Aller au contenu principal

Un logiciel espion israélien sur la liste noire des États-Unis « soupçonné » d’avoir attaqué Middle East Eye

Un logiciel de la société israélienne Candiru est « fortement soupçonné » d’avoir été utilisé pour infiltrer des sites web au Moyen-Orient
Par

Un logiciel espion ayant des « liens étroits » avec une société israélienne inscrite sur la liste noire des États-Unis au début du mois a été utilisé pour cibler Middle East Eye et d’autres sites web de la région.

Cette attaque par « point d’eau » (technique de cyberattaque consistant à piéger un site internet légitime afin d’infecter les machines des visiteurs du domaine), découverte par la société de sécurité en ligne ESET, a visé le site web de MEE pendant deux jours en avril 2020.

Israël peut surveiller tous les appels téléphoniques en Cisjordanie et à Gaza
Lire

L’attaque comportait des « liens étroits » avec Candiru, une entreprise israélienne hautement secrète qui ne vend ses logiciels espions qu’aux gouvernements, indique ESET dans un communiqué.

ESET précise que les attaques contre MEE et les autres sites ont employé des techniques similaires à celles utilisées par Candiru et signalées par le Citizen Lab en juillet, mais aussi que l’activité a cessé peu après que le Citizen Lab, Google et Microsoft ont rendu publique l’utilisation de Candiru ailleurs.

De telles attaques « fragilisent les sites web qui sont susceptibles d’être visités par des cibles d’intérêt », indiquent les chercheurs d’ESET. « Les sites web fragilisés sont uniquement utilisés comme points de départ pour atteindre les cibles finales. »

Vingt autres sites web ont été visés par la campagne, qui s’est déroulée en deux vagues, d’avril à juillet 2020 et de janvier à août 2021.

« Des liens avec le Moyen-Orient »

Selon ESET, les cibles avaient « des liens avec le Moyen-Orient et un intérêt particulier pour le Yémen et le conflit qui entoure le pays ».

On dénombre notamment plusieurs sites web gouvernementaux, notamment ceux du gouvernement, des ministères des Finances et de l’Intérieur et du Parlement du Yémen, du ministère iranien des Affaires étrangères et du ministère syrien de l’Électricité, mais aussi des sites de fournisseurs d’accès à internet au Yémen et en Syrie, de médias liés au Hezbollah libanais et aux Houthis yéménites, ainsi qu’un site géré par des dissidents saoudiens.

Plusieurs entreprises aérospatiales d’Afrique du Sud et d’Italie qui ont entretenu des échanges commerciaux avec le Moyen-Orient et connu des difficultés financières ont également été visées.

« Middle East Eye est habitué à ces tentatives de sabotage de son site web initiées par des acteurs étatiques et non étatiques », indique David Hearst, rédacteur en chef de MEE.

« Middle East Eye est habitué à ces tentatives de sabotage de son site web initiées par des acteurs étatiques et non étatiques »

– David Hearst, rédacteur en chef de Middle East Eye

« Des sommes d’argent considérables sont dépensées pour tenter de nous faire disparaître. Ils ne nous ont pas empêchés de rendre compte de ce qui se passe aux quatre coins de la région et ils ne nous arrêteront pas à l’avenir. Ils ne nous empêcheront pas de toucher un public mondial ».

Dans un communiqué, MEE affirme étudier la possibilité d’engager des poursuites à l’encontre des parties qui, selon le média, pourraient avoir joué un rôle dans cette attaque.

« Ces événements ne font que démontrer une fois de plus les défis rencontrés pour proposer des reportages indépendants et s’accompagnent de graves conséquences pour l’avenir de la liberté de la presse », déplore MEE.

« À l’heure actuelle, nous sommes convaincus que ces événements n’ont pas compromis notre capacité à poursuivre nos efforts afin de présenter des reportages originaux et de qualité en provenance de la région. »

Candiru est actuellement enregistrée à Tel Aviv sous le nom de Saito Tech. Interrogée ce mardi par MEE à la suite de ces allégations, une personne travaillant pour la société a répondu qu’elle n’avait pas connaissance de ces opérations. Ne souhaitant pas être citée, cette personne a ensuite affirmé que la société n’attaquait pas de sites web.

