Ces dernières étaient discrètement cachées mais néanmoins bien visibles, se faisant passer pour des applications inoffensives et tout à fait basiques sur Google Play Store.
Ces applications, qui s’avéraient n’être que des leurres utilisés pour installer le logiciel espion gouvernemental appelé Exodus sur les téléphones de ses victimes, étaient loin d’être inoffensives. Dans une démarche en deux temps, elles ont tout d’abord listé les applications installées, l’historique de navigation, les contacts provenant de nombreuses autres applications, les messages texte, y compris les textes chiffrés, les données de localisation et les mots de passe des applications et du Wi-Fi. Le malware en question pouvait également activer des appareils photo et des micros pour capturer à la fois l’audio et la vidéo, et réaliser des captures d’écran d’applications, lorsque ces dernières étaient utilisées.
Ce logiciel espion provenait d’une société de surveillance italienne appelée eSurv, et bien qu’elle soit parvenue à pirater avec succès les téléphones de ses victimes, elle s’est avérée plutôt médiocre pour sécuriser ses propres données. Le logiciel espion a ouvert un shell de commande distant sur les téléphones infectés, mais il n’a pas utilisé de chiffrement ou d’authentification, de sorte que quiconque sur le même réseau Wi-Fi qu’un appareil infecté aurait pu s’en approcher tranquillement et le pirater.
Mais c’est justement cette sécurité plutôt médiocre qui a permis aux autorités de faire une découverte étonnante : comme Bloomberg l’a rapporté plus tôt ce mois-ci, les employés d’eSurv auraient espionné d’innocents citoyens italiens, sans leur consentement, avec cette puissante technologie de surveillance.
De plus, ils auraient mené de telles actions avec un culot incroyable. En effet, selon les documents judiciaires parcourus par Bloomberg : les employés d’eSurv auraient diffusé de manière bruyante dans leur bureau des conversations téléphoniques enregistrées secrètement. Ainsi, alors que l’entreprise en question vendait ses logiciels espions aux forces de maintien de l’ordre, elle aurait également conclu un accord avec une entreprise nommée “Ndrangheta“, qui serait liée à la mafia.
La découverte de ces applications d’espionnage
L’homme se cachant derrière Exodus est le développeur italien Diego Fasano. Après avoir créé avec succès une application permettant aux médecins de consulter les dossiers médicaux, un ami lui aurait conseillé de se lancer dans le domaine de la surveillance, où les enquêteurs auraient déjà massivement demandé de l’aide pour avoir accès aux communications chiffrées par des applications de messagerie telles que WhatsApp et Signal. En 2014, il a fondé eSurv, qui vend des technologies de surveillance aux services de police et agences de renseignement.
Comment tout ce système a fonctionné : avec l’aide des entreprises de télécommunications italiennes, eSurv a incité des utilisateurs à télécharger ce qui semblait être une application inoffensive pour corriger apparemment des erreurs au niveau du réseau sur leur téléphone. Fasano a déclaré que la police, en coopération avec les réseaux de téléphonie mobile, a par la suite interrompu le service de données d’une personne ciblée. Ensuite, elle a envoyé des instructions pour utiliser le Wi-Fi afin de télécharger une application pour restaurer le service en question. En effet, l’application a été conçue pour ressembler à des fournisseurs de services de télécommunications, avec des noms tels que “Operator Italia“.
Mais en réalité, le véritable objectif était le suivant : donner aux forces de l’ordre un accès au micro, à l’appareil photo, aux fichiers stockés et aux messages chiffrés d’un appareil spécifique. Fasano a vendu Exodus à des bureaux de procureurs à travers le pays, notamment à l’agence de renseignement extérieur du pays, (Agenzia Informazioni e Sicurezza Esterna).
Un problème de sécurité a cependant entraîné la perte d’Exodus. Selon les autorités, en 2018, le bureau du procureur de la ville de Benevento a utilisé Exodus pour pirater les téléphones de suspects lors d’une enquête. En octobre, un technicien a remarqué que la connexion réseau rencontrait toujours des problèmes.
