le quotidien Haaretz.
QuaDream avait annoncé à ses salariés la cessation de ses activités après qu'une enquête du Citizen Lab et de Microsoft Threat Intelligence avait permis d'identifier les traces de son logiciel espion REIGN sur les portables d'« au moins cinq victimes », dont des journalistes, des personnalités de l'opposition politique et un membre d'une ONG.
- Logiciels espion : REIGN, le quasi-clone de Pegasus, fait de nouveau parler de lui
- QuaDream, l'un des concurrents de NSO, licencie ses employés et cesse ses activités
Mais d'après cinq sources familières de l'industrie israélienne des logiciels espions, interrogées par Haaretz, QuaDream, qui « était le seul à pouvoir rivaliser avec le produit phare de NSO, Pegasus », et qui « a longtemps été considéré comme la plus grande menace locale pour le groupe NSO », aurait décidé de fermer ses portes « après avoir échoué à obtenir l'autorisation de vendre ses logiciels espions à de nouveaux clients (dont le Maroc) ».
L'entreprise, elle aussi israélienne, avait pourtant « massivement investi » dans « un certain nombre de nouveaux produits et capacités », et espérait pouvoir « concurrencer NSO et d'autres sur le marché du piratage Android », mais n'aurait « pas réussi à mûrir et à arriver sur le marché », précise le quotidien :
« Selon deux des sources, il s'agissait notamment d'étendre la portée de leurs logiciels espions pour pouvoir également pirater les appareils Android, ainsi que développer ce qui a été qualifié de nouvelle forme de logiciel espion "terrifiante". Sans capacité à conclure de nouveaux accords, ces efforts et d'autres n'ont pas abouti – bien que pour des raisons différentes – l'entreprise a décidé de réduire ses pertes et de fermer boutique. »
Faute de parvenir à obtenir l'approbation réglementaire pour ses ventes à l'international, QuaDream chercherait depuis à revendre certains de ses actifs à des concurrents locaux, et aurait laissé partir ses salariés, dont l'équipe aurait été « intégrée presque dans sa totalité par un concurrent local », dont le nom n'a pas été divulgué.
Des contrats dans le cadre de la cyberdiplomatie israélienne
Si le contrat entre NSO et l'Arabie saoudite avait été conclu par les voies diplomatiques israéliennes et reçu la bénédiction de l'organisme israélien d'exportation de défense, Haaretz explique que celui de QuaDream avec le royaume saoudien l'avait été, quant à lui, par l'intermédiaire d'une société chypriote, InReach, échappant aux compétences des régulateurs israéliens des exportations de défense.
« De nombreuses entreprises israéliennes utilisent depuis longtemps des filiales chypriotes » pour passer outre les réglementations israéliennes, et QuaDream utilisait InReach pour « tester » les régulateurs israéliens, expliquent les sources du quotidien israélien.
Créé pour promouvoir les ventes des produits développés par Israël de QuaDream à l'extérieur du pays, InReach aurait été jusqu'à attirer certains de ses développeurs à se délocaliser à Limassol, la deuxième ville la plus importante de Chypre.
QuaDream et InReach auraient depuis entamé « un long différend juridique en 2020 » : QuaDream n'aurait pas tenu ses engagements, ni payé à InReach son pourcentage sur les ventes de ses logiciels. La bataille juridique se serait terminée « par un règlement de 6 millions de dollars ».
Or, suite aux scandales affectant NSO, dont le Pegasus Project, et son placement sur la liste noire états-unienne (nous y reviendrons), les sources d'Haaretz affirment que QuaDream aurait travaillé « sous la stricte surveillance israélienne ».
Un contrôle s'inscrivant dans la politique de « cyberdiplomatie » étrangère du pays. Haaretz avait en effet révélé que les ventes de Pegasus faisaient généralement suite à des visites diplomatiques effectuées par son premier ministre Benjamin Netanyahou auprès de pays auxquels l'autorisation de vente, et d'utilisation, était proposée en échange d'efforts ou de contreparties vis-à-vis de la politique d'Israël.
Or, écrit Haaretz, « incapable de rivaliser avec NSO au sein de l'UE et misant sur la politique d'armement numérique de Netanyahou », QuaDream avait concentré ses efforts de vente en ciblant des agences de renseignement et services de police en Asie, en Afrique et dans le monde arabe, des pays qui ne peuvent pas développer leur propre logiciel espion ou qui avaient échoué à conclure des accords avec NSO, et donc avec les autorités en charge des autorisations d'exportations en Israël.
QuaDream aurait ainsi, au cours des deux dernières années, et selon trois sources de Haaretz, approché quatre de ces nations. Mais si les pourparlers avaient « initialement reçu la bénédiction d'Israël », aucun accord n'aurait finalement été acquis.
La vente au Maroc bloquée suite au scandale Pegasus
Le plus important des prospects de QuaDream était le Maroc, avec qui l'entreprise était en pourparlers depuis août 2021. Le royaume, qui avait normalisé ses relations avec Israël dans le cadre des accords d'Abraham en décembre 2020, grâce à l’activisme diplomatique de Donald Trump, est soupçonné depuis des années de compter parmi les clients de NSO.
Mais Israël, écrit Haaretz, aurait bloqué le contrat « après que des informations avaient suggéré qu'il avait utilisé Pegasus à mauvais escient pour cibler de hauts responsables en Europe, notamment en France et en Espagne ».
Les sources de Haaretz indiquent que NSO « n'a pas obtenu l'autorisation de renouveler son contrat avec le Maroc », et que QuaDream « n'a pas non plus reçu de feu vert » de la part des autorités israéliennes.