Les échos de Pegasus

On ne sait toujours pas comment le logiciel espion a pris le contrôle des sites web, qui était exactement visé, ni ce que les hackers ont obtenu.

Selon ESET, les techniques utilisées au cours de cette campagne « très ciblée » attestent d’une « forte probabilité » que les auteurs, dont l’identité reste inconnue, soient des clients de Candiru.

Le Citizen Lab a précédemment rapporté que l’Arabie saoudite et les Émirats arabes unis étaient « des clients probables de Candiru ». Par ailleurs, la société s’est récemment « rapprochée du Qatar », selon des informations relayées en août 2020 par Intelligence Online.

Pegasus : l’Arabie saoudite vise le chef du bureau de Middle East Eye en Turquie
Lire

En juillet, le Citizen Lab a signalé que le logiciel espion Candiru, ainsi que le logiciel Pegasus produit par la société israélienne NSO Group, étaient utilisés par des gouvernements, notamment ceux du Maroc, de l’Arabie saoudite et des Émirats arabes unis, dans le but d’accéder illégalement aux données téléphoniques d’activistes et de journalistes du monde entier.

Le logiciel espion a été utilisé pour exploiter les vulnérabilités de certains produits Google et Microsoft, ce qui a permis à des clients gouvernementaux de pirater plus d’une centaine d’activistes, de journalistes, de responsables politiques, de dissidents et d’employés d’ambassades.

Un téléphone portable appartenant à Ragip Soylu, responsable du bureau de MEE en Turquie, a fait partie des téléphones piratés à l’aide d’un logiciel espion produit par NSO Group.

« Une fois de plus, cet épisode bat en brèche les efforts déployés par les fabricants de ce logiciel pour se distancier de leurs clients et utilisateurs », affirme David Hearst. « Il souligne la nécessité d’identifier et de sanctionner les entreprises qui produisent des logiciels de cette nature, car leurs produits constituent une menace potentielle pour chaque utilisateur d’internet, indépendamment de sa localisation, de sa nationalité ou de ses convictions. »

Candiru, une société secrète

Depuis sa création en 2014, Candiru – dont le nom est inspiré d’un poisson-chat parasite et est l’un des cinq noms voire plus que l’entreprise a portés au cours des six dernières années – opère en grande partie loin des yeux du public.

Elle n’a pas de site web et ses employés seraient contraints de signer des accords de non-divulgation. De même, ils ne mentionnent pas la société sur leur profil LinkedIn.

À l’instar de son rival israélien plus connu, NSO Group, Candiru ne vend ses produits qu’à des clients gouvernementaux, notamment des systèmes capables d’espionner les ordinateurs, les téléphones portables et les comptes en ligne, selon le Citizen Lab.

Candiru a été soutenue très tôt par Isaac Zack, un investisseur israélien en capital-risque qui a également créé en 2013 Founders Group, une société d’investissement, avec Shulev Hulio et Omri Lavie, fondateurs de NSO Group

La société est tenue d’obtenir une licence d’exportation auprès du ministère israélien de la Défense avant de vendre ses systèmes à l’étranger.

Le gouvernement américain a inscrit les deux sociétés sur une liste noire au début du mois, jugeant leurs activités contraires aux intérêts américains en matière de politique étrangère et de sécurité nationale.

Toujours d’après le Citizen Lab, Candiru a été soutenue très tôt par Isaac Zack, un investisseur israélien en capital-risque qui a également créé en 2013 Founders Group, une société d’investissement, avec Shulev Hulio et Omri Lavie, fondateurs de NSO Group.

Sur son site web, Founders Group se décrit comme une équipe d’« anges guerriers proactifs qui font passer les entreprises au niveau supérieur ».

Dans un document divulgué dont les détails ont été publiés par Haaretz et TheMarker, une publication du même groupe, la société a indiqué l’an dernier qu’elle avait l’interdiction d’opérer aux États-Unis, en Israël, en Russie et en Chine.

Traduit de l’anglais (original) par VECTranslation.