La Sûreté générale dément être impliquée dans un cyberespionnage international

Une compagnie spécialisée dans la sécurité de téléphones mobiles, Lookout, Inc., et une ONG de défense des droits numériques, Electronic Frontier Foundation (EFF), toutes deux basées à San Francisco, aux États-Unis, ont révélé hier, dans un rapport de 49 pages, une importante opération de piratage/espionnage à partir du Liban – baptisée Dark Caracal – et dans laquelle la Sûreté générale serait impliquée.

Le directeur de la SG, le général Ibrahim Abbas, a cependant démenti toute implication, affirmant à l’agence Reuters qu’il préfère « prendre connaissance du rapport avant de commenter » les faits reprochés à son département. Il a quand même déclaré : « La Sûreté générale n’a pas les moyens qui lui sont attribués (dans ce rapport, NDLR). On aurait bien voulu les avoir. »

À en croire Lookout, Inc. et Electronic Frontier Foundation, les services de renseignements libanais ont peut-être transformé les téléphones portables de « milliers de personnes ciblées en machines de cyberespionnage ». Ce serait l’un des « premiers exemples connus de piratage informatique à grande échelle de téléphones plutôt que d’ordinateurs », selon Reuters qui reprend des passages du rapport des deux organismes.

(Lire le rapport ici)

La Sûreté générale est soupçonnée d’avoir mené, « depuis au moins 2012, plus de dix campagnes de piratage, visant principalement les utilisateurs de téléphones Android dans au moins 21 pays », selon le rapport. Parmi les pays cités, la Syrie, l’Arabie saoudite, la Russie, les États-Unis, le Canada, la Chine, le Vietnam, la Corée du Nord. Reuters fait aussi référence à cinq pays européens, notamment l’Allemagne et la France, et précise que des cibles se trouvent aussi au Liban, mais relève que le réseau de piratage/espionnage n’a pas touché à l’Iran ou à Israël.

Lookout Inc. et EFF ont refusé d’identifier les victimes, précisant que celles-ci se comptent par milliers et que le nombre de données interceptées s’élève à près d’un demi-million, selon l’Associated Press (AP).

Les cyberattaques, qui ont visé des systèmes d’opération Android, ont permis aux pirates de transformer les appareils téléphoniques en dispositifs de surveillance des victimes et de leur voler des données, dont des mots de passe, selon les chercheurs cités par Reuters. Aucune preuve n’a été trouvée que les utilisateurs de téléphones d’Apple ont été visés.

Selon le document de 49 pages, les pirates-espions ont utilisé la technique du hameçonnage (phishing) via WhatsApp, Telegram, Threema et Signal pour pousser leurs victimes à télécharger de fausses versions d’applications de messagerie cryptées, afin d’avoir un contrôle total sur les appareils des utilisateurs ciblés. Le logiciel malveillant (malware), une fois installé, pouvait être opéré à distance et permettre aux pirates de prendre des photos à distance avec la caméra de l’appareil ou activer silencieusement le microphone du téléphone pour enregistrer les conversations, selon les chercheurs.

(Pour mémoire : Cyberattaque : la communication de la BDL pointée du doigt)    

Le pot aux roses
Le pot aux roses a été découvert tout à fait par hasard, à la faveur d’une enquête sur une campagne de cyberespionnage visant des journalistes et des avocats kazakhs, précise pour sa part AP. Un rapport de l’EFF sur la campagne kazakhe, publié en 2016, avait attiré l’attention des chercheurs de Lookout, Inc., qui ont passé en revue le stock de données de téléphones portables qu’ils analysaient et ont découvert un logiciel de surveillance. C’est en remontant cette piste qu’ils sont arrivés au Liban, grâce un serveur laissé ouvert et dont les données étaient donc accessibles. Des données qui allaient « de photos de champs de bataille en Syrie à des conversations téléphoniques privées, des mots de passe et mêmes des photos de fêtes d’anniversaire d’enfants », selon Michael Flossman, chercheur en matière de surveillance de la sécurité à Lookout, Inc.

Les chercheurs ont trouvé des preuves techniques reliant les serveurs utilisés pour contrôler les attaques à « un bureau situé à l’intersection de la rue Pierre Gemayel et de la rue de Damas à Beyrouth », où se situe le siège de la SG. Les appareils détectés étaient tous reliés au même WiFi, toujours actif. L’agence AP dit avoir elle-même vérifié ce point, en envoyant un journaliste sur place, pour confirmer que le même réseau WiFi continuait d’émettre dans cette zone. Toujours selon AP, d’autres données pointent également vers la SG : le rapport indique que « les adresses de protocole Internet des panneaux de contrôle du spyware renvoient à une zone juste au sud du bâtiment de la Sûreté générale ».

Les chercheurs d’Outlook, Inc et EFF, toujours cités par AP, ont assuré que des preuves continuaient d’être rassemblées et que davantage de révélations allaient être faites.

(Lire aussi : Hadi el-Khoury : Les entreprises doivent investir dans la cybersécurité)

Manipulation
En attendant que la Sûreté générale se prononce au sujet de cette affaire, certains experts n’écartent pas la possibilité qu’une autre entité, qui ne serait pas forcément libanaise, soit à l’origine de cette attaque. Une éventualité qui peut se poser, selon un expert libanais en cybersécurité, Hadi Khoury, interrogé par L’Orient-Le Jour sur la question. « Le problème de l’attribution des attaques est très compliqué en matière de cybercriminalité. Il ne faut pas écarter la possibilité d’une utilisation de moyens informatiques sur le sol libanais, par des entités étrangères, justement pour brouiller les pistes et faire croire à des attaques diligentées par les Libanais », explique-t-il, en précisant que le système d’une administration libanaise déterminée peut être piraté et « utilisé pour mener des attaques semblant provenir du Liban, à l’insu cependant de l’administration en question ». « N’importe qui peut se cacher derrière une adresse IP, surtout vu le florilège de vulnérabilités logicielles et matérielles qui pullulent sur le web », ajoute Hadi Khoury.
Quoi qu’il en soit, selon M. Khoury, cette affaire « montre que tous les pays, qu’ils soient petits ou grands, peuvent se doter de capacités offensives et que le niveau de sécurité chez les particuliers et les organisations est tel aujourd’hui, qu’il suffit de dérouler des techniques de piratage simples pour pouvoir subtiliser des informations ».