Google prévient des utilisateurs de téléphones Android infectés par le logiciel espion

Google a alerté un nombre non spécifié d’utilisateurs de téléphones Android qu’ils avaient été infectés par un logiciel espion récemment mis sous le feu des projecteurs et nommé Hermit. « Nous avons identifié des victimes au Kazakhstan et en Italie », a précisé l’équipe d’analyse de la menace de Google (TAG), dans un billet de blog.

Contrairement au logiciel espion Pegasus, développé par NSO Group, qui disposait de vulnérabilités « zero click » sur iPhone (la possibilité d’infecter un appareil sans que l’utilisateur n’ait fait quoi que ce soit), les compromissions observées par Google dans le cas de Hermit commencent par l’envoi d’un lien aux victimes.

Ce dernier les invite à installer une application se faisant passer soit pour un outil développé par un opérateur téléphonique, soit pour une application de messagerie. Dans certains cas, selon Google, l’utilisateur d’Hermit cherchant à infecter quelqu’un bénéficie de la complicité d’un opérateur téléphonique pour désactiver le réseau de sa cible, et le message d’hameçonnage l’invite à rétablir sa connexion en passant par l’application vérolée.

De nombreuses informations potentiellement volées

Que ce soit sur iOS ou Android, Hermit utilise différentes méthodes pour que la victime installe l’application sans passer par les magasins officiels (App Store et Google Play Store). Une fois nichée dans le système du téléphone, Hermit peut alors accéder à un certain nombre d’informations personnelles. Sur Android par exemple, l’application demande entre autres les autorisations pour activer la caméra et le micro, lire les SMS, etc.

Les nouvelles informations publiées par Google interviennent une semaine après la diffusion par l’entreprise spécialisée Lookout d’un long rapport sur Hermit, qui s’appuie lui aussi sur la découverte de victimes infectées au Kazakhstan, mais également en Syrie, dans le nord-est du pays abritant notamment des populations kurdes.

Lire aussi : Des activistes kazakhs visés par le logiciel espion Pegasus

Google et Lookout estiment que ce logiciel espion est développé par l’entreprise italienne RCS Lab, une société qui, comme de nombreuses autres, vend des technologies de surveillance à des gouvernements, polices et services de renseignement. Sur son site, RCS affirme disposer de filiales en Espagne et en France. « RCS est le leader européen des services d’interception légale, avec plus de 10 000 cibles traitées au quotidien rien qu’en Europe », poursuit l’entreprise. Le fait qu’Hermit s’appuie parfois sur la complicité des opérateurs de télécommunications pour infecter ses cibles corrobore par ailleurs la piste d’un outil utilisé par des acteurs étatiques.

Ancien partenaire de Hacking Team

Comme le souligne Lookout, des documents publiés par Wikileaks suggèrent que RCS Lab a été, au début des années 2010, un partenaire d’une autre entreprise italienne controversée nommée Hacking Team. Ce développeur de logiciels espions, dont les e-mails ont été piratés et diffusés par un activiste en 2015, a notamment été accusé de vendre des technologies de surveillance à des pays autoritaires.

Lire aussi Le vendeur de logiciels espions Hacking Team victime d’un piratage massif

Dans des échanges d’e-mails datés de 2012, on peut par exemple lire des discussions entre représentants de Hacking Team et de RCS, la première entreprise proposant à la seconde de jouer un rôle de revendeur pour un client potentiel : un service de renseignements pakistanais. Dans ce même échange, RCS propose de commercialiser un des outils de Hacking Team auprès d’un client gouvernemental au Turkmenistan. « Vous avez le feu vert pour présenter et promouvoir notre solution auprès de l’utilisateur final au Turkménistan », écrivait par exemple un cadre important de Hacking Team.

En 2016, le site spécialisé Motherboard a mis la main sur une présentation faite par RCS Lab auprès d’un de ses clients pour sa propre technologie de surveillance, à l’époque nommée Mito3.

Lire notre enquête : Article réservé à nos abonnés Vendus comme très sûrs, les iPhone ont été piratés par Pegasus pendant des années

Les géants du Net comme Google et Apple suivent de près l’industrie de la surveillance, puisque ces entreprises cherchent constamment des failles de sécurité dans les téléphones Android et iOS, afin de continuer à vendre des outils de surveillance à leurs clients. En mai, le groupe d’analyse de la menace de Google affirmait surveiller activement près de 30 sociétés commercialisant des technologies d’espionnage.

Florian Reynaud