Après avoir fait des recherches, le technicien en question a constaté qu’Exodus ne fonctionnait pas sur un serveur interne sécurisé et accessible uniquement par le bureau du procureur de Benevento, comme c’était censé être le cas. En réalité il se connectait à un serveur accessible à tous sur Internet, protégé uniquement par un nom d’utilisateur et un mot de passe.
En résumé, les données qui étaient secrètement collectées par les procureurs italiens à partir des téléphones de suspects au cours de certaines des enquêtes parmi les plus sensibles du pays : à savoir des affaires en lien avec la mafia, des affaires terroristes et des affaires de corruption, risquaient d’être interceptées par d’éventuels pirates. Ces données sensibles comprenaient des milliers de photos, des enregistrements de conversations, des messages privés et des emails, des vidéos et d’autres fichiers collectés à partir de téléphones et d’ordinateurs piratés, un total d’environ 80 téraoctets de données, soit environ 40000 heures de vidéo HD, stockées sous forme non chiffrée sur ce qui s’est avéré être un serveur Amazon Web Services basé dans l’Oregon.
Les autorités ne savent pas si ce serveur a été piraté.
Les procureurs ont engagé des poursuites pénales contre eSurv pour avoir collecté et stocké illégalement des communications privées, les avoir transférées à l’étranger et pour avoir omis de sécuriser “des données personnelles sensibles de nature judiciaire”.
Les procureurs de Naples pensent que l’enquête sera terminée plus tard cette année. Pendant ce temps, Fasano et un autre cadre d’eSurv, Salvatore Ansani, ont été accusés de fraude, d’accès non autorisé à un système informatique, d’interception et de traitement illicites de données. Maintenus en résidence surveillée pendant trois mois, ils ont été libérés et attendent maintenant la prochaine étape de la procédure judiciaire, qui aboutira probablement à un procès.
Une enquête plus approfondie a révélé qu’un groupe de 20 employés au sein d’eSurv, dédié au projet Exodus et dirigé par Ansani, dénommé The Black Team, a utilisé le logiciel espion pour cibler des citoyens italiens innocents qui n’avaient jamais été désignés comme suspects dans une quelconque enquête judiciaire. Néanmoins, les téléphones de ces citoyens ont été mis sur écoute et leurs conversations privées enregistrées, pour des raisons qui, selon les autorités, sont encore inconnues.
Selon les documents de la police, The Black Team a espionné plus de 230 personnes que la police n’était pas autorisée à surveiller. Certaines de ces personnes étaient désignées dans les fichiers internes d’eSurv sous le nom de “Volontaires“, mais en réalité il s’agissait peut-être plutôt de cobayes “Involontaires“.
Les enquêteurs examinent toujours l’importante quantité de données qu’ils ont saisie au sein d’eSurv pour tenter de comprendre le but de cette collecte illégale. Quel était l’objectif réel : Faire chanter ? S’amuser ? Espionner ? Mener une surveillance illégale au nom de la mafia ?
À ce stade, un procureur, Eugenio Facciolla, qui est au centre d’un scandale de corruption, a été accusé de falsification de documents dans le but d’entraver ou de brouiller les pistes lors d’une enquête policière portant sur une opération d’exploitation forestière illégale dirigée par la Ndrangheta, qui aurait impliqué la suppression de milliers d’arbres dans certains parcs nationaux italiens.
En novembre, l’agence chargée de nommer les procureurs a déclaré qu’elle relevait Facciolla de ses fonctions exercées dans son bureau de Castrovillari, au motif qu’il avait “abusé de ses prérogatives”. Facciolla a fait appel de cette décision. Selon lui, il a fourni la solution Exodus à d’autres sociétés, mais, selon son avocat, Vincenzo Loppoli, le logiciel espion est au final “comme une arme à feu”.
Une fois que vous l’avez vendue, vous ne savez pas comment elle sera utilisée.
Dernier podcast Sophos-Naked Security
Billet inspiré de Government spyware company spied on hundreds of innocent people, sur Sophos nakedsecurity.