Des pirates liés au service de renseignement extérieur russe (SVR) ont utilisé des outils extrêmement proches de ceux développés par les entreprises NSO et Intellexa pour exploiter des failles de sécurité, révèle la division cybersécurité de Google dans un rapport publié jeudi 29 août. D’après les chercheurs de l’entreprise, ceux-ci ont été utilisés au cours d’une campagne élaborée, qui visait vraisemblablement des fonctionnaires du gouvernement de Mongolie.
De novembre 2023 à juillet 2024, les pirates sont parvenus à insérer du code malveillant dans les pages Web de deux sites gouvernementaux mongols. Ce code visait à voler les mots de passe et cookies des visiteurs du site – et cherchait notamment à récupérer les identifiants permettant de se connecter aux boîtes e-mail officielles des employés du ministère des affaires étrangères de Mongolie. Les failles de sécurité utilisées par le code malveillant avaient déjà, à l’époque, fait l’objet de correctifs de la part d’Apple et de Google, mais pouvaient encore permettre de voler des informations aux internautes utilisant des téléphones n’ayant pas été mis à jour.
Les services de renseignement russes sont très régulièrement accusés de tentatives de piratage visant des ministères des affaires étrangères d’autres pays. Mais la campagne détaillée par Google comporte une particularité notable : le code informatique utilisé est très proche, voire par endroits exactement le même que le code déjà utilisé peu de temps auparavant dans des outils de piratage développés par deux entreprises privées, Intellexa et NSO Group. Au point que les chercheurs de Google excluent l’hypothèse qu’il puisse s’agir d’une coïncidence.
« Prolifération »
Intellexa et NSO Group sont deux des principaux développeurs de logiciels espions du secteur privé. L’entreprise israélienne NSO Group édite notamment Pegasus, le puissant logiciel espion qui a été utilisé pour espionner des centaines de personnes en France, dont des membres du gouvernement français, comme l’avaient révélé Forbidden Stories et Le Monde. Intellexa, un consortium regroupant plusieurs sociétés de cybersurveillance depuis son siège à Chypre, commercialise entre autres le logiciel espion Predator.
Les deux entreprises ont toujours assuré ne pas vendre leurs produits en Russie. NSO a réaffirmé au site spécialisé Techcrunch que leurs « technologies sont vendues uniquement à des clients approuvés par les agences de renseignement et services d’enquête américains et israéliens ». Les outils conçus par les deux entreprises ont aussi pu être copiés par les auteurs de la campagne découverte par Google après avoir été observés par les services de sécurité russe, ou avoir été achetés à une source qui aurait aussi vendu les mêmes outils à NSO ou Intellexa.
« Nous ne savons pas comment APT29 [le groupe de pirates liés au SVR] a pu acquérir ces vulnérabilités, écrit Google, mais notre enquête montre à quel point des outils initialement conçus par des entreprises privées de cybersurveillance peuvent facilement se propager à des acteurs dangereux. »