NSO Group, petit résumé des activités de cyber surveillance légales et illégales de cette entreprise

Une plainte a été déposée devant la cour de district de Tel Aviv afin d’annuler la licence d’exportation accordée par le ministère de la Défense Israélien à la société NSO Group, spécialisé dans la fourniture de produits de surveillance électronique. Cette action en justice est menée conjointement par Amnesty International et l’Institut Bernstein pour les droits de l’homme de la faculté de droit de l’Université de New-York. Elle fait suite à la découverte d’une tentative d’espionnage, en juin 2018, d’un membre d’Amnesty International en piratant son smartphone à travers un produit édité par cette entreprise israélienne.

Je me suis donc intéressé à cette société et ses activités.

La société NSO Group a été créée en 2010 dans la « Silicon Valley » israélienne : Herzliya, située près de Tel-Avis. La rumeur veut que ses fondateurs, Niv Carmi, Shalev Hulio et Omri Lavie, sont des vétérans de l’unité 8200 de l’armée israélienne. Cette unité est spécialisée dans le renseignement d’origine électromagnétique et du décryptage de codes. Le nom de la société NSO correspond à la première lettre des prénoms des trois fondateurs. La société a été présidée par un ancien militaire, le général Avigdor Ben-Gal, héros israélien de la guerre de Kippour en 1973. Il a occupé ce poste de 2009 jusqu’à son décès le 13 février 2016.

Les produits édités par NSO Group sont considérés par les autorités israéliennes comme des armes de guerre : l’export de leurs produits est soumis à un accord préalable du ministère de la Défense israélien qui valide le pays destination. Par ailleurs, NSO Group annonce que l’utilisation de leurs produits est soumise à un cadre contractuel stricte conformément aux lois et aux réglementations. “Officiellement”, cette entreprise vend ses produits uniquement aux agences gouvernementales afin de lutter contre le crime et le terrorisme.

Ainsi, les produits de NSO Group ont permis, en 2016, au gouvernement mexicain de capturer Joaquín Guzmán Loera, l’homme le plus recherché au monde et le plus puissant baron de la drogue du pays, connu sous le surnom “El Chapo”.

NSO Group s’est retrouvée au-devant de la scène en 2016 suite à la divulgation d’un de leurs produits : Pegasus. Celui-ci permet la prise de contrôle totale d’un iPhone 6 : accès aux messages, aux photos et aux positions GPS ainsi que l’activation de la caméra et du micro. La divulgation a été faite par le laboratoire canadien Citizen Lab, qui oeuvre dans les secteurs de l’information et des technologies de communication, des droits de l’homme et la sécurité Internet, et l’entreprise Lookout, spécialisée en protection des mobiles. Un militant des droits de l’homme, Ahmed Mansoor, a transféré deux sms suspects à ces organisations. Après analyse, Ahmed Mansoor a été la cible par une attaque ciblée de phishing par sms, l’invitant à cliquer sur un lien. Le lien permettait d’installer un programme malveillant : Pegasus, édité par NSO Group. L’investigation a montré que le programme malveillant exploité trois failles critiques, inconnues d’Apple, dans le système d’exploitation de l’iPhone (CVE-2016-4655, CVE-2016-4656 et CVE-2016-4657). Ces failles ont rapidement été corrigées par Apple dans la version 9.3.5 de son iOS !

D’autres capacités de compromission exploitées par les produits NSO Group ont été révélées dans une fuite de Wikileaks. Ces révélations concernent l’entreprise Italienne HackingTeam, spécialisée dans les solutions d’interception pour les gouvernements qui semble travailler avec NSO Group. Dans cette fuite, la spécification complète de la solution Pegasus a été mise au jour :

Liste des bénéfices de la solution :