Et ce, quand bien même les deux pays avaient pourtant signé un accord « sans précédent » – et le premier du genre avec un pays arabe, selon la partie israélienne – de coopération sécuritaire « sous tous ses aspects » (planification opérationnelle, achats, recherche et développement, formation) le 24 novembre 2021.
Suite aux révélations du Projet Pegasus en juillet 2021, puis au placement sur la liste noire états-unienne de NSO et Candiru début novembre 2021, les autorités israéliennes auraient en effet décidé de « freiner considérablement l'industrie locale des cyberarmes », écrit Haaretz.
Une liste de clients potentiels réduite de 102 à 37
Fin novembre, Calcalistech révélait que le ministère israélien de la Défense avait ainsi réduit le nombre de pays autorisés à importer des systèmes de cybersécurité israéliens de 102 à 37. Mais également que la nouvelle liste comprenait principalement les pays d'Europe occidentale, les États-Unis et le Canada, et que des pays comme le Maroc, le Mexique, l'Arabie saoudite ou les Émirats arabes unis, suspectés d'avoir acquis des cyber-outils offensifs de la société israélienne NSO, n'y figuraient plus.
Début décembre, l'agence Reuters révélait de son côté que les iPhone d' « au moins neuf employés du département d'État américain » avaient été espionnés à l'aide du logiciel espion Pegasus en Ouganda. D'après Haaretz, cet espionnage aurait joué dans la décision américaine de placer NSO sur sa liste noire.
Non content de voir son projet de contrat marocain bloqué par les autorités, QuaDream n'a pas non plus obtenu le renouvèlement de plusieurs autres contrats préalablement passés avec des pays ne figurant plus dans cette liste de 37 pays démocratiques et occidentaux autorisés à acheter les logiciels espions israéliens, précipitant sa chute, d'après Haaretz :
« Malgré le retour au pouvoir de Netanyahou et le relâchement attendu de l'emprise réglementaire d'Israël – pour renouveler les ventes aux États moins que démocratiques – la direction de QuaDream a décidé de réduire complètement ses pertes lorsque Citizen Lab et Microsoft ont publié un rapport révélant ses activités. »
Une semaine avant l'annonce de sa fermeture, une nouvelle enquête du Citizen Lab et de Microsoft Threat Intelligence avait en effet permis d'identifier les traces de son logiciel espion REIGN sur les portables d'« au moins cinq victimes », dont des journalistes, des personnalités de l'opposition politique et un membre d'une ONG.
Le Citizen Lab avait en outre identifié, et donc compromis, « plus de 600 serveurs et 200 noms de domaine » de ses infrastructures exploités depuis la Bulgarie, la République tchèque, la Hongrie, le Ghana, Israël, le Mexique, la Roumanie, Singapour, les Émirats arabes unis et l'Ouzbékistan.
« Si vous ne pouvez pas vendre en dehors de l'Europe et des États-Unis, alors le marché n'est tout simplement pas assez grand pour toutes les entreprises, et seules les grandes survivront », explique à Haaretz une source de haut niveau connaissant bien l'industrie des logiciels espions.
« Vous ne trouverez pas de site Web, nous aimons rester sous le radar »
Dans un second article, bien plus technique, l'un des deux journalistes co-signataires de l'enquête de Haaretz raconte qu'une source lui avait également transmis un lien vers un dépôt GitHub contenant des commits effectués depuis des adresses e-mails @quadream.io, datant de 2019 et divulgué par un employé, « probablement par erreur ».
Y figurerait une partie du code de ses logiciels espions, révélant non seulement des détails sur le modus operandi de REIGN, mais également d'un autre programme jusque-là inconnu, Blue Spear. Ses utilisateurs pouvaient placer des numéros de téléphone dans une « liste noire » de cibles à ne pas infecter, d'autres dans une « liste blanche » de cibles potentielles.
L'indicatif de ces derniers, +52, est celui du Mexique, un client présumé de QuaDream, d'après Citizen Lab. Le code semblerait indiquer que, en 2019, le logiciel ne pouvait pas infecter de terminaux Android, mais que, sur iOS, il pouvait extraire des informations de n'importe quelle application.
« Le code source exposé partage des artefacts de réseau avec des échantillons du logiciel espion Reign vu par le laboratoire de sécurité d'Amnesty International, confirmant que ce code a été développé en interne par QuaDream », explique à Haaretz Donncha Ó Cearbhaill, un hacker éthique qui dirige l'unité de recherche technique de l'organisation des droits de l'homme et qui se concentre sur les enquêtes sur les cyberattaques contre la société civile.
Reuters avait précédemment révélé que QuaDream avait développé des capacités « zéro clic » en 2021, en utilisant une méthode très similaire à celle de NSO, qui exploitait une faille dans le service iMessage d'iOS.
Les morceaux de codes semblent indiquer que QuaDream exploitait aussi, et tout comme NSO, une faille de sécurité de WhatsApp, ou qu'il s'en servait comme l'un des principaux vecteurs – un terme utilisé dans l'industrie pour décrire la méthode d'infection.
Si QuaDream n'avait pas de site web ni de profil LinkedIn, le nom d'un des développeurs a permis de découvrir que la société recrutait sous un autre nom, 4dco qui, en 2022, se targuait d'employer 70 personnes, et pimentait ses offres d'emploi en avançant : « Vous ne trouverez pas de site Web, nous aimons rester sous le radar ».
Commentaires (1)
#1
Ils sont tellement sous le radar, que la société mange des pissenlits par la racine.