Derrière les lignes ennemies : le centre de commandement secret du spyware Predator dévoilé

De nouvelles recherches révèlent que le fournisseur du spyware Predator pourrait exercer un contrôle bien plus important sur les opérations mondiales de cyber-espionnage qu’on ne le pensait auparavant.

Lorsqu’il s’agit de spyware commercial, la défense favorite de l’industrie est la négation plausible : « Nous vendons les outils, mais nous n’appuyons pas sur la gâchette. » Mais une récente analyse technique approfondie du tristement célèbre spyware Predator renverse ce récit, soulevant des questions inquiétantes sur l’étendue réelle du pouvoir - et des connaissances - que des fournisseurs comme Intellexa possèdent sur les campagnes de surveillance qu’ils rendent possibles.

En bref

Le spyware Predator, détenu par Intellexa, intègre des mécanismes avancés d’anti-analyse et de reporting découverts par les chercheurs de Jamf.
De nouvelles preuves suggèrent que les déploiements de Predator sont surveillés via un système centralisé de commande et de contrôle (C2) géré par le fournisseur.
Les codes d’erreur et rapports de crash envoyés au C2 permettent aux opérateurs d’adapter les attaques et de résoudre les échecs de déploiement.
Des documents divulgués et des enquêtes indiquent qu’Intellexa pourrait avoir un accès à distance aux systèmes de ses clients gouvernementaux.
Les fournisseurs de spyware ont longtemps nié toute implication opérationnelle, mais les découvertes techniques remettent désormais en cause ces affirmations.

Les spywares commerciaux font la une depuis des années - souvent liés à la répression d’activistes, de journalistes et d’opposants politiques. Des fournisseurs comme NSO Group et Intellexa affirment ne fournir aux gouvernements que des outils pour lutter contre la criminalité et le terrorisme, prétendant ignorer comment leurs clients utilisent ces produits. Mais une analyse médico-légale menée par l’équipe de sécurité mobile de Jamf, à partir d’un échantillon Predator iOS publié par Google et Citizen Lab, suggère le contraire.

L’équipe de Jamf a mis au jour une multitude de fonctionnalités anti-analyse sophistiquées intégrées dans le code de Predator. Parmi elles : une taxonomie de codes d’erreur, un système furtif de rapport de crash, et même des hooks conçus pour masquer les signes révélateurs - comme les indicateurs d’enregistrement - aux victimes. Au lieu de simplement s’arrêter en cas de détection, Predator fait un rapport détaillé à son serveur de commande et de contrôle, expliquant précisément pourquoi un déploiement a échoué.

Ce n’est pas qu’une simple prouesse de conception de malware - c’est le signe d’une supervision centralisée. « La taxonomie des codes d’erreur semble faire partie d’un système unifié », a déclaré Nir Avraham de Jamf à Dark Reading, « indiquant une infrastructure contrôlée ou gérée par le fournisseur. » L’implication : Intellexa pourrait savoir exactement quand, où et pourquoi les attaques Predator échouent, ce qui lui donnerait potentiellement la capacité d’affiner, de dépanner, voire d’intervenir dans les opérations de ses clients.

Des fuites récentes et des enquêtes renforcent ce soupçon, révélant la capacité technique d’Intellexa à accéder à distance aux systèmes de ses clients - y compris ceux au sein de réseaux gouvernementaux sensibles. S’il reste incertain qu’Intellexa opère directement chaque serveur C2, l’infrastructure de support standardisée et de niveau entreprise indique un niveau d’implication bien supérieur à la simple livraison de logiciels.

Pour les défenseurs, ces révélations sont à double tranchant. D’un côté, comprendre les conditions d’abandon de Predator - comme le refus du spyware de s’exécuter lorsque le mode développeur iOS est activé - offre des pistes concrètes de résistance. De l’autre, la profondeur de la visibilité du fournisseur signifie que les cibles pourraient affronter non seulement leur propre gouvernement, mais aussi une entité commerciale obscure et hautement compétente tirant les ficelles à distance.

À mesure que la frontière entre vendeur et opérateur s’estompe dans le monde des spywares, le mythe de la neutralité des fournisseurs s’effondre. Le cas Predator sert d’avertissement : dans l’écosystème trouble de la surveillance commerciale, le véritable marionnettiste n’est peut-être pas celui que l’on croit.

WIKICROOK

Spyware : Un spyware est un logiciel qui surveille ou vole secrètement des informations sur votre appareil sans votre consentement, mettant en danger votre vie privée et vos données.
Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
Anti : « Anti » désigne les méthodes utilisées par les malwares pour éviter la détection ou l’analyse par les outils et chercheurs en sécurité, rendant les menaces plus difficiles à étudier ou à stopper.
Taxonomie des codes d’erreur : La taxonomie des codes d’erreur organise les codes d’erreur en catégories, facilitant le diagnostic rapide et la réponse aux problèmes logiciels dans les environnements de cybersécurité.
Reverse Engineering : Le reverse engineering consiste à disséquer un logiciel ou un matériel pour comprendre son fonctionnement, souvent afin de trouver des vulnérabilités ou d’analyser du code malveillant.