Un seul activiste a aidé à renverser la vapeur contre NSO Group, l’une des sociétés de logiciels espions les plus sophistiquées au monde, qui fait maintenant face à une cascade d’actions en justice et d’examens minutieux à Washington pour de nouvelles allégations préjudiciables selon lesquelles son logiciel a été utilisé pour pirater des responsables gouvernementaux et des dissidents dans le monde entier. monde.

Tout a commencé par un problème logiciel sur son iPhone.

Une erreur inhabituelle dans le logiciel espion de NSO a permis à la militante saoudienne des droits des femmes Loujain al-Hathloul et à des chercheurs sur la protection de la vie privée de découvrir une mine de preuves suggérant que le fabricant israélien de logiciels espions avait aidé à pirater son iPhone, selon six personnes impliquées dans l’incident. Un mystérieux faux fichier image dans son téléphone, laissé par erreur par le logiciel espion, a alerté les chercheurs en sécurité.

La découverte sur le téléphone d’al-Hathloul l’année dernière a déclenché une tempête d’actions juridiques et gouvernementales qui a mis NSO sur la défensive. La façon dont le piratage a été initialement découvert a été détaillée pour la première fois.

Al-Hathloul, l’une des militantes les plus en vue d’Arabie saoudite, est connue pour avoir aidé à mener une campagne visant à mettre fin à l’interdiction faite aux femmes de conduire en Arabie saoudite. Elle a été libérée de prison en février 2021 pour atteinte à la sécurité nationale.

Peu de temps après sa sortie de prison, la militante a reçu un e-mail de Google l’avertissant que des pirates informatiques soutenus par l’État avaient tenté de pénétrer dans son compte Gmail. Craignant que son iPhone ait également été piraté, al-Hathloul a contacté le groupe canadien de défense des droits à la vie privée Citizen Lab et leur a demandé de sonder son appareil pour trouver des preuves, ont déclaré trois personnes proches d’al-Hathloul.

Après six mois passés à fouiller dans les enregistrements de son iPhone, le chercheur du Citizen Lab, Bill Marczak, a fait ce qu’il a décrit comme une découverte sans précédent : un dysfonctionnement du logiciel de surveillance implanté sur son téléphone avait laissé une copie du fichier image malveillant, plutôt que de se supprimer, après voler les messages de sa cible.

Il a déclaré que la découverte, le code informatique laissé par l’attaque, fournissait des preuves directes que NSO avait construit l’outil d’espionnage.

« Cela a changé la donne », a déclaré Marczak. « Nous avons attrapé quelque chose que l’entreprise pensait insaisissable. »

La découverte équivalait à un plan de piratage et a conduit Apple Inc. à informer des milliers d’autres victimes de piratage soutenues par l’État dans le monde, selon quatre personnes ayant une connaissance directe de l’incident.

La découverte de Citizen Lab et d’al-Hathloul a servi de base au procès d’Apple en novembre 2021 contre NSO, et elle s’est également répercutée à Washington, où des responsables américains ont appris que la cyber-arme de NSO était utilisée pour espionner des diplomates américains.

Ces dernières années, l’industrie des logiciels espions a connu une croissance explosive alors que les gouvernements du monde entier achètent des logiciels de piratage téléphonique qui permettent le type de surveillance numérique qui était autrefois du ressort de quelques agences de renseignement d’élite.

Au cours de l’année écoulée, une série de révélations de journalistes et d’activistes, y compris la collaboration internationale de journalisme Pegasus Project, a lié l’industrie des logiciels espions aux violations des droits de l’homme, alimentant un examen plus approfondi de NSO et de ses pairs.

Mais les chercheurs en sécurité affirment que la découverte d’al-Hathloul a été la première à fournir un plan d’une nouvelle forme puissante de cyberespionnage, un outil de piratage qui pénètre les appareils sans aucune interaction de l’utilisateur, fournissant la preuve la plus concrète à ce jour de la portée de l’arme. .

Dans un communiqué, un porte-parole du NSO a déclaré que la société n’exploitait pas les outils de piratage qu’elle vendait – « le gouvernement, les forces de l’ordre et les agences de renseignement le font ». Le porte-parole n’a pas répondu aux questions sur l’utilisation de son logiciel pour cibler al-Hathloul ou d’autres militants.

Mais le porte-parole a déclaré que les organisations faisant ces affirmations étaient des « opposants politiques à la cyberintelligence » et a suggéré que certaines des allégations étaient « contractuellement et technologiquement impossibles ». Le porte-parole a refusé de fournir des détails, citant des accords de confidentialité avec les clients.

Sans donner de détails, la société a déclaré qu’elle avait une procédure établie pour enquêter sur l’utilisation abusive présumée de ses produits et qu’elle avait coupé les clients pour des questions de droits de l’homme.

Al-Hathloul avait de bonnes raisons d’être méfiante – ce n’était pas la première fois qu’elle était surveillée.

Une enquête de Reuters en 2019 a révélé qu’elle avait été ciblée en 2017 par une équipe de mercenaires américains qui surveillaient des dissidents au nom des Émirats arabes unis dans le cadre d’un programme secret appelé Project Raven, qui l’a classée comme une « menace pour la sécurité nationale » et a piraté son iPhone. .

Elle a été arrêtée et emprisonnée en Arabie saoudite pendant près de trois ans, où sa famille dit qu’elle a été torturée et interrogée en utilisant des informations volées sur son appareil. Al-Hathloul a été libéré en février 2021 et est actuellement interdit de quitter le pays.

Reuters n’a aucune preuve que NSO était impliqué dans ce piratage antérieur.

L’expérience d’Al-Hathloul en matière de surveillance et d’emprisonnement l’a rendue déterminée à rassembler des preuves qui pourraient être utilisées contre ceux qui manient ces outils, a déclaré sa sœur Lina al-Hathloul. « Elle sent qu’elle a la responsabilité de continuer ce combat parce qu’elle sait qu’elle peut changer les choses. »

Le type de logiciel espion que Citizen Lab a découvert sur l’iPhone d’al-Hathloul est connu sous le nom de « zéro clic », ce qui signifie que l’utilisateur peut être infecté sans jamais cliquer sur un lien malveillant.

Les logiciels malveillants sans clic se suppriment généralement lorsqu’ils infectent un utilisateur, laissant les chercheurs et les entreprises technologiques sans échantillon de l’arme à étudier. Cela peut rendre presque impossible la collecte de preuves tangibles de piratage d’iPhone, selon les chercheurs en sécurité.

Mais cette fois, c’était différent.

Le problème logiciel a laissé une copie du logiciel espion caché sur l’iPhone d’al-Hathloul, permettant à Marczak et à son équipe d’obtenir un plan virtuel de l’attaque et des preuves de qui l’avait construit.

« Ici, nous avions la douille de la scène du crime », a-t-il déclaré.

Marczak et son équipe ont découvert que le logiciel espion fonctionnait en partie en envoyant des fichiers image à al-Hathloul via un message texte invisible.

Les fichiers image ont trompé l’iPhone en lui donnant accès à toute sa mémoire, en contournant la sécurité et en permettant l’installation de logiciels espions qui voleraient les messages d’un utilisateur.

La découverte de Citizen Lab a fourni des preuves solides que la cyberarme a été construite par NSO, a déclaré Marczak, dont l’analyse a été confirmée par des chercheurs d’Amnesty International et d’Apple, selon trois personnes ayant une connaissance directe de la situation.

Le logiciel espion trouvé sur l’appareil d’al-Hathloul contenait un code qui montrait qu’il communiquait avec des serveurs Citizen Lab précédemment identifiés comme contrôlés par NSO, a déclaré Marczak. Citizen Lab a nommé cette nouvelle méthode de piratage d’iPhone « ForcedEntry ». Les chercheurs ont ensuite fourni l’échantillon à Apple en septembre dernier.

Avoir un plan de l’attaque en main a permis à Apple de corriger la vulnérabilité critique et les a amenés à informer des milliers d’autres utilisateurs d’iPhone ciblés par le logiciel NSO, les avertissant qu’ils avaient été ciblés par des « attaquants parrainés par l’État ».

C’était la première fois qu’Apple franchissait cette étape.

Alors qu’Apple a déterminé que la grande majorité était ciblée par l’outil de NSO, les chercheurs en sécurité ont également découvert un logiciel d’espionnage d’un deuxième fournisseur israélien, QuaDream, qui exploitait la même vulnérabilité de l’iPhone, a rapporté Reuters plus tôt ce mois-ci. QuaDream n’a pas répondu aux demandes répétées de commentaires.

Les victimes allaient de dissidents critiques à l’égard du gouvernement thaïlandais à des militants des droits humains au Salvador.

Citant les conclusions obtenues à partir du téléphone d’al-Hathloul, Apple a poursuivi NSO en novembre devant un tribunal fédéral, alléguant que le fabricant de logiciels espions avait violé les lois américaines en créant des produits conçus « pour cibler, attaquer et nuire aux utilisateurs d’Apple, aux produits Apple et à Apple ». Apple a crédité Citizen Lab d’avoir fourni des « informations techniques » utilisées comme preuve pour le procès, mais n’a pas révélé qu’elles avaient été obtenues à l’origine à partir de l’iPhone d’al-Hathloul.

NSO a déclaré que ses outils ont aidé les forces de l’ordre et ont sauvé « des milliers de vies ». La société a déclaré que certaines des allégations visant le logiciel NSO ne sont pas crédibles, mais a refusé de donner des détails sur des allégations spécifiques citant des accords de confidentialité avec ses clients.

Parmi les personnes averties par Apple, au moins neuf employés du département d’État américain en Ouganda ont été ciblés par le logiciel NSO, selon des personnes proches du dossier, déclenchant une nouvelle vague de critiques contre l’entreprise à Washington.

En novembre, le département américain du Commerce a placé NSO sur une liste noire commerciale, empêchant les entreprises américaines de vendre les produits logiciels de la société israélienne, menaçant sa chaîne d’approvisionnement.

Le département du Commerce a déclaré que l’action était basée sur des preuves que le logiciel espion de NSO était utilisé pour cibler « des journalistes, des hommes d’affaires, des militants, des universitaires et des employés d’ambassade ».

En décembre, le sénateur démocrate Ron Wyden et 17 autres législateurs ont appelé le département du Trésor à sanctionner le groupe NSO et trois autres sociétés de surveillance étrangères qui, selon eux, ont aidé des gouvernements autoritaires à commettre des violations des droits de l’homme.

« Lorsque le public a vu que des personnalités du gouvernement américain se faisaient pirater, cela a clairement déplacé l’aiguille », a déclaré Wyden dans une interview, faisant référence au ciblage de responsables américains en Ouganda.

Lina al-Hathloul, la sœur de Loujain, a déclaré que les coups financiers portés à NSO pourraient être la seule chose qui puisse dissuader l’industrie des logiciels espions. « Cela les a frappés là où ça fait mal », a-t-elle déclaré.