Logiciels espions : Que savez vous de Predator ? Le nouveau Pegasus
Selon plusieurs études menées par le Citizen Lab, un laboratoire en sécurité informatique et Meta, la maison mère de Facebook, le logiciel Predator est en circulation dans plusieurs pays à travers le monde.
Cet article va aussi vous intéresser : Cyberespionnage : Predator sur les talons de Pegasus
À l’instar de Pegasus, c’est un programme malveillant qui est utilisé pour surveiller à distance une personne à travers son smartphone. Qu’il soit sous Android ou sous iOS. Très sophistiqué, il peut se répandre très facilement à travers le logiciel de messagerie instantanée WhatsApp, par envoie volontaire vers les contacts de sa victime.
L’un des points communs qu’il partage avec Pegasus, c’est son utilisation ciblée contre les militants des droits humains, les opposants et acteurs politiques. Surtout, qui s’inscrit dans le cadre de de « pirate à louer », comme l’explique Meta. En d’autres termes, les opérateurs derrière Predator fonctionne exactement comme la maison mère de Pegasus NSO group.
L’entreprise derrière Predator se dénomme Cytrox. Elle aurait fourni à des personnes un autre programme informatique connu sous dénomination de Sphinx, qui a été utilisée en Égypte et dans plusieurs autres pays voisins. Cytrox est l’entreprise qui a « conçu et vendu ce programme informatique », selon le rapport publié par Meta. Si elle est moins connue que le créateur de Pegasus, NSO group, c’est une société qui a vu le jour en Macédoine du Nord et qui probablement aurait c’est bureau en Hongrie et en Israël.
C’est une entreprise qui serait membre d’un groupe de spécialistes connu sous l’appellation de Intellexa, une association de plusieurs entreprises qui ont pour objectif de concurrencer la société israélienne au derrière Pegasus, dans le secteur de la production de logiciel de cyber espionnage. C’est une alliance qui regroupe 8 entreprises partenaires dont les plus connues sont aujourd’hui : Cytrox, Nexa Technologies (la société française connue anciennement sous l’appellation de Amesys) et WiSpear (est une société qui est une spécialiste de l’interception sans fil comme le Wi-Fi par exemple. Cette entreprise a été créé par un ancien officier de l’armée israélienne qui a connu comme un expert du renseignement les fondateurs de l’Alliance qui veut concurrencer NSO group, Tal Dilian). Selon plusieurs spécialistes, Cytrox et en fait une filiale de WiSpear.
Selon le média américain, Intellexa est aujourd’hui en mesure de pouvoir intercepter des communications de type divers (2G, 3G, 4G et Wi-Fi) il est même possible que ce groupe soit en mesure de pouvoir intercepter les liaisons de type 5G. L’alliance serait active et travaille depuis plusieurs pays ayant des installations à Dubaï, Tel-Aviv, Paris et Jakarta pour offrir un « support géographique étroit aux clients existants des sociétés de l’alliance. ».
« Manifestement, l’acquisition de Cytrox par WiSpear a permis de compléter la variété des prestations que peut proposer Intellexa dans le domaine de la surveillance et de l’interception. », souligne le Citizen Labs. Selon ce dernier, « Cytrox se décrit comme basée dans l’Union européenne et réglementée, avec six sites et des laboratoires de R&D dans toute l’Europe. ».
Mais ce n’est pas tout, la maison mère de Facebook aurait découvert 6 autres entités qui feraient les opérations similaires à Citrox. Il s’agit notamment de Cobwebs Technologies, Cognyte, Black Cube, Bluehack CI, BellTroX et une organisation inconnue en Chine. Selon l’analyse des équipes de Meta, ces entreprises sont généralement situées en Israël aux États-Unis et en Chine.
Pour ce qu’il en est du mode opératoire de Cytrox, l’entreprise est accusée d’avoir piloté un réseau de domaine informatique « pour usurper des médias d’information légitimes dans les pays qui les intéressent et pour imiter de vrais services de raccourcissement d’URL et de médias sociaux ». Cette dernière aurait aussi initié plusieurs campagne d’hameçonnage pour essayer d’obtenir des données, des codes et des courriers légitimes.
« Cytrox et ses clients ont pris des mesures pour adapter leurs attaques à des cibles particulières en infectant les personnes avec des logiciels malveillants uniquement si elles passaient certains contrôles techniques, notamment l’adresse IP et le type d’appareil. Si les contrôles échouaient, les personnes pouvaient être redirigées vers des médias ou d’autres sites légitimes », note le rapport de Meta.
Selon les chercheurs, logiciel Predator s’affirme par son comportement et sa capacité de résilience. « Nous avons obtenu des échantillons du ‘chargeur d’amorçage’ de Predator, la première phase du logiciel espion, et analysé leur fonctionnalité. Nous avons constaté que Predator persiste après un redémarrage à l’aide de la fonction d’automatisation d’iOS », note le Citizen Lab.
Pour le moment, l’utilisation de Predator semble particulièrement tourner autour du système IOS. Car, les éléments qui ont été observés étaient tous des iPhones piratés
Si l’iPhone occupe une place particulière dans ce récit, puisque c’est un téléphone de ce type qu’utilise Ayman Nour, il serait faux de penser que le système d’exploitation concurrent, Android, est immunisé. Son fonctionnement partage des caractéristiques avec sa déclinaison pour iOS, mais l’analyse technique montre aussi des écarts… et des fonctionnalités supplémentaires.
« Nous n’avons pas trouvé de mécanisme de persistance sur Android, ni de valeurs dans le fichier de configuration d’Android qui indiquent un support de la persistance. Cependant, nous avons trouvé du code supplémentaire dans l’échantillon Android, notamment du code pour désactiver SELinux et du code pour un composant d’enregistrement audio », souligne le laboratoire.
Accédez maintenant à un nombre illimité de mot de passe :