  • Unlimited access to target’s mobile devices: Remotely and covertly collect information about your target’s relationships, location, phone calls, plans and activities – whenever and wherever they are
  • Intercept calls: Transparently monitor voice and VoIP calls in real-time
  • Bridge intelligence gaps: Collect unique and new types of information (e.g., contacts, files, environmental wiretap, passwords, etc.) to deliver the most accurate and complete intelligence
  • Handle encrypted content and devices: Overcome encryption, SSL, proprietary protocols and any hurdle introduced by the complex communications world
  • Application monitoring: Monitor a multitude of applications including Skype, WhatsApp, Viber, Facebook and Blackberry Messenger (BBM)
  • Pinpoint targets: Track targets and get accurate positioning information using GPS
  • Service provider independence: No cooperation with local Mobile Network Operators (MNO) is needed
  • Discover virtual identities: Constantly monitor the device without worrying about frequent switching of virtual identities and replacement of SIM cards
  • Avoid unnecessary risks: Eliminate the need for physical proximity to the target or device at any phase

Liste des principales capacités techniques de la solution :

  • Penetrates Android, BlackBerry, iOS and Symbian based devices
  • Extracts contacts, messages, emails, photos, files, locations, passwords, processes list and more
  • Accesses password-protected devices
  • ƒTotally transparent to the target
  • ƒLeaves no trace on the device
  • ƒMinimal battery, memory and data consumption
  • ƒSelf-destruct mechanism in case of exposure risk
  • ƒRetrieves any file from the device for deeper analysis

Note : ces capacités, qui datent de 2015, sont impressionnantes quid des nouvelles capacités développées ces quatre dernières années !

De plus, la spécification met en avant un réseau de noeuds dédiés par client qui assure le caractère anonymes lié à l’utilisation de la solution Pegasus. Ce réseau est désigné par Pegasus Anonymizing Transmission Network (PATN). Amnesty International a ainsi réussi à lier 600 serveurs aux activités de NSO Group.

L’analyse du réseau PATN a montré des déploiements dans de nombreuses pays : l’Arabie Saoudite, la Colombie, le Congo, la Hongrie, le Kazakhstan, le Kenya, la Lettonie, la Russie, et la Zambie.

De plus, la fuite Hacking Team a montré que les solutions de NSO Group ont été mises en oeuvre pour le compte du gouvernement panaméen via des partenaires locaux : SOLUTECSA et la société Colombienne Robotec Corporation. D’autres pays figurent dans les correspondances de cette entreprise : sdes actions de prospection commerciale et des échanges avec leurs clients dans différents pays : l’Algérie, la France, le Kazakhstan, etc.

Revenons sur NSO Group, l’utilisation des produits de cette entreprise semble être détournée de leurs usages initiaux de lutte contre contre le crime et le terrorisme. En voici quelques exemples :

  • Au Mexique : Citizen Lab a publié huit rapports sur l’utilisation abusive des technologies de NSO Group pour la surveillance de journalistes, d’avocats, des politiciens et des chercheurs qui travaillent sur des sujets sur lesquels le gouvernement mexicain ne semble pas à l’aise : santé publique, corruption et liberté d’expression !
  • Le lien reste à faire : la solution a été vendue à l’Arabie Saoudite quelques mois avant le démarrage de la purge initiée par le Prince Mohammed bin Salman contre ses opposants.
  • Edward Snowden, lanceur d’alerte et ex-employé de la NSA exilé en Russie, a suggéré en novembre 2018, lors d’une allocution vidéo dans un événement organisé à Tel Aviv, un lien entre NSO Group et  le meurtre du journaliste saoudien Jamal Khashoggi, assassiné par des agents saoudiens à Istanbul en octobre 2018 !

La politique commerciale de NSO Group devient ambiguë lorsque cette entreprise israélienne dote des états ennemis d’Israël avec ses solutions : par exemple le Yémen, qui considère Israël comme un “état ennemi”.

C’est dans ce contexte qu’Amnesty International considère que NSO Group devient ingérable. Pour l’association, les activités de cette entreprise doivent être mises sous contrôle au risque d’être utilisée par certains états peu regardants en terme de démocratie afin de commettre des exactions envers leurs citoyens.

Affaire à suivre….

Une réflexion sur « NSO Group, petit résumé des activités de cyber surveillance légales et illégales de cette entreprise »

Les commentaires sont fermés.