Des chercheurs en sécurité de Citizen Lab ont découvert des preuves que des logiciels espions commerciaux ont été utilisés pour pirater les téléphones portables de politiciens, d’avocats et de leurs familles catalans.

Citizen Lab, en collaboration avec des groupes de la société civile catalane, a identifié au moins 65 personnes ciblées ou infectées par Pegasus de la société israélienne NSO Group, une autre application de surveillance commerciale appelée Candiru, ou les deux.

Parmi les victimes figuraient des membres du Parlement européen, des politiciens régionaux et des membres d’organisations de la société civile. Dans certains cas, des membres de la famille ont également été touchés.

Selon Citizen Lab, qui a revérifié sa méthodologie médico-légale avec le Tech Lab d’Amnesty International, certains cas d’infection par Pegasus sont dus au déploiement d’une vulnérabilité iOS sans clic jusqu’alors non divulguée.

« Nous avons vu des preuves que plusieurs exploits iMessage sans clic ont été utilisés pour pirater les iPhones de cibles catalanes avec Pegasus entre 2017 et 2020 », ont déclaré des chercheurs en sécurité de Rapports du laboratoire citoyen.

Des tentatives ont été faites pour exploiter l’hommage (qui aurait été corrigé par iOS 13.2) et plus tard l’exploit zéro clic Kismet iMessage, un jour zéro à l’été 2020 contre iOS 13.5.1 et iOS 13.7.

« Bien que l’exploit n’ait jamais été capturé et documenté, il a apparemment été corrigé par des modifications introduites dans iOS14, y compris le framework BlastDoor », selon Citizen Lab.

Citizen Lab a précédemment confirmé que plusieurs Catalans faisaient partie des personnes ciblées par Pegasus lors de l’attaque WhatsApp de 2019, qui s’appuyait sur la vulnérabilité CVE-2019-3568 (maintenant corrigée).

Hameçonnage

La tentative de piratage de téléphones portables en Catalogne a été réalisée à l’aide de messages de phishing ciblés se faisant passer pour des messages du gouvernement espagnol, de sociétés de colis et parfois d’ONG ou de fournisseurs de technologies de vote.

Les messages ont été envoyés au moment du vote extrêmement controversé sur l’indépendance de la Catalogne de 2017 jusqu’en 2020.

De nombreuses victimes ont été ciblées à l’aide de messages SMS malveillants, tandis que les ordinateurs Windows ont également été ciblés à l’aide du logiciel espion Candiru.

« Microsoft a également découvert deux vulnérabilités zero-day (CVE-2021-33771, CVE-2021-33771) employés par Candiru pour infecter les systèmes Windows et les ont corrigés en juillet 2021 », selon Citizen Lab.

Piste de destruction

Seuls quatre individus ont été ciblés par Candiru, conduisant à une infection confirmée. Pegasus était la menace la plus prolifique, infectant au moins deux des cibles de Candiru.

Le nombre total de cibles Pegasus était de 63. Au total, 51 ont été infectées avec succès, dont beaucoup ont été infectées plusieurs fois. Le travail médico-légal de Citizen Labs s’est concentré sur les appareils iOS, beaucoup moins préférés que leurs équivalents Android en Espagne.

« Parce que nos outils médico-légaux pour détecter Pegasus sont beaucoup plus développés pour les appareils iOS, nous pensons que ce rapport sous-estime fortement le nombre d’individus susceptibles d’être ciblés et infectés par Pegasus parce qu’ils avaient des appareils Android », conclut Citizen Lab.

La gorgée quotidienne a demandé à Citizen Lab de proposer une estimation du nombre d’individus potentiellement ciblés par la campagne, entre autres questions. Pas encore de mot, mais nous mettrons à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles.

Bien qu’il n’y ait pas de preuve irréfutable, les chercheurs du Citizen Lab soupçonnent fortement que les attaques ont été orchestrées par l’État espagnol dans le cadre d’une campagne secrète contre les séparatistes.

« Le Citizen Lab n’attribue pas de manière concluante les opérations à une entité spécifique, mais de solides preuves circonstancielles suggèrent un lien avec les autorités espagnoles », concluent les chercheurs.

Cheval de Troie vole à l’étranger

Pegasus est vendu aux gouvernements et commercialisé comme un outil de surveillance légal à déployer uniquement dans les enquêtes sur le terrorisme ou le crime organisé. Citizen Lab allègue que la technologie est souvent utilisée abusivement pour espionner les politiciens, les militants et les journalistes de l’opposition.

Citizen Lab a révélé une attaque contre le militant des droits de l’homme basé aux Émirats arabes unis Ahmed Mansoor utilisant Pegasus qui a tiré parti de trois exploits d’iPhone zero-day en 2016. Les détectives de la sécurité de la la la grande institution canadienne suivent activement la technologie depuis.

Le logiciel espion est conçu pour enregistrer les appels, les messages texte, les mots de passe ou les emplacements des appareils effectués après avoir secrètement planté une porte dérobée sur un appareil compromis. L’outil de surveillance a été notoirement utilisé par l’Arabie saoudite pour espionner le journaliste dissident Jamal Khashoggi avant son assassinat en octobre 2018 au sein du consulat saoudien à Istanbul.

La technologie est utilisée dans le monde entier, le plus souvent au Moyen-Orient et en Afrique, mais les preuves de l’utilisation de Pegasus remontent à des cibles au Mexique, en Pologne, ainsi qu’à des cadres supérieurs. Fonctionnaires de la Commission européenne.

Victime confirmée David Bonvehí, avocat et membre du parlement catalan, dit en anglais sur Twitter: « Je suis l’un des 65 politiciens, avocats et journalistes indépendantistes espionnés avec #Pegasus, un logiciel espion qui ne peut être acquis que par les États. #CatalanGate est le plus grand cas d’espionnage politique technologique jamais découvert.