Hacking-Team, RCS, Qatif Today et Interception légale par malwares

Les malwares sont-ils toujours des malwares si les autorités de poursuite pénale les utilisent afin d’appréhender des criminels? Et si les autorités gouvernementales s’en servent pour surveiller les ordinateurs de leurs citoyens et guetter des dissidents politiques ? S’agit-il de malwares s’ils sont vendus et distribués par une entreprise travaillant dans le secteur du développement de logiciels pour l’utilisation exclusive dans le cadre de l’interception légale ?

Ets’il n’y a pas encore de directives légales claires déterminant ce qu’est exactement l’interception légale. De nouvelles recherches de Citizen Lab de l’Université de Toronto soulèvent toutes ces questions et révèlent que la technologie de surveillance des activités sur Internet est de nos jours beaucoup plus complète, abordable et facile à utiliser qu’aucun citoyen du Net craignant Big Brother ne l’aurait jamais cru.

Ils s’appellent « The Hacking Team »

Et ils ont également un site web. The Hacking Team est une entreprise sérieuse travaillant dans le secteur du développement de logiciels dont le siège social se trouve en Italie. Cette entreprise développe et vend un produit nommé RCS – en toutes lettres, Remote Control System. RCS est un kit complet permettant de surveiller des ordinateurs et dispositifs mobiles et capable d’infecter, de contrôler, de surveiller ainsi que d’extraire des données d’un dispositif ciblé. Comment cela peut-il être légal ? C’est légal parce qu’il s’agit d’une affaire sans précédent (du moins dans le secteur commercial) – et également car The Hacking Team dispose de principes d’utilisation strictes :

Nous refusons de fournir nos technologies aux gouvernements ou autorités gouvernementales qui :

  • selon nous, ont utilisé la technologie de The Hacking Team pour faciliter d’importantes violations aux droits de l’homme.
  • refusent d’approuver ou d’accomplir les provisions de nos contrats décrivant l’utilisation prévue de logiciels de The Hacking Team ou qui refusent de signer des contrats comprenant des conditions concernant l’utilisation légale des logiciels de The Hacking Team.
  • refusent d’approuver l’utilisation de fonctions d’audit intégrées dans les logiciels de The Hacking Team permettant aux administrateurs de surveiller de quelle manière le système est utilisé.

Cependant – et il s’agit là d’une objection majeure – de nouvelles recherches faites par des universitaires travaillant au sein du Citizen Lab ont révélé que le gouvernement de l’Arabie Saoudite se servirait possiblement de la technologie de The Hacking Team pour surveiller et opprimer des activistes politiques qui manifestent leur grogne dans les médias sociaux. Il n’y a bien sûr aucun moyen de prouver cela, vu qu’une des fonctions les plus puissantes de RCS consiste en un module de suppression permettant aux  utilisateurs de supprimer l’application de manière durable du dispositif infecté sans laisser aucune trace – nous allons illustrer ce fait en plus de détails plus tard -, mais les preuves présentées par Citizen Lab sont toujours et encore indiscutables ; et même s’il s’agit de preuves par indices, elles soulèvent des questions importantes qu’il faut se poser pour ce qu’il en est du futur de la sécurité de la toile.

Une application d’actualités nommée « Qatif Today »

L’Arabie Saoudite se trouve depuis longtemps dans le collimateur des activistes en matière des droits de l’homme. Bref : le pays jouit de la réputation de contrôler  l’accès à et l’utilisation d’Internet de ses concitoyens… Étant donné que la majorité des gens tiennent à leur liberté, ce contrôle, en combinaison avec de nombreuses autres injustices que Citizen Lab expose dans la première partie de sa dernière publication, a entraîné  pas mal d’irritation politique parmi les citoyens saoudiens. Paradoxalement, cela a également  fait d’Internet le territoire primaire des dissidents – vu que dans de nombreux pays où la liberté d’expression est restreinte, le fait de se manifester dans les rues peut mener à se faire attaquer par des canons à eau, emprisonner voire tuer.

Vu ces derniers développements, Citizen Lab a découvert que quelqu’un avait publié une application d’actualités  nommée  Qatif Today sur un marché d’applications de tiers et un post sur Twitter. Les recherches ont révélé qu’au lieu d’une application mobile fournissant des nouvelles relatives à cette région orientale de l’Arabie Saoudite, ce Qatif Today était en réalité un troyen comprenant des technologies d’une ressemblance frappante à celle de RCS proposé par The Hacking Team.

Ce qui est encore plus intéressant, c’est qu’il y a en réalité aussi une application nommée « Qatif Today » qui elle est authentique. Le plus frappant concernant le choix de troyen des Saoudiens, c’est que la province de Qatif a une longue histoire de protestations actives contre le gouvernement saoudien. Ces protestations persistent encore aujourd’hui, et en dépit des restrictions imposées sur l’utilisation d’Internet par le gouvernement, les journalistes en ligne saoudiens forment une grande partie de ceux qui se manifestent  – des journalistes en ligne saoudiens étant exactement le genre de personnes à télécharger une application d’actualités nommée « Qatif Today ».

Jusqu’ici, rien n’a encore été prouvé, mais l’analyse rigoureuse du malware effectuée par Citizen Lab se rapproche au plus haut point à une accusation. Le laboratoire n’a bien sûr pas directement dit que The Hacking Team vendait RCS au gouvernement saoudien, tout en sachant que l’on abuserait du logiciel ; ils indiquent tout de même de manière assez évidente que le gouvernement en question a réussi à obtenir  RCS de façon inexpliquée – et dans ce cas, il était nécessaire d’imposer des restrictions plus sévères quant à l’utilisation de RCS et de logiciels de ce genre. Citizen Lab a également eu l’amabilité de nous montrer exactement les capacités terrifiantes et puissantes de ce type de RCS.

La surveillance par malwares à votre service

Nous vous recommandons à nouveau, de consacrer une heure de votre journée à la relecture approfondie de l’article officiel. Il y a pas mal d’articles bien recherchés et d’analyses de malwares sur le blog de Citizen Lab. Une note importante : Il n’y a pas de preuve fiable qu’il s’agissait de RCS dans le cas de Citizen Lab. Le malware sur lequel on est tombé avait une ressemblance stupéfiante avec les caractéristiques de RCS en se basant sur des analyses et recherches antérieures. Néanmoins, les capacités en sont assez terrifiantes. Voici une liste des moyens avec lesquels un technicien – un rôle du kit de malwares assignable et basé sur les privilèges – peut créer un programme d’installation :

  • Injection par réseau : par injection de trafic malicieux en coopération avec un fournisseur d’accès Internet
  • Injection par réseau tactique : sur LAN ou Wifi
  • Application fondue (Melted Application) : un dropper du Hacking Team avec une autre application en tant qu’appât
  • Paquet d’installation : un programme d’installation mobile
  • Exploit : exploit basé sur documents pour dispositifs mobiles et ordinateurs fixes
  • Installation locale: installation mobile via USB ou carte SD
  • Installation hors ligne : crée un ISO pour un SDHC, CD, ou USB amorçable. Cette option comprend la capacité d’infecter des dispositifs en hibernation ou éteints.
  • Code QR : un lien mobile qui infecte la cible lorsque vous l’ouvrez
  • Applet Web : probablement un site web malicieux (plus utilisé après la version 8.4)
  • Programme d’installation silencieux : un fichier exécutable pour ordinateur fixe installant l’implant
  • Clé USB U3 infecté : une clé USB U3 causant une infection de façon automatisée
  • Message push WAP : la cible sera infectée lorsque l’utilisateur acceptera le message (fonctionne sur tous les systèmes d’exploitation mobiles sauf iOS)

Une fois infecté, une personne ayant des privilèges d’analyste ou des droits d’administrateurs est à même d’indiquer le dispositif infecté à :

  • Fichiers ouverts
  • Répertoire
  • Applications utilisées
  • Calendrier
  • Contacts
  • Type de dispositif
  • Fichiers ouverts
  • Enregistrement des saisies
  • Mots de passe sauvegardés
  • Activités de la souris (pour contourner les claviers virtuels)
  • Enregistrement d’appels et de données relatives aux appels
  • Captures d’écran
  • Prise de photos avec la webcam
  • Enregistrement de chats
  • Surveillance du presse-papiers
  • Enregistrement d’audio avec le microphone avec détection de voix/silence pour prendre moins d’espace
  • Surveillance audio en temps réel (« micro en direct » : ce module n’est disponible que sous Windows Mobile)
  • Localisation du dispositif
  • URLs visités
  • Création de téléréunions (avec une tierce partie  silencieuce)
  • Infection d’autres dispositifs (plus utilisé après la version 8.4)

En outre, et ce qui est le plus effrayant, c’est que nous ayons découvert que ce troyen nommé « Qatif Today » – un malware qui pourrait être RCS, un logiciel légitime et propriétaire distribué et vendu à des gouvernements dans le monde entier – peut :

  • envoyer une infection « scout » pour infecter au préalable un dispositif afin d’assurer que le véritable malware ne soit pas détecté
  • s’autodétruire de manière permanente au cas où l’infection échoue ou une personne essaie d’analyser le malware
  • « Déterminer des événements entraînant certaines actions, sous-actions, modules et séquences. » C’est-à-dire que, lorsque vous visitez un site web politique, le malware se réveille et se met à enregistrer votre écran.

Interception légale par malwares

Avant que vous ne pointiez du doigt The Hacking Team, il y a toujours un contrepoint qu’il faut considérer. C’est un contrepoint que les médias de l’ère post-Snowden tentent d’ignorer souvent, toujours à la recherche d’une victime potentielle. Ce contrepoint s’appelle : l’interception légale. Comme la plupart des nouveaux concepts légaux , il n’est pas encore clair ce qu’est l’interception légale, mais en substance  cela veut dire que les autorités judicaires poursuivant des criminels devraient avoir le droit de s’appuyer sur des technologies telles que RCS. À première vue, cette définition semble assez raisonnable, mais les lois dans un monde et pour un monde plein de connexions légales infinies ne sont jamais si simples.

  • Question 1 : Une autorité judiciaire peut-elle ou devrait-elle avoir le droit d’utiliser des outils tels que RCS contre des criminels et terroristes même si cela veut dire qu’elles pourront également surveiller des citoyens innocents ?
  • Question 2 : Une économie libre du marché mondiale devrait-elle permettre à une entreprise de répondre à une demande en créant et vendant des logiciels malveillants à tous ceux pouvant présenter un justificatif pour l’utilisation légitime et l’argent nécessaire ?
  • Question 3 : Votre gouvernement vous surveille-t-il… en ce moment ?

Toutes ces questions sont importantes – et les réponses à ces questions ont d’importantes conséquences sur le futur de la toile. Comme ces questions sont complexes, les réponses sortiraient du cadre de tout article de blog, celui-ci étant déjà de plus de 1.400 mots. C’est pourquoi un blog a des commentaires. Ce qui encore plus important, c’est pourquoi notre entreprise poursuit son but, qui consiste à : Protéger des personnes contre les malwares en créant des solutions anti-malware – peu importe qui crée le malware et qui s’en sert.

 

Bonne journée (sans vous savez déjà quoi) à vous !