Mais les opérations occidentales sont reconnaissables, selon un ancien haut responsable du renseignement américain.
«Il y a certaines caractéristiques des opérations occidentales qui ne sont pas présentes dans d’autres entités… vous pouvez le voir se traduire dans le code», a déclaré l’ancien responsable, qui n’est pas autorisé à commenter les opérations et s’est exprimé sous couvert d’anonymat. «Et c’est là que je pense que l’une des principales dimensions éthiques entre en jeu. La façon dont on traite les activités de renseignement ou les activités d’application de la loi menées sous contrôle démocratique au sein d’un gouvernement représentatif légalement élu est très différente de celle d’un régime autoritaire.
«La surveillance est intégrée dans les opérations occidentales au niveau technique, artisanal et procédural», ont-ils ajouté.
Google a découvert que le groupe de piratage exploitait 11 vulnérabilités zero-day en seulement neuf mois, un nombre élevé d’exploits sur une courte période. Les logiciels attaqués comprenaient le navigateur Safari sur les iPhones mais également de nombreux produits Google, y compris le navigateur Chrome sur les téléphones Android et les ordinateurs Windows.
Mais la conclusion au sein de Google était que qui piratait et pourquoi n’est jamais aussi important que les failles de sécurité elles-mêmes. Plus tôt cette année, Maddie Stone de Project Zero a fait valoir que c’est trop facile pour les hackers pour trouver et utiliser de puissantes vulnérabilités zero-day et que son équipe fait face à une bataille difficile détecter leur utilisation.
Au lieu de se concentrer sur qui était derrière et ciblé par une opération spécifique, Google a décidé de prendre des mesures plus larges pour tout le monde. La justification était que même si un gouvernement occidental était celui qui exploitait ces vulnérabilités aujourd’hui, il sera finalement utilisé par d’autres, et donc le bon choix est toujours de corriger la faille aujourd’hui.
« Ce n’est pas leur travail de comprendre »
C’est loin d’être la première fois qu’une équipe de cybersécurité occidentale a attrapé des pirates informatiques de pays alliés. Certaines entreprises, cependant, ont une politique discrète de ne pas exposer publiquement de telles opérations de piratage si l’équipe de sécurité et les pirates sont considérés comme amicaux, par exemple, s’ils sont membres de l’alliance de renseignement «Five Eyes», qui est composée de la États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande. Plusieurs membres des équipes de sécurité de Google sont des vétérans des agences de renseignement occidentales, et certains ont mené des campagnes de piratage pour ces gouvernements.
Dans certains cas, les sociétés de sécurité nettoieront les malwares dits «conviviaux» mais éviteront de les rendre publics.
«Ils n’attribuent généralement pas les opérations basées aux États-Unis», déclare Sasha Romanosky, un ancien responsable du Pentagone qui a publié récemment recherche dans les enquêtes de cybersécurité du secteur privé. «Ils nous ont dit qu’ils s’éloignaient spécifiquement. Ce n’est pas leur travail de comprendre; ils s’écartent poliment. Ce n’est pas inattendu. »
Bien que la situation de Google soit à certains égards inhabituelle, il y a eu des cas quelque peu similaires dans le passé. La société russe de cybersécurité Kaspersky est tombée Feu en 2018, lorsqu’elle a révélé une cyber-opération antiterroriste dirigée par les États-Unis contre des membres de l’Etat islamique et d’Al-Qaïda au Moyen-Orient. Kaspersky, comme Google, n’a pas explicitement attribué la menace mais l’a néanmoins exposée et l’a rendue inutile, ont déclaré des responsables américains, ce qui a fait perdre aux agents l’accès à un programme de surveillance précieux et a même mis en danger la vie des soldats sur le terrain.
Kaspersky était déjà fortement critiqué pour ses relations avec le gouvernement russe à l’époque, et la société a finalement été banni des systèmes gouvernementaux américains. Il a toujours nié avoir une relation particulière avec le Kremlin.
Google s’est déjà retrouvé dans une eau similaire auparavant. En 2019, la société a publié recherche sur ce qui aurait pu être un groupe de piratage américain, bien qu’une attribution spécifique n’ait jamais été faite. Mais cette recherche portait sur une opération historique. Cependant, les récentes annonces de Google ont mis en lumière ce qui avait été une opération de cyberespionnage en direct.
Qui est protégé?
Les alarmes déclenchées à la fois au sein du gouvernement et chez Google montrent que l’entreprise est dans une position difficile.
Les équipes de sécurité de Google ont une responsabilité envers les clients de l’entreprise et on s’attend généralement à ce qu’elles fassent tout leur possible pour protéger les produits – et donc les utilisateurs – qui sont attaqués. Dans cet incident, il est à noter que les techniques utilisées ont affecté non seulement les produits Google comme Chrome et Android, mais également les iPhones.
Alors que différentes équipes tracent leurs propres lignes, Project Zero s’est fait un nom en s’attaquant aux vulnérabilités critiques partout sur Internet, et pas seulement à celles trouvées dans les produits de Google.