Le commerce de l’espionnage : Le fonctionnement de l'industrie de la surveillance commerciale et comment faire face à ce phénomène

Les logiciels espions sont généralement utilisés pour surveiller et collecter des données auprès d’utilisateurs à haut risque tels que les journalistes, les défenseurs des droits de l’homme, les dissidents et les politiciens des partis d’opposition. Ces capacités ont fait croître la demande pour les logiciels espions, ouvrant la voie à une industrie lucrative utilisée pour vendre aux gouvernements et aux acteurs malveillants un produit capable d’exploiter les vulnérabilités des appareils grand public. Bien que l’utilisation de logiciels espions n’affecte généralement qu’un petit nombre de personnes à la fois, son impact plus large se répercute sur l’ensemble de la société en contribuant aux menaces croissantes qui pèsent sur la liberté d’expression, la liberté de la presse et l’intégrité des élections dans le monde entier.

Pour faire la lumière sur le secteur des logiciels espions, le Threat Analysis Group (TAG) de Google publie aujourd’hui « Buying Spying », un rapport approfondi sur les éditeurs de logiciels de surveillance (Commercial Surveillance Vendors, CSV). TAG surveille activement une quarantaine de CSV présentant des niveaux diversifiés de sophistication et d’exposition au public. Le rapport présente notre compréhension des activités de plusieurs acteurs impliqués dans le développement, la vente et le déploiement de logiciels espions, le mode de fonctionnement des CSV, les types de produits qu’ils développent et vendent, ainsi que notre analyse des activités récentes.

Principales conclusions

1. Si les principaux CSV attirent l’attention du public et font les manchettes, il en existe des dizaines d’autres qui sont moins connus, mais qui jouent un rôle important dans le développement des logiciels espions.
2. La prolifération des logiciels espions par les CSV cause des dommages réels. Nous nous sommes associés à l’unité Jigsaw de Google pour mettre en lumière les témoignages de trois utilisateurs à haut risque qui ont fait part de la peur ressentie lorsque ces outils ont été utilisés contre eux, de l’effet paralysant sur leurs relations professionnelles et de leur détermination à poursuivre leur important travail.
3. Si les gouvernements ont déjà prétendu avoir le monopole des capacités en cybersécurité les plus avancées, cette époque est révolue. Le secteur privé est désormais responsable d’une grande proportion des outils les plus sophistiqués que nous détectons.
4. Les CSV constituent une menace pour les utilisateurs de Google Google s’engage à mettre fin à cette menace et à assurer la sécurité de ses utilisateurs. Les CSV sont à l’origine de la moitié des exploits « Zero Day » (0-day exploits) connus ciblant les produits Google ainsi que les appareils de l’écosystème Android.

Le commerce de vulnérabilités « Zero Day » et la chaîne d’approvisionnement des logiciels espions

Les entreprises du secteur privé sont impliquées dans la détection et la vente d’exploits depuis de nombreuses années, mais on assiste à une augmentation des solutions d’espionnage clés en main. Les CSV proposent des outils payants qui regroupent une chaîne d’exploitation conçue pour contourner les mesures de sécurité, ainsi que les logiciels espions et l’infrastructure nécessaire, afin de collecter les données souhaitées auprès de l’utilisateur ciblé. Quatre groupes principaux ont trouvé profitable de travailler ensemble, ce qui a favorisé l’essor de ce secteur :

1. Chercheurs de vulnérabilités et développeurs d’exploits : Si certains chercheurs de vulnérabilités choisissent de rentabiliser leur travail en améliorant la sécurité des produits (par exemple, en contribuant à des programmes de primes aux bogues ou en travaillant comme défenseurs), d’autres utilisent leurs connaissances pour développer et vendre des exploits à des courtiers, ou directement à des CSV.
2. Courtiers et fournisseurs d’exploits : Entreprises ou individus situés dans le monde entier, spécialisés dans la vente d’exploits à des clients qui sont souvent, mais pas toujours, des gouvernements.
3. Éditeurs de logiciels de surveillance (CSV) ou les acteurs offensifs du secteur privé (PSOAs) : Entreprises axées sur le développement et la vente de logiciels espions en tant que produits, y compris les mécanismes de livraison initiaux, les exploits, l’infrastructure de commande et de contrôle (C2), ainsi que les outils pour organiser les données collectées.
4. Clients gouvernementaux : Les gouvernements qui achètent des logiciels espions aux CSV et sélectionnent des cibles spécifiques élaborent des campagnes qui diffusent les logiciels espions, puis suivent l’implantation des logiciels espions pour collecter et recevoir des données de l’appareil de leur cible.

Efforts internationaux pour lutter contre les logiciels espions

Les efforts de sensibilisation déployés par la communauté ont permis de créer un mouvement en faveur d’une réponse politique internationale. Aujourd’hui, nous avons rejoint des représentants de l’industrie, des gouvernements et de la société civile à la conférence, le Processus de Pall Mall : Lutter contre la prolifération et l’usage irresponsable des capacités d’intrusion cyber disponibles sur le marché. Cet événement, organisé conjointement par les gouvernements français et britannique, avait pour but de parvenir à un consensus et de progressivement limiter les dommages causés par ce secteur d’activité. Ces efforts s’appuient sur des actions gouvernementales antérieures, notamment les mesures prises l’année dernière par le gouvernement américain pour limiter l’utilisation des logiciels espions par les pouvoirs publics, et une déclaration commune de onze gouvernements s’engageant à déployer des efforts similaires. Nous espérons que ces premières mesures seront suivies d’actions plus concrètes de la part d’une communauté plus large de nations afin de réformer l’industrie et de faire la lumière sur les abus.

Déstabiliser l’écosystème des logiciels espions pour protéger les utilisateurs

Les CSV ont fait proliférer les capacités de piratage et les logiciels espions qui affaiblissent la sécurité de l’internet pour tous. C’est pourquoi nous découvrons et corrigeons les vulnérabilités utilisées par les logiciels espions, partageons des stratégies de renseignement et des correctifs avec des pairs du secteur et publions des informations sur les opérations que nous perturbons. Depuis novembre 2010, nous utilisons également notre programme de récompense dédié à la détection de failles (VRP) pour reconnaître les contributions des chercheurs en sécurité qui investissent leur temps et leurs compétences pour aider à sécuriser l’écosystème numérique. De plus, Google propose une série d’outils pour aider à protéger les utilisateurs à haut risque contre les menaces en ligne. Bien que ces mesures contribuent à protéger les utilisateurs et l’internet dans son ensemble, une action collective et un effort international concerté seront nécessaires pour réduire de manière significative le marché des logiciels espions.

Nous espