Une nouvelle histoire d'espionnage international a émergé ces dernières heures d'un rapport publié par le laboratoire de recherche canadien Citizen Lab, qui a publiquement partagé les détails d'une opération d'espionnage présumée menée par les services de renseignement des Émirats arabes unis et de l'Arabie saoudite contre plusieurs dizaines de journalistes et de cadres - il y a au moins 36 personnes concernées - de la station Al Jazeera.
Nous parlons d'allégation car les faits exposés attendent toujours la confirmation de certains des acteurs impliqués. Parmi eux, on trouve Apple, puisque les attaques se seraient produites en exploitant une vulnérabilité dans iOS 13.5.1 et iMessage (non présent sur iOS 14). La maison de Cupertino a été informée des faits par Citizen Lab et a déclaré avoir lancé des enquêtes internes pour vérifier la validité du cas exposé par le laboratoire de recherche.
Au centre de l'histoire, nous retrouvons le controversé NSO Group, une société dont le nom apparaît trop souvent lorsqu'elle est impliquée dans des attaques informatiques. Il suffit de se souvenir de l'affaire qui, au début de 2020, a vu l'Arabie saoudite et les outils de l'ONS comme protagonistes, ou encore celle de 2019 dans laquelle l'ONS a été accusée d'avoir créé un logiciel espion politique utilisé pour espionner les personnalités influentes de la scène politique (cette fois encore, c'était au tour de Citizen Lab de révéler la situation).
Le nom de NSO Group continue d'être associé à ces affaires, car la société est effectivement impliquée dans la création d'outils d'attaque visant un large éventail de dispositifs informatiques - y compris les terminaux Android et iOS -, mais ceux-ci ne sont fournis - du moins en surface - qu'à des fins liées à la sécurité des agences gouvernementales de divers États qui font appel aux services de NSO Group pour lutter contre le crime organisé et le terrorisme.
Il semble cependant que les activités de la NSO aient depuis longtemps exploré d'autres domaines, comme le montre l'implication continue de la société dans les grands scandales de sécurité. Dans le cas rapporté aujourd'hui, les cibles des attaques étaient des journalistes, des cadres et des collaborateurs d'Al Jazeera touchés par des opérateurs liés aux milieux gouvernementaux en Arabie Saoudite et aux Emirats Arabes Unis qui ont utilisé Pegasus, le principal outil de piratage développé par NSO Group.
Selon les données fournies par Citizen Lab, Pegasus a été utilisé pour exploiter l'exploit "zero-day" du KISMET afin d'intercepter diverses données personnelles des victimes, ce qui a entraîné des attaques à partir de diverses infrastructures situées dans toute l'Europe. la France, ainsi que l'Allemagne, la France et le Royaume-Uni, et des fournisseurs de services de cloud computing tels qu'Aruba, Choopa, CloudSigma et DigitalOcean, dont les plateformes ont été exploitées - malgré eux - par le groupe attaquant, ont également été impliqués.
Les données concernées, selon le Citizen Lab, concernent des enregistrements environnementaux effectués à l'insu des victimes, des enregistrements d'appels, des captures de photos à distance, le suivi des appareils et l'accès aux mots de passe et aux informations d'identification stockées sur l'appareil concerné. Les attaques auraient été menées entre juillet et août 2020 dans le but de cibler certaines personnalités d'Al Jazeera. Le groupe NSO a pris ses distances par rapport à l'affaire, déclarant qu'elle se limite à la vente d'outils gouvernementaux et n'est pas impliquée dans leur utilisation. Vous pouvez en savoir plus sur le sujet en consultant le rapport dans Source.
