Trojan Horse 2011 cc quantumlars

Colères d’Arabie : le logiciel espion

Cruel paradoxe de ce printemps arabe : les défenseurs des droits de l'homme bahreïnis utilisent les réseaux sociaux ...

Fin juillet, on découvrait que le logiciel espion du marchand d’armes de surveillance numérique britannique FinFisher avait été utilisé à l’encontre de défenseurs des droits humains bahreïnis. En août, on découvre que des journalistes marocains ont, eux, été ciblés par Hacking Team, un concurrent italien de FinFisher.

Mamfakinch (“nous n’abandonnerons pas“, en arabe marocain), est un site d’informations créé par un collectif de blogueurs et militants marocains dans la foulée du printemps arabe, et plus particulièrement du mouvement dit du 20 Février, qui appelait notamment à l’ouverture d’une enquête sur “les arrestations arbitraires et les procès expéditifs », et à la « rupture avec la logique de répression face au droit des manifestations pacifiques“. Devenu, en moins d’un an, l’un des médias citoyens les plus populaires au Maroc, il a plusieurs fois fait l’objet d’attaques ou de tentatives de déstabilisation visant à le faire taire.

Ce 2 juillet 2012, Google et GlobalVoices remettait à Mamfakinch un Breaking Border Awards, prix créé pour honorer les sites qui s’illustrent par leur défense de la liberté d’expression sur Internet. Le 20 juillet, la rédaction de Mamfakinch recevait un email intitulé Dénonciation, accompagné d’une pièce jointe, scandale (2).doc, et d’une phrase sibylline en français :

Svp ne mentionnez pas mon nom ni rien du tout je ne veux pas dembrouilles…

Appâtés, les journalistes tentent d’ouvrir le fichier joint… sans succès. Intrigués, et doutant de la véracité du mail, ils le font suivre à Abderahman Zohry, co-fondateur de Mamfakinch et du Parti pirate marocain, mais également directeur technique de DefensiveLab, une société de sécurité informatique marocaine. Anas El Filali, blogueur et principal actionnaire de Defensive Lab, a raconté à Yabiladi, un site d’information marocain, qu’en analysant le document, les hackers de son entreprise ont découvert un virus qui n’avait encore jamais été identifié :

Ce dernier prend pour cible les machines qui tournent sous MAC OS et Windows, et il était encore indétectable par les antivirus. Un document Word contenait un code exploitant une faille existante dans le composant Flash afin d’installer le cheval de Troie.

Techniquement, une attaque de ce genre peut donner à l’attaquant un accès à toutes les données de l’ordinateur infecté, ainsi que d’enregistrer tout le trafic entrant et sortant (discussions et contacts MSN, Skype, mots de passe, touches tapées et URLs visitées sur le navigateur…).

Des chevaux de Troie dans nos démocraties

OWNI lève le voile sur les chevaux de Troie. Ces logiciels d'intrusion vendus aux États, en particulier en France et en ...

Le 24, Lysa Meyers, une des chercheuses d’Intego, une société de sécurité informatique spécialisée dans l’univers Mac, découvre le cheval de Troie, que DefensiveLab a envoyé à Virus Total, un site qui permet à tout internaute de passer n’importe quel fichier au travers des scanners de 41 éditeurs d’anti-virus, et que Google vient de racheter.

Le 25, Lysa Myers publie un nouveau billet expliquant comment le logiciel malveilant fonctionne, révélant qu’on y trouve des bouts de code évoquant le nom d’un concurrent italien de FinFisher, Hacking Team. Son cheval de Troie, Remote Control System Da Vinci (RCS, pour “système de contrôle à distance“), présenté comme une “suite de hacking pour l’interception gouvernementale“, se targue de pouvoir pirater n’importe quel système informatique, afin de pouvoir surveiller, espionner et récupérer tout type de données sur les ordinateurs infectés.

Des dizaines d’articles ont relayé cet été, dans la foulée, la découverte de ce nouveau cheval de Troie, surnommé Crisis par Intego, Morcut par Sophos, ou encore BackDoor.DaVinci.1 par Dr.Web -qui qualifie Hacking Team de “criminels“. Depuis, les éditeurs d’anti-virus rivalisent de communiqués pour annoncer qu’ils avaient rajouté le cheval de Troie dans la liste des logiciels malveillants, de sorte qu’ils ne puissent plus contaminer les ordinateurs de leurs clients.

Un gros requin de l’intrusion

En partenariat avec WikiLeaks, OWNI révèle le fonctionnement de FinFisher, l'une de ces redoutables armes d'espionnage ...

A ce jour, 26 éditeurs d’antivirus détecteraient le cheval de Troie de Hacking Team, et 36 celui de FinFisher, ce qui n’est pas sans poser quelques problèmes à ces marchands d’armes de surveillance numérique. D’une part parce que l’on en sait un peu plus sur leurs technologies, et donc comment s’en protéger, d’autre part parce qu’ils se targuaient, auprès de leurs clients, d’avoir créé des chevaux de Troie que les antivirus ne détectaient pas.

FinFisher, Hacking Team et leurs quelques concurrents défendent leurs logiciels espions en expliquant qu’ils ne le vendent qu’à des services de renseignement, forces de police et gouvernements, et qu’ils ne seraient donc utilisés que dans le cadre de la lutte contre le terrorisme ou la criminalité. On a désormais la preuve qu’ils servent aussi à espionner des défenseurs des droits humains et journalistes.

Les autorités britanniques, de leur côté, viennent d’annoncer que FinSpy avait été placé dans la liste des “technologies duales” dont l’exportation, hors union européenne, doit être dûment autorisée.

Le blocage des chevaux de Troie par les antivirus, ainsi que la décision britannique de contrôler leur prolifération, constitue un tournant. Et la facture pourrait s’avérer salée : David Vincenzetti, le fondateur de Hacking Team, avait expliqué en novembre 2011 qu’il commercialisait la licence de RCS Da Vinci pour 200 000 euros, par an. D’après Ryan Gallagher, un journaliste de Slate qui l’avait rencontré en octobre 2011, RCS a été vendu depuis 2004 “à approximativement 50 clients dans 30 pays sur les cinq continents“. FinSpy, à en croire cette proposition de contrat trouvée en mars 2011 dans l’un des bâtiments de la sécurité égyptienne après la chute du régime Moubharak, serait vendu, de son côté, près de 300 000 euros.

Simple comme une clef USB

Le logo de FinFisher ? Un aileron de requin (fin, en anglais). Leader des “techniques offensives de recueil d’information“, FinFisher, qui affirme ne travailler qu’avec des services de renseignement et forces de l’ordre, affiche clairement la couleur. Son portefeuille de produits propose une gamme complète d’outils d’espionnage informatique et de “solutions d’écoute, de contrôle et d‘infection à distance” des ordinateurs à même de “prendre le contrôle (et) d‘infecter à distance les systèmes cibles“, afin de pouvoir espionner les messages reçus ou envoyés, d’accéder à toutes ses données, même et y compris si elles sont chiffrées.

Son portfolio de présentation présente toute la gamme de solutions, qui n’ont rien à envier aux outils utilisés par les pirates informatiques, mais qui donnent la mesure de ce qu’il est possible de faire aujourd’hui. Dans une autre présentation de ses activités, datant de 2007, FinFisher se vantait ainsi d’”utiliser et incorporer les techniques de hacking black hat (du nom donné aux hackers qui oeuvrent du côté obscur de la force, et en toute illégalité, NDLR) afin de permettre aux services de renseignement d’acquérir des informations qu’il serait très difficile d’obtenir légalement.”

Vous avez la possibilité d’accéder physiquement à l’ordinateur de votre cible ? Insérez-y FinUSB, une petite clef USB créée tout spécialement pour extraire d’un ordinateur l’intégralité des identifiants et mots de passe qui s’y trouvent, les derniers fichiers ouverts ou modifiés, l’historique des sites visités, des communications instantanées, le contenu de la poubelle, etc., sans même que son propriétaire ne s’en aperçoive : il suffit en effet d’insérer la clef USB dans l’ordinateur, au prétexte de partager avec lui tel ou tel fichier, pour que le logiciel espion siphonne, de façon subreptice et sans se faire remarquer, l’intégralité des données.

La technique est aussi utilisée par des espions qui, dans des salons professionnels, ou dans les bureaux de ceux qu’ils veulent espionner, laissent traîner une clef USB, espérant que leur cible, curieuse, cherche à la lire… et donc infecte son ordinateur.

Vous n’avez pas d’accès physique à l’ordinateur à espionner ? Pas de problème : “pensé et créé par des spécialistes travaillant depuis plus de 10 ans dans le domaine de l’intrusion” pour casser les mécanismes utilisés pour sécuriser les réseaux sans-fil de type Wi-Fi (WEP ou WPA1 & 2), FinIntrusion Kit, permet de “surveiller à distance webmail (Gmail, Yahoo…) et réseaux sociaux (Facebook, MySpace)” utilisés pas la cible à espionner, ses blogs, forums, etc., et de récupérer ses identifiants et mots de passe, même et y compris si la cible utilise le protocole SSL, protocole de sécurisation des échanges sur Internet.

“Cheval de Troie professionnel” (sic) utilisé, “depuis des années“, pour faciliter le placement sous surveillance des cibles qui se déplacent régulièrement, chiffrent leurs communications ou se connectent de façon anonyme, “et qui résident dans des pays étrangers” (c’est FinFisher qui souligne), FinSpy vise de son côté à prendre le contrôle, à distance et de façon furtive, de tout ordinateur utilisant “les principaux systèmes d’exploitation Windows, Mac et Linux“, et sans qu’aucun des 40 antivirus les plus utilisés ne soit capable de le reconnaitre, et donc de le bloquer.

Une fois installé, FinSpy peut espionner en “live” le ou les utilisateurs de l’ordinateur infecté (en activant, à leur insu, webcam et microphone), mais également le géolocaliser, en extraire toutes les données, intercepter les échanges de mail et autres conversations, et notamment les appels et transferts de fichiers effectués avec Skype (dont l’algorithme de chiffrement, propriétaire mais créé par des développeurs estoniens qui ont connu la Russie soviétique, a été conçu pour sécuriser les communications). Pour plus de furtivité, la connexion, à distance, passe par des proxies anonymiseurs empêchant de remonter jusqu’aux ordinateurs des espions.

FinSpy existe aussi en version mobile, afin d’aider les autorités “qui ne disposent pas de système d’interception téléphonique” à espionner les communications (voix, SMS, MMS, mails) émanant de téléphones portables (BlackBerry, iPhone, Windows ou Android), même et y compris si elles sont chiffrées, et d’accéder aux données (contacts, agendas, photos, fichiers) qui y sont stockées, ou encore de les géolocaliser en temps réel.

Contaminé en consultant un site

FinFly a de son côté été conçu pour installer, de façon subreptice, un cheval de Troie permettant le contrôle à distance de l’ordinateur de ces suspects qui ne cliquent pas sur les pièces jointes qui leur sont envoyées, et savent peu ou prou comment protéger leurs ordinateurs :

Il est quasi-impossible d’infecter les ordinateurs des cibles particulièrement au fait des questions de sécurité informatique, dont le système d’exploitation est régulièrement mis à jour et qui ne comporte donc pas de faille de sécurité facilement exploitable.

FinFlyUSB permet ainsi d’infecter un ordinateur par le simple fait d’y connecter une clef USB. FinFly LAN (pour Local Area Network, ou réseau local) propose de faire de même, mais sans accès physique aux ordinateurs à espionner, en s’infiltrant dans un réseau (câble ou Wi-Fi, et notamment dans ceux des cybercafés ou des hôtels). FinFly ISP (pour Internet Service Provider, ou fournisseur d’accès internet, FAI en français) procède de manière encore plus massive, mais en s’infiltrant au sein même des FAI, afin de pouvoir déployer leurs logiciels espions “à l’échelle d’une nation“.

Dans les deux cas, l’objectif est d’infecter, “à la volée“, les fichiers que des cibles seraient en train de télécharger, d’envoyer de fausses mises à jour de sécurité vérolées, ou encore de “manipuler” les pages web visitées pour y insérer le cheval de Troie, de sorte que la simple consultation d’une page web entraîne la contamination des ordinateurs de ceux qui la visite.

Pour cela, FinFisher a développé FinFly Web, qui permet de créer des pages web piégées dont la simple consultation entraîne l’infection des ordinateurs qui les consultent, et sans qu’ils ne s’en aperçoivent. FinFisher explique ainsi comment des “cibles” ont été espionnées en visitant un sites web créé tout spécialement pour attirer leur attention.

Le portfolio explique également qu’il est possible de faire croire à l’utilisateur à espionner qu’il doit télécharger un fichier (plug-in Flash ou RealPlayer, applet Java, etc.) dûment signé par une société bien connue du marché, “par exemple Microsoft“, laissant entendre, soit que ces compagnies collaborent avec FinFicher, soit qu’il a réussi à pirater leurs certificats de sécurité censés pourtant précisément garantir l’authenticité des fichiers téléchargés…

FinFireWire permet, de son côté, d’accéder au contenu des ordinateurs (Windows, Mac et Linux) dont l’accès est protégé par un mot de passe, sans y laisser de trace. Le portfolio de FinFisher précise même qu’il permet également d’espionner sans contrôle judiciaire, évoquant le cas de policiers entrés dans l’appartement d’un suspect dont l’ordinateur, allumé, est protégé par un mot de passe :

Dans la mesure où ils ne sont pas autorisés, pour des raisons légales, à installer un cheval de Troie dans l’ordinateur (du suspect), ils risquent de perdre toutes les données en éteignant l’ordinateur, si son disque dur est intégralement chiffré. FinFireWire leur a permis de débloquer l’ordinateur du suspect et de copier tous ses fichiers avant de l’éteindre et de le ramener au quartier général.

