logiciel espion
Pièges : les différents types
Un piège, appelé également « Bug » est un appareil placé dans une zone, qui intercepte ensuite les communications et les transmet ou les conduit hors de cette zone vers un poste d'écoute. L'écoute indiscrète peut se trouver à seulement quelques mètres de la victime, à des centaines de mètres, voire à des kilomètres, selon le type d'insecte utilisé.
Si vous êtes préoccupé par les écoutes clandestines, il peut être judicieux de contacter International ICS, expert en contre-mesures de surveillance technique et de planifier un « Bug Sweep » ou une opération dites TSCM. Cependant, n'appelez pas à partir d'un téléphone suspect et comprenez qu'il est essentiel que vous en acheminiez vers votre emplacement le plus silencieusement et le plus rapidement possible. La société International ICS propose a ses clients d'intervenir, afin de rechercher un dispositif malveillant et mettre en évidence toute vulnérabilité structurelle ou organisationnelle.
Il existe six catégories principales de micro-espion, « bugs » : (acoustiques/passifs, ultrasoniques, RF, optiques et hybrides).
Le bug acoustique est un dispositif qui permet d’intercepter les sons dans une zone spécifique en utilisant des objets simples comme un verre d’eau, un stéthoscope ou un tube en caoutchouc. Ces objets sont placés dans la zone cible et permettent d’écouter directement les communications avec l’oreille, sans avoir besoin de matériel électronique. Cette technique peut également être utilisée pour capter les sons qui s’échappent par les points faibles d’une zone, comme les fenêtres, les défauts structurels, les systèmes de ventilation ou les prises de courant mal installées.
Le bug ultrasonique ou VLF est une méthode qui transforme le son en un signal audio qui dépasse la capacité d’écoute humaine. Ce signal ultrasonique est ensuite capté à proximité et reconverti en son audible. Au lieu de créer un signal radio, cette technique utilise des ondes de pression audio.
Le bug RF, ou bug de radiofréquence, est probablement le dispositif d’écoute le plus largement reconnu. Il fonctionne en plaçant un émetteur radio dans une zone spécifique ou dans un appareil, une multiprise, un chargeur, un stylo... Peu coûteux, jetables, il est difficile de remonter jusqu’à la personne qui les a installés. Un spécialiste TSCM bien équipé peut détecter efficacement ces appareils à une distance considérable, mais cela nécessite du temps. Il est important de noter qu’une recherche de bugs légitime peut prendre plusieurs heures, voire plusieurs jours, et non pas seulement quelques minutes.
Le bug optique est un type de dispositif d’écoute qui transforme le son ou les données en une impulsion lumineuse ou un faisceau de lumière. Il peut atteindre une portée de 400 mètres, bien qu’il soit assez coûteux. Un dispositif d’écoute laser, qu’il soit actif ou passif. Le microphone laser est capable d'écouter une conversation à travers tous types de murs ayant une épaisseur inférieure à 50 centimètres et facilement a travers d'une fenêtre. Celui-ci démodule le son grâce a la vibration du son dans la pièce ciblée.
Le bug cyber, plutôt appelé logiciel espion est un programme qui s’insère subrepticement dans votre ordinateur pour surveiller et consigner vos activités, puis transmet ces informations à des tiers. Il peut enregistrer les sites web que vous consultez, les fichiers que vous téléchargez, votre localisation (si vous utilisez un smartphone), vos emails, vos contacts, vos informations de paiement et même les mots de passe de vos comptes. Les fabricants de logiciels espions assurent aux clients qu’ils pourront garder un œil sur leur partenaire, leur enfant ou leur employé, tout en se rapprochant dangereusement des limites de la loi. La France est considérée comme leur plus grand marché en Europe.
Et n’importe laquelle des techniques et dispositifs ci-dessus peut être combiné pour créer un dispositif d’écoute hybride.
Les écoutes téléphoniques sont souvent la méthode de choix pour la collecte de renseignements en raison de leur qualité supérieure. Elles impliquent le raccordement à un fil ou à un autre conducteur utilisé pour les communications. Ce conducteur peut être une ligne téléphonique, un câble RJ45 utilisée pour la VOIP, un câble PBX pour un réseau simple, un réseau local, un système vidéo CCTV, un système d’alarme ou tout autre moyen de communication. L’objectif des écoutes téléphoniques est de recueillir des informations de haute qualité tout en minimisant les risques de détection d’écoutes clandestines, car les signaux rayonnés sont facilement détectables. Seuls des spécialistes, comme ceux de International ICS, peuvent détecter une interception en effectuant des mesures sur les lignes.
Thomas d. C.
La rédaction International ICS.
Mobile : votre smartphone est-il surveillé ?
Le terme “Spyware” désigne un type de logiciel malveillant qui s’infiltre dans votre appareil mobile pour recueillir des informations sur vous, vos habitudes de navigation et d’utilisation d’Internet, ainsi que d’autres données.
