C’est en quelque sorte l’équivalent du « Name and shame », mais appliqué au numérique. Dans un billet de blog publié le 19 mai, Google a publiquement lié l’utilisation de cinq failles de sécurité à une seule et même entreprise : Cytrox. Son nom est encore très confidentiel, mais elle a été au centre de l’actualité, après une affaire d’espionnage informatique.
C’était en décembre 2021. Après le logiciel espion Pegasus, on découvrait un autre outil malveillant, surnommé Predator. Le malware s’avère redoutable, car il est en mesure d’infecter des smartphones Android et des iPhone en utilisant un simple lien transmis via WhatsApp. Derrière Predator se trouve Cytrox, une entreprise née en Macédoine du Nord.
Cytrox est associé à une alliance de sociétés désireuses de concurrencer NSO Group (qui est à l’origine de Pegasus) dans le secteur de l’espionnage numérique. Le nom de ce collectif ? Intellexa. Il y aurait huit entreprises partenaires, dont Cytrox. Selon Gizmodo, Cytrox est une filiale de WiSpear, une société décrite comme experte dans l’interception sans fil (en l’espèce, le Wi-Fi).
C’est l’équipe TAG (Threat Analysis Group) qui s’est chargée, au nom de la firme de Mountain View, de procéder à cette attribution, qui a été faite avec un haut niveau de confiance, selon Clement Lecigne et Christian Resell, membres du TAG. Le rôle du TAG est de contrer les menaces soutenues en secret par des États, dans le cadre d’actions d’espionnage ou de piratage.
Ce travail a d’ailleurs été mené en coopération avec un autre groupe spécialisé, le Projet Zéro, dont la mission est de déceler des failles critiques dites 0-day, car elles ne sont pas documentées ou inconnues. Le Projet Zéro a apporté un appui technique au TAG, car les cinq vulnérabilités en cause sont justement des brèches de type 0-day.
Cinq failles secrètes utilisées dans trois campagnes offensives
En l’espèce, ces cinq failles de sécurité se trouvaient dans le navigateur Google Chrome pour quatre d’entre elles et dans le système d’exploitation Android pour la dernière. Elles ont été exploitées à travers trois campagnes distinctes. Toutes ces fragilités ont depuis été réglées par les équipes chargées du développement de l’O.S. mobile et du navigateur.
La première campagne, détectée en août 2021, passait par Chrome sur un Samsung Galaxy S21. Les assaillants forçaient l’utilisation du navigateur de Samsung, qui reposait sur une version plus ancienne et vulnérable de Chromium, faute de pouvoir attaquer Chrome directement. La technique passait par des redirections d’URL, sans que l’internaute ne se doute de rien.
La deuxième campagne a utilisé deux brèches afin de sortir de la « sandbox » de Chrome, c’est-à-dire d’un espace compartimenté pour éviter justement des soucis débordant hors du navigateur. La technique mobilisait un Samsung Galaxy S10 et, une fois hors de la sandbox, l’outil malveillant allait en chercher un autre sur le net afin d’élever les droits d’utilisation sur le terminal.
Quant à la dernière campagne, elle a utilisé deux failles secrètes depuis un mobile Samsung à jour exécutant la dernière version de Chrome. Elle a profité d’une vieille faille du noyau Linux, qui a été certes corrigée, mais dont la résolution n’a pas été déployée rétrospectivement dans la plupart des noyaux Android. Au moment de l’exploit, tous les noyaux Samsung étaient vulnérables.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !