Des hackers ont tenté d'infiltrer Amnesty International à l'aide d'un puissant malware

L'ONG de défense des droits de l'homme affirme que des hackers ont essayé d'infecter le téléphone d'un de leurs employés avec un malware de l'entreprise israélienne NSO.

|
août 3 2018, 9:54am

On sait depuis plusieurs mois que les malwares développés par les hackers de l’entreprise israélienne NSO ont servi à espionner des journalistes mexicains, des dissidents politiques aux Émirats arabes unis et même des rivaux de l’ancien président panaméen. Aujourd’hui, l’ONG de défense des droits de l’homme Amnesty International affirme que les outils de NSO ont été utilisés à l’encontre de l’un de ses chercheurs.

Cette annonce, corroborée par un deuxième groupe de technologues, rappelle que des dispositifs légitimes dans le cadre de la lutte contre le terrorisme et la criminalité peuvent être déployés pour traquer, espionner et harceler des chercheurs, des journalistes et des militants des droits de l’homme. Les recherches d’Amnesty International indiquent également que les outils de NSO ont été utilisés dans des pays où ils n’avaient pas encore été repérés.

« Amnesty défend les droits de l’homme et dénonce les gouvernements qui les bafouent — cette attaque s'inscrit dans un climat d'hostilité grandissante à l'encontre des organisations et individus qui oeuvrent à la protection des droits de l’homme » explique Danna Ingleton, conseillère à Amnesty International, dans un mail à Motherboard.

NSO propose un malware pour iPhone, Android et autres appareils portables appelé « Pegasus » aux agences gouvernementales et de renseignement, ses seules clientes. Des documents révélés suite au piratage de l’entreprise de surveillance italienne Hacking Team montrent que Pegasus peut prendre le contrôle du micro de la machine visée, siphonner ses mails ou ses messages avant leur chiffrement et activer la géolocalisation. Les « solutions » de NSO reposent sur un seul clic, voire aucun : si elle n’est pas déjà prise au piège, la victime n’aura qu’à cliquer sur un lien.

En juin dernier, un chercheur d'Amnesty International spécialiste de l’Arabie saoudite a reçu un lien dans une conversation WhatsApp. En théorie, le lien renvoyait à un site d’information arabe. Le rapport d’Amnesty International indique qu’il était accompagné de ce message : « S’il vous plaît, pouvez-vous couvrir [la manifestation] devant l’ambassade saoudienne à Washington pour vos frères détenus en Arabie saoudite. » Si le chercheur avait cliqué, son smartphone aurait probablement été infecté par Pegasus.

Malheureusement, Amnesty n’est pas parvenu à mettre la main sur le malware caché dans le lien. Les noms de domaine impliqués, cependant, feraient partie d’une infrastructure déjà utilisée par NSO, tout comme une poignée d’autre noms de domaine envoyés à un activiste saoudien au mois de mai dernier. Amnesty a partagé les messages avec le groupe de recherche Citizen Lab, qui a déjà enquêté sur NSO et plusieurs autres entreprises de malware.

« Les liens contenus dans les messages correspondaient à un ensemble de sites [liés à NSO] que je surveille depuis un an et demi » a déclaré Bill Marczak, chercheur senior à Citizen Lab, au cours d’une conversation téléphonique avec Motherboard. Dans son propre rapport, Citizen Lab affirme que des messages similaires au deuxième set identifié par Amnesty International ont été envoyés à d’autres individus dans la région du Golfe. Grâce à un scan basé sur une bizarrerie opératoire des sites de la nébuleuse NSO, Amnesty a pu identifier quelque 600 domaines potentiellement liés à NSO.

D’après Marczak, ce genre d’infrastructure — les sites et les serveurs utilisés pour déployer le malware sur l’appareil des victimes — est basé sur une approche par client individuel. La plupart des clients de NSO n’y auraient pas accès. Dans ce cas, difficile d’identifier un utilisateur particulier. À l’inverse, avec d’autres entreprises comme Hacking Team et FinFisher, il est possible d’identifier le pays de résidence du client. Cependant, ajoute Marczak, les sites mentionnés dans les messages semblaient concentrés sur l’Arabie saoudite.

Il est difficile de dire qui se cache derrière ces tentatives de piratage. Un gouvernement étranger ciblant des activistes à l’intérieur du pays ? Mais, fait remarquer Marczak, « qui pourrait bien en vouloir aux activistes saoudiens, sinon l’Arabie saoudite ? »

Ingleton d’Amnesty International ajoute : « Cette histoire n’est pas qu’une affaire de diffusion des technologies de surveillance. Il est également question de leur utilisation débridée par des gouvernements qui veulent étouffer les droits de l’homme. Tout cela montre bien que ces violations ne sont pas surveillées, et que cela doit cesser. On dirait le Far West. »

Les 600 domaines identifiés par Amnesty International contiennent parfois un « zm », une référence possible à la Zambie ; un autre nom de domaine renvoie à des zones particulières du Congo ; d’autres pointent plus généralement vers l’Afrique ; d’autres encore semblent conçus pour les pays russophones. Parmi eux, sputnik-new.info, une contrefaçon de Sputnik, le site d’information soutenu par le Kremlin. D’autres noms de domaines font référence au Kazakhstan, à la Lettonie et à la Hongrie.

Omri Lavie, le co-fondateur de NSO, n’a pas répondu à nos demandes de commentaire.