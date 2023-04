Alors que le scandale autour de la compagnie israélienne NSO et son logiciel Pegasus est tout récent, le laboratoire de recherche canadien Citizen Lab a révélé, cette semaine, des détails sur un nouveau logiciel espion de fabrication israélienne. Le logiciel, jumeau de Pegasus, est l’œuvre de l’entreprise QuaDream Ltd, fondée par un ancien responsable militaire israélien et ancien membre de NSO Group.

Citizen Lab indique, sur la base d'une analyse d'échantillons partagés avec lui par Microsoft Threat Intelligence, qu’au moins cinq personnes ont été ciblées par ce logiciel en Amérique du Nord, en Asie centrale, en Asie du Sud-Est, en Europe et au Moyen-Orient». Des serveurs ont été identifiés dans dix pays ayant reçu des données provenant des appareils des victimes, dont Israël, Singapour, le Mexique, les Émirats arabes unis et la Bulgarie. «Parmi les victimes figurent des journalistes, des personnalités de l'opposition politique et un membre d'une ONG. Nous ne nommons pas les victimes pour l'instant», explique le laboratoire canadien.

Ce dernier indique que QuaDream est une société israélienne spécialisée dans le développement et la vente de technologies numériques offensives avancées à des clients gouvernementaux. La société est connue pour son logiciel espion commercialisé sous le nom de «Reign» qui, comme le logiciel espion Pegasus de NSO Group, utiliserait des exploits de type «zéro-clic» pour pirater les appareils cibles. «Des rapports récents des médias indiquent que QuaDream a vendu ses produits à une série de clients gouvernementaux, dont Singapour, l'Arabie Saoudite, le Mexique et le Ghana, et a proposé ses services à l'Indonésie et au Maroc», rapporte le laboratoire canadien.

Un logiciel pour viser la société civile et les journalistes

En effet, en août 2021, le magazine israélien Globes avait révélé que des représentants de Quadream auraient «visité les bureaux des services de sécurité marocains afin de discuter de la vente» dudit logiciel et des systèmes de surveillance de la société israélienne au gouvernement marocain. «Les plus grands gagnants de l'enquête internationale sur la société israélienne de cyberattaque NSO ont été ses rivaux», avait commenté le média.

En outre, dans son rapport de décembre 2022 sur les menaces pesant sur le secteur de la surveillance pour compte d'autrui, la société Meta a indiqué avoir détecté sur ses plates-formes une activité attribuée à QuaDream. «L'activité comprenait l'utilisation d'"environ 250 comptes", qui, selon Meta, étaient utilisés pour tester les capacités des logiciels espions iOS et Android de QuaDream», ajoute la même source.

Ses experts notent que la société israélienne a établi un partenariat avec une société chypriote appelée InReach, avec laquelle elle est actuellement en conflit juridique. De nombreuses personnes clés associées aux deux sociétés ont des liens antérieurs avec un autre fournisseur de services de surveillance, Verint, ainsi qu'avec des agences de renseignement israéliennes. Selon des documents judiciaires obtenus auprès du tribunal de district de Limassol à Chypre, QuaDream a vendu ses produits en dehors d'Israël par l'intermédiaire d'InReach. «Cela n'indique pas nécessairement qu'InReach était le distributeur exclusif ou principal de QuaDream», précise-t-on.

«Une fois que les infections par QuaDream ont pu être découvertes grâce à des méthodes techniques, un groupe prévisible de victimes est apparu : la société civile et les journalistes. Ce schéma est une répétition des abus constatés avec des acteurs plus connus, comme le logiciel espion Pegasus de NSO Group, le logiciel espion Predator de Cytrox et, avant eux, Hacking Team et FinFisher.» Citizen Lab

Le laboratoire canadien a expliqué qu'une fois placé sur le téléphone ou l'ordinateur, le logiciel espion de QuaDream peut notamment «enregistrement des appels téléphoniques», «prendre des photos à l'aide de l'appareil photo avant ou arrière de l'appareil» et même «nettoyer les restes qui pourraient être laissés par des exploits de type "zero-click"».