WASHINGTON, 3 février (Reuters) – Une faille dans le logiciel d’Apple exploité par la société de surveillance israélienne NSO Group s’introduire dans les iPhones en 2021 a été simultanément abusée par une entreprise concurrente, selon cinq personnes proches du dossier.

QuaDream, ont indiqué les sources, est une entreprise israélienne plus petite et plus discrète qui développe également des outils de piratage de smartphones destinés aux clients gouvernementaux.

Les deux entreprises rivales ont acquis la même capacité l’année dernière à pénétrer à distance dans les iPhones, selon les cinq sources, ce qui signifie que les deux entreprises pourraient compromettre les téléphones Apple sans qu’un propriétaire ait besoin d’ouvrir un lien malveillant. Le fait que deux entreprises aient utilisé la même technique de piratage sophistiquée – connue sous le nom de « zéro clic » – montre que les téléphones sont plus vulnérables aux puissants outils d’espionnage numérique que l’industrie ne l’admettra, a déclaré un expert.

« Les gens veulent croire qu’ils sont en sécurité, et les compagnies de téléphone veulent que vous croyiez qu’ils sont en sécurité. Ce que nous avons appris, c’est qu’ils ne le sont pas », a déclaré Dave Aitel, associé chez Cordyceps Systems, une entreprise de cybersécurité.

Les experts analysant les intrusions conçues par NSO Group et QuaDream depuis l’année dernière pensent que les deux sociétés ont utilisé des exploits logiciels très similaires, connus sous le nom de Entrée forcéepour détourner des iPhones.

Un exploit est un code informatique conçu pour exploiter un ensemble de vulnérabilités logicielles spécifiques, donnant à un pirate un accès non autorisé aux données.

Les analystes ont estimé que les exploits de NSO et de QuaDream étaient similaires car ils exploitaient bon nombre des mêmes vulnérabilités cachées au plus profond de la plate-forme de messagerie instantanée d’Apple et utilisaient une approche comparable pour implanter des logiciels malveillants sur des appareils ciblés, selon trois des sources.

Bill Marczak, un chercheur en sécurité avec le chien de garde numérique Citizen Lab qui a étudié les outils de piratage des deux sociétés, a déclaré à Reuters que la capacité zéro clic de QuaDream semblait « à égalité » avec celle de NSO.

Reuters a tenté à plusieurs reprises de contacter QuaDream pour obtenir des commentaires, en envoyant des messages aux dirigeants et aux partenaires commerciaux. Un journaliste de Reuters s’est rendu la semaine dernière au bureau de QuaDream, dans la banlieue de Tel Aviv à Ramat Gan, mais personne n’a répondu à la porte. L’avocate israélienne Vibeke Dank, dont l’adresse e-mail figurait sur le formulaire d’enregistrement d’entreprise de QuaDream, n’a pas non plus renvoyé de messages répétés.

Un porte-parole d’Apple a refusé de commenter QuaDream ou de dire quelles mesures ils prévoyaient de prendre à l’égard de l’entreprise.

L’entrée forcée est considérée comme « l’un des exploits les plus sophistiqués techniquement » jamais capturé par les chercheurs en sécurité.

Les deux versions de ForcedEntry étaient si similaires que lorsque Apple a corrigé les failles sous-jacentes en septembre 2021, cela a rendu les logiciels d’espionnage de NSO et de QuaDream inefficaces, selon deux personnes proches du dossier.

Dans une déclaration écrite, une porte-parole du NSO a déclaré que la société « n’avait pas coopéré » avec QuaDream mais que « l’industrie du cyber-renseignement continue de croître rapidement à l’échelle mondiale ».

Pomme poursuivi NSO Group sur ForcedEntry en novembre, affirmant que NSO avait violé les conditions d’utilisation et l’accord de services d’Apple. L’affaire en est encore à ses débuts.

Dans son procès, Apple a déclaré qu’il « repoussait continuellement et avec succès diverses tentatives de piratage ». NSO a nié tout acte répréhensible.

Les sociétés de logiciels espions prétendent depuis longtemps qu’elles vendent une technologie de pointe pour aider les gouvernements à contrecarrer les menaces à la sécurité nationale. Mais les groupes de défense des droits de l’homme et les journalistes ont documenté à plusieurs reprises l’utilisation de logiciels espions pour attaquer société civile, saper l’opposition politiqueet interférer avec les élections.

Apple a notifié des milliers de cibles ForcedEntry en novembre, ce qui rend fonctionnaires élus, journalisteset travailleurs des droits de l’homme dans le monde se rendent compte qu’ils ont été placés sous surveillance.

En Ouganda, par exemple, ForcedEntry de NSO a été utilisé pour espionner des diplomates américains, Reuters a rapporté.

En plus du procès d’Apple, WhatsApp de Meta est également en justice pour l’abus présumé de sa plate-forme. En novembre, NSO a été inscrit sur une liste noire commerciale par le département américain du Commerce en raison de préoccupations relatives aux droits de l’homme. Lire la suite

Contrairement à NSO, QuaDream a gardé un profil plus bas malgré le service de certains des mêmes clients gouvernementaux. L’entreprise n’a pas de site Web vantant ses activités et les employés ont été invités à garder toute référence à leur employeur hors des réseaux sociaux, selon une personne proche de l’entreprise.

RÈGNE

QuaDream a été fondée en 2016 par Ilan Dabelstein, un ancien officier militaire israélien, et par deux anciens employés de NSO, Guy Geva et Nimrod Reznik, selon les registres de l’entreprise israélienne et deux personnes familières avec l’entreprise. Reuters n’a pas pu joindre les trois dirigeants pour commenter.

Comme le logiciel espion Pegasus de NSO, le produit phare de QuaDream – appelé REIGN – pourrait prendre le contrôle d’un smartphone, récupérant des messages instantanés de services tels que WhatsApp, Telegram et Signal, ainsi que des e-mails, des photos, des textes et des contacts, selon deux brochures de produits. de 2019 et 2020 qui ont été examinés par Reuters.

Les capacités de la « Premium Collection » de REIGN comprenaient les « enregistrements d’appels en temps réel », « l’activation de la caméra – avant et arrière » et « l’activation du microphone », selon une brochure.

Les prix semblaient varier. Un système QuaDream, qui aurait donné aux clients la possibilité de lancer 50 cambriolages de smartphones par an, était proposé pour 2,2 millions de dollars hors frais de maintenance, selon la brochure 2019. Deux personnes familières avec les ventes du logiciel ont déclaré que le prix de REIGN était généralement plus élevé.

Au fil des ans, QuaDream et NSO Group ont employé certains des mêmes talents d’ingénierie, selon trois personnes proches du dossier. Deux de ces sources ont déclaré que les entreprises n’avaient pas collaboré sur leurs piratages d’iPhone, proposant leurs propres moyens de tirer parti des vulnérabilités.

Plusieurs des acheteurs de QuaDream ont également chevauché les NSO, ont déclaré quatre des sources, dont l’Arabie saoudite et le Mexique – qui ont tous deux été accusés d’avoir utilisé à mauvais escient des logiciels d’espionnage pour cibler des opposants politiques.

L’un des premiers clients de QuaDream a été le gouvernement singapourien, ont déclaré deux des sources, et la documentation examinée par Reuters montre que la technologie de surveillance de l’entreprise a également été présentée au gouvernement indonésien. Reuters n’a pas pu déterminer si l’Indonésie était devenue un client.

Les responsables mexicains, singapouriens, indonésiens et saoudiens n’ont pas renvoyé de messages sollicitant des commentaires sur QuaDream.

Reportage de Christopher Bing et Raphael Satter à Washington. Joseph Menn à San Francisco, Nir Elias à Ramat Gan, Israël, Dan Williams à Jérusalem et Michele Kambas à Nicosie, Chypre ont contribué au reportage. Montage par Chris Sanders et Edward Tobin

Nos normes : Les principes de confiance de Thomson Reuters.