Au sommet de la hiérarchie, on trouve les logiciels espions commerciaux utilisés par les gouvernements. Pegasus et Predator sont les exemples les plus récents et les plus connus. Présenté comme un outil pour les gouvernements dans la lutte contre le terrorisme et l’application de la loi, il a finalement été découvert sur des smartphones appartenant à des chefs d'entreprises, des journalistes, des militants, des dissidents politiques et des avocats.
Comme on peut s’y attendre, les spywares sont insidieux. Ils pénètrent généralement dans votre smartphone sans que vous vous en rendiez compte et sans votre consentement, puis ils s’installent sur votre système d’exploitation Android ou iOS pour maintenir une présence sur votre téléphone mobile. Il se peut même que vous ayez, sans le savoir, autorisé l’installation d’un logiciel espion en acceptant les conditions générales d’un programme apparemment légitime que vous avez téléchargé, sans prendre le temps de lire les petits caractères. Quelle que soit la méthode d’invasion, ils fonctionnent discrètement en arrière-plan, collectent des informations ou surveillent vos activités afin de déclencher des activités malveillantes liées à votre ordinateur et à son utilisation. Ces activités comprennent notamment l’enregistrement de vos saisies, de vos identifiants, de vos adresses e-mail personnelles, de données de formulaires Web, d’informations concernant l’utilisation d’Internet et d’autres informations personnelles telles que des numéros de cartes de crédit, ainsi que des captures d’écran.
Les logiciels espions peuvent arriver sur votre appareil par le biais du phishing, de pièces jointes d’e-mails malveillants, de liens de médias sociaux ou de SMS frauduleux.
Les spywares de base sont des formes génériques de logiciels malveillants qui volent les données du système d’exploitation et du presse-papiers, ainsi que tout ce qui peut avoir de la valeur, comme les données d’un portefeuille de cryptomonnaies ou les identifiants d’un compte. Ils ne sont pas nécessairement ciblés et peuvent être utilisés dans des attaques de phishing générales.
Les logiciels espions avancés, également appelés “stalkerware”, sont un niveau supérieur. Peu éthiques et parfois dangereux, ces logiciels malveillants se trouvent parfois sur les systèmes de bureau. Mais aujourd’hui, ils sont le plus souvent implantés sur les téléphones. Ces logiciels malveillants sont utilisés pour récupérer de l'information et harceler les utilisateurs. Ils permettent de surveiller les emails, les SMS envoyés et reçus, d’intercepter des appels en direct pour les écouter via des lignes téléphoniques standard ou des applications VoIP, d’enregistrer secrètement des sons ambiants ou de prendre des photos, de suivre les victimes par GPS, et de détourner des applications de médias sociaux comme Facebook et WhatsApp. Ils peuvent également avoir des fonctionnalités d’enregistrement de frappe. Les stalkerwares sont généralement utilisés pour surveiller une personne spécifique, en suivant ses actions, ses paroles et ses déplacements. Ces logiciels de harcèlement sont souvent associés à des cas de violence conjugale.
Le “nuisanceware”, ou logiciel nuisible, est souvent associé à des applications légitimes. Il perturbe votre navigation sur le web avec des pop-ups, modifie votre page d’accueil ou les paramètres de votre moteur de recherche, et peut aussi collecter vos données de navigation pour les vendre à des agences et réseaux publicitaires. Bien qu’il soit perçu comme de la publicité malveillante, le nuisanceware n’est généralement pas dangereux et ne représente pas une menace pour votre sécurité principale. Ces logiciels malveillants cherchent plutôt à générer des revenus illégaux en infectant les machines et en créant des affichages ou des clics publicitaires forcés.
Les conseils : si vous constatez des messages ou des courriels inhabituels ou suspects sur vos plateformes de médias sociaux, cela pourrait être une tentative d’infection par un logiciel espion. Il est préférable d’éliminer le message sans jamais cliquer sur un lien ou télécharger un fichier. Cela s’applique également aux SMS, qui peuvent contenir des liens incitant à télécharger des logiciels malveillants. Ces messages de hameçonnage visent à vous pousser à cliquer sur un lien ou à exécuter un logiciel qui contient un spyware ou un stalkerware. Ils essaieront de vous effrayer, par exemple en mentionnant un paiement d’impôt, un courrier de la banque ou un problème de livraison. Ils peuvent également usurper les adresses de vos contacts pour gagner votre confiance. Dans le cas des stalkerwares, les messages d’infection initiale peuvent être plus personnalisés et adaptés à la victime.
Dans les cas les plus détectés, un accès physique au dispositif ou une installation non intentionnelle d’un logiciel espion par la victime est requis. Cependant, l’installation de certaines versions de logiciels espions et de logiciels de harcèlement peut se faire en moins d’une minute. Si vous constatez que vous avez perdu le contrôle de votre téléphone pendant un certain temps et que des modifications ont été apportées à vos paramètres, ou si vous observez des changements que vous n’avez pas effectués, cela pourrait indiquer une infection.
