Les spywares ne sont pas l'apanage de hackers planqués dans un garage qui essayent d'extorquer quelques milliers d'euros. Des États, totalitaires ou pas, emploient ce genre d'outils pour surveiller des personnes qu'ils jugent bon d'avoir à l'œil.
L'un des fournisseurs de ces outils, c'est Hacking Team, une entreprise italienne qui a notamment créé Remote Control System (RCS, aussi appelé Galileo), « un dispositif furtif d’investigation destiné aux agences gouvernementales en charge de l’application de la loi », comme elle le décrit elle-même dans un document publié par WikiLeaks.
Officiellement, l'entreprise ne vend pas ses logiciels aux pays qui violent les droits de l’homme. Mais Kaspersky a révélé il y a un an que son spyware était particulièrement utilisé en Irak, au Liban et aux Émirats Arabes Unis, entre autres. Quelques mois plus tard, WikiLeaks a dévoilé que deux employés de Hacking Team s'étaient rendus à plusieurs reprises en Égypte, Serbie, Arabie Saoudite et au Qatar, entre autres, entre 2011 et 2013 (plus de détails dans cet article de Rue89 : WikiLeaks a traqué les vendeurs d’armes de surveillance). En raison de cette politique, Reporters sans frontières a placé Hacking Team sur sa liste des « ennemis d'Internet ».
Kaspersky fait de nouvelles révélations aujourd'hui. L'éditeur de logiciels de sécurité rappelle déjà que Hacking Team a développé des trojans pour iOS et Android. Ceux-ci ont l'air très efficaces : « géolocalisation de la victime, prise de photos, copie des événements de l’agenda, enregistrement de toute nouvelle carte SIM insérée dans le téléphone infecté ou encore interception des appels téléphoniques et les messages. »
La nouvelle découverte de Kaspersky, pas si étonnante que cela, c'est qu'un iPhone doit être jailbreaké pour que Galileo puisse opérer. Tous ceux qui ont sauté sur le jailbreak d'iOS 7.1 sont maintenant prévenus. Rappelons que le jailbreak permet de faire sauter certains verrous mis en place par Apple et de modifier profondément le système.
« Cependant, des iPhone non débridés peuvent eux aussi devenir vulnérables », prévient l'éditeur. « Un attaquant peut se servir d’un outil de "jailbreak" tel qu’Evasi0n via un ordinateur infecté précédemment, et débrider le téléphone à distance avant de le contaminer. » On peut objecter que les jailbreaks connus nécessitent au moins une manipulation de l'utilisateur sur son iPhone. Sauf s'il existe d'autres méthodes secrètes plus sophistiquées, il apparait donc difficile de se faire jailbreaker son téléphone à son insu à distance.
Kaspersky dit par ailleurs avoir réussi à localiser les serveurs de commande et de contrôle (C&C) de Galileo à travers le monde. Il y aurait plus de 320 serveurs répartis dans une quarantaine de pays, la majorité se situant aux États-Unis, au Kazakhstan, en Équateur, au Royaume-Uni et au Canada.
L'éditeur prend des pincettes en précisant que « la présence de ces serveurs dans un pays ne signifie pas pour autant qu’ils sont utilisés par les autorités de ce pays. » « Cependant, ajoute-t-il, il est pertinent pour les utilisateurs de RCS de déployer des serveurs C&C dans les zones qu’ils contrôlent, là où les risques de problèmes juridiques transfrontaliers ou de saisie du matériel sont moindres. » Les personnes ciblées par ces attaques sont des activistes, des défenseurs des droits de l'homme, des journalistes et des hommes politiques.