La “cyberguerre” à portée de clic

FinFisher propose également du “FinTraining” afin d’apprendre à ses clients à, “par exemple” : tracer des emails anonymes, accéder à distance à des comptes webmails, s’initier à l’intrusion sans-fil, “attaquer les infrastructures critiques“, sniffer les identifiants, mots de passe et données circulant sur les réseaux, notamment les hotsposts Wi-Fi des cybercafés et des hôtels, intercepter les communications téléphoniques (VOIP et Dect), craquer les mots de passe… et autres techniques et méthodes de “cyberguerre“.

Gamma Group, la société britannique à l’origine de FinFisher, se présente comme fournisseur de systèmes et technologies d’interception des télécommunications (internet, satellite -Thuraya, Inmarsat-, GSM, GPRS, SMS, etc.) à l’intention des agences gouvernementales et forces de l’ordre, à qui elle peut également vendre micro-espions et micro-caméras cachées de vidéosurveillance, camionnettes d’interception et outils de crochetage permettant d’ouvrir n’importe quelle porte…

Créée en 1990 et présente à Munich, Dubai, Johannesburg, Jakarta et Singapour, Gamma n’évoque nulle part le fait qu’elle se refuserait à vendre ces systèmes à des pays non démocratiques, ou connu faire peu de cas des droits de l’Homme.

En avril dernier, le Wall Street Journal révélait que des documents, découverts au siège de la “division de la pénétration électronique” (sic) de la police secrète égyptienne, démontraient que son logiciel espion avait bel et bien été utilisé pour espionner des militants politiques, les communications de l’un d’entre-eux ayant ainsi été espionnées. Il expliquait notamment l’importance d’utiliser Skype “parce qu’il ne peut être pénétré par aucun dispositif de sécurité“…

Basem Fathi, un activiste égyptien de 26 ans, a ainsi découvert que les services de sécurité égyptiens avaient été jusqu’à ficher sa vie amoureuse, et ses détours à la plage : “je crois qu’ils collectionnaient tous les petits détails dont ils entendaient parler en nous écoutant, avant de l’enregistrer dans des fichiers“.

Un mémo “Top Secret” du ministère de l’Intérieur égyptien en date du 1er janvier 2011, que le WSJ a pu consulter, révèle que les autorités égyptiennes avait payé 388 604€ pour pouvoir tester le logiciel espion pendant cinq mois, et disposer du soutien de quatre employés du revendeur égyptien de Gamma, Modern Communication Systems. Ce qui leur a permis d’espionner de nombreux militants, allant jusqu’à la “pénétration réussie de leurs réunions… quand bien même elles étaient chiffrées par Skype“.

Les Egyptiens n’étaient pas les seuls à être espionnés : les documents ont également révélé que les conversations de Sherif Mansour, représentant de l’ONG américaine Freedom House, venu en Egypte surveiller le bon déroulement des élections, avaient elles aussi été interceptées. Conscient de gêner les autorités, il avait précisément mis en place un “protocole de sécurité consistant notamment à utiliser Skype aussi souvent que possible“, au motif qu’il est plus sécurisé que les emails…

Interrogé par le WSJ, Mr Mansour se dit surpris : “quand ils arrêtaient des blogueurs, ils les torturaient pour obtenir leurs mots de passe. Nous avions donc l’impression qu’ils ne pouvaient pas espionner nos conversations“.

A l’issue de la période d’essai, en décembre 2010, le ministère de l’Intérieur, satisfait, approuva l’achat du logiciel de Gamma. Le printemps arabe et la révolution égyptienne l’en a empêché.

Retrouvez notre dossier sur les Spy Files :

- Mouchard sans frontière

- La carte d’un monde espionné

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.

Vous pouvez également me contacter de façon sécurisée via ma clef GPG/PGP (ce qui, pour les non-initiés, n’est pas très compliqué). A défaut, et pour me contacter, de façon anonyme, et en toute confidentialité, vous pouvez aussi passer par privacybox.de (n’oubliez pas de me laisser une adresse email valide -mais anonyme- pour que je puisse vous répondre).

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Retrouvez notre dossier sur le sujet :
Une journée sous surveillance et Des chevaux de Troie dans nos démocraties

Tous les articles OWNI/WikiLeaks sont là