Le géant du web Google a publié le 6 février un rapport intitulé "Buying Spying", désignant une quarantaine de fournisseurs de solutions de surveillance prêtes à l'emploi qui exploitent les vulnérabilités des appareils électroniques pour y installer des logiciels espions. Le rapport détaille les différents produits vendus par ces éditeurs, la manière dont ils fonctionnent et des exemples récemment relevés.
Les chercheurs du "groupe d’analyse des menaces" (TAG) de Google notent ainsi qu’il existe, en dehors des principaux éditeurs comme NSO Group, des dizaines de petites sociétés jouant un rôle important dans le développement de logiciels espions. Et souligne que ces outils ne sont plus seulement l'apanage des acteurs étatiques. En décembre 2023, le logiciel Pegasus, de NSO Group, avait été utilisé pour espionner les iPhones de journalistes indiens.
Des attaques en zero day et en one-click
Les chercheurs prennent l’exemple de Variston, éditeur fondé en 2018 en Espagne, qui se présente comme un fournisseur de “solutions de sécurité de l’information sur mesure”. Le groupe de recherche de Google affirme avoir découvert que des iPhones avaient été ciblés en Indonésie par le client inconnu de Variston, en mars 2023, via des attaques zero day (exploitant des failles de sécurité inconnues du créateur d'un logiciel).
Cette campagne fonctionnait avec un SMS contenant un lien malveillant. Au final, la personne visée était renvoyée vers un article d’actualité sur le site d’un journal indonésien. La start-up a aussi été accusée d’être à l’origine d’une campagne d’espionnage aux Émirats Arabes Unis, en décembre 2022. D’autres fournisseurs sont mentionnés dans le rapport, comme la société italienne Cy4Gate, qui a développé le logiciel espion Epeius, utilisant des vulnérabilités zero day dans les systèmes d’exploitation iOS et Android.
Une fois installé sur l’appareil, Epeius dispose de plusieurs plug-ins qui peuvent être utilisés en fonction de ce que le pirate veut recueillir. Negg Group, un deuxième fournisseur italien de logiciels espions, a aussi été épinglé par le groupe d’analyse. Son outil, VBiss, a servi à infecter des téléphones en Italie, en Malaisie et au Kazakhstan. Les pirates ont accédé au téléphone en one-click exploit, soit avec une seule action de l’utilisateur ciblé (par exemple un clic sur un lien).
Le secteur privé davantage responsable que le public
Google observe une mutation dans les pratiques de ces fournisseurs: “Si les gouvernements ont jamais eu le monopole des capacités les plus sophistiquées, cette époque est sans aucun doute révolue. Le secteur privé est désormais responsable d’une grande partie des outils les plus sophistiqués que nous détectons.” En 2023, son groupe d’analyse a découvert 25 attaques par zero day à des fins malveillantes, dont 20 étaient exécutées par des éditeurs privés.
Les chercheurs sont particulièrement inquiets du danger que représentent ces logiciels espions développés à des fins commerciales : selon eux, la moitié des attaques zero day contre les produits Google et les appareils Android leur seraient attribuées. Ils souhaitent également un encadrement légal plus ferme : “Nous pensons qu’il est temps que les gouvernements, l’industrie et la société civile s’unissent pour modifier la structure qui a permis à ces technologies de se répandre aussi largement.”
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