Si vous avez un doute, la société International ICS, département Cyber, peut vous aider a analyser votre smartphone.
Mobile : le logiciel d'espionnage Pegasus
Le logiciel espion en question est connu sous le nom très suggestif de Pegasus. Il est uniquement vendu à des États ou des agences gouvernementales, avec l’approbation du gouvernement israélien, par une entreprise appelée NSO, qui compte 750 employés à Herzliya, dans la banlieue de Tel Aviv, ainsi qu’à Chypre et en Bulgarie. Officiellement, son objectif est d’aider les services de renseignement à combattre la criminalité.
Sur son site web, NSO indique qu’elle “développe des technologies qui aident les agences gouvernementales à prévenir et à enquêter sur le terrorisme et la criminalité, afin de sauver des milliers de vies à travers le monde”.
Pour ce faire, Pegasus s’infiltre dans les smartphones, qu’ils soient équipés du système d’exploitation d’Apple, iOS ou de celui de Google, Android. Il a alors accès à tout : contacts, photos, mots de passe. Le logiciel Pegasus peut lire les courriels, suivre les conversations, même sur les messageries dites "cryptées", géolocaliser le smartphone et activer les micros et les caméras pour transformer le smartphone en véritable espion dans la poche.
“Nous nous engageons à vérifier l’utilisation appropriée de notre technologie (…) et nous enquêtons sur toute allégation crédible d’un mauvais usage de nos produits”, assure NSO sur son site. Il est vrai que la société a mis en place une adresse email dédiée aux lanceurs d’alerte qui auraient des informations sur un possible détournement de l’utilisation de son logiciel.
Des spécialistes ont traqué le logiciel espion Pegasus pendant un certain temps et avaient quelques pistes à son sujet. Ils ont récemment trouvé ce logiciel sur le téléphone portable d’un opposant. Lorsque ce dernier effectuait une recherche en ligne, une URL de redirection était automatiquement générée. Cette URL était associée à une signature liée à l’entreprise NSO Group. On peut alors se demander comment le logiciel a pu être installé sur le smartphone. Dans ce cas précis, il s’agit d’une attaque par injection de SMS silencieux sur le réseau, soit via un intercepteur IMSI, une station de base BTS compromise, ou directement par l’intermédiaire d’un opérateur mobile. Il est important de noter que ces URL de redirection ne se limitaient pas à surveiller l’activité en ligne, mais également l’activité sur d’autres applications comme Twitter à travers les liens partagés.
En approfondissant leurs recherches, les spécialistes ont mis au jour dans l’une des deux bases de données SQLite (plus précisément DataUsage.sqlite) présentes dans le système d’exploitation iOS, l’existence d’un processus étrange appelé « bh ». En mettant en parallèle leurs découvertes avec celles réalisées par Lookout, ils supposent que « bh » est une référence à BridgeHead, qui est le nom d’un module de Pegasus au sein du NSO Group. Ce composant a pour rôle de préparer le terrain en vue de l’installation de Pegasus.
En plus de l’injection réseau effectuée par les clients du NSO Group, l’entreprise israélienne propose d’exploiter des failles critiques dans les systèmes d’exploitation mobiles (iOS ou Android) ou certaines applications en mode zéro clic, c’est-à-dire sans aucune action de l’utilisateur. Cela a été le cas en 2019 avec plusieurs vulnérabilités découvertes sur iMessage et FaceTime, utilisées pour installer Pegasus sur des appareils. Le service Apple Music est également soupçonné d’être un moyen de compromission.
L'expert a également examiné l’infrastructure informatique derrière Pegasus et les nombreux domaines recueillis au cours de ses enquêtes. Ces dernières ont révélé que le NSO Group utilise récemment l’offre AWS CloudFront (CDN) pour lancer ses premières attaques. Suite à cette découverte, le fournisseur de cloud a rapidement réagi en annonçant dans un communiqué “la fermeture de toutes les infrastructures et les comptes concernés” (reconnaissant ainsi explicitement le lien contractuel entre AWS et NSO Group). De plus, l’étude montre que l’entreprise israélienne héberge ses serveurs dans plusieurs centres de données en Allemagne, au Royaume-Uni, en Suisse, aux États-Unis et en France (OVH). En France, elle disposerait de 35 serveurs chez l’hébergeur roubaisien. Amnesty International note que le NSO Group utilise principalement les centres de données européens gérés par des opérateurs américains pour gérer une grande partie de l’infrastructure d’attaque de ses clients.
La détection du système d'interception des données "Pegasus" peut s’avérer particulièrement difficile a détecter. Mais la société INTERNATIONAL ICS sait aujourd'hui analyser un smartphone et alerter son utilisateur en cas d'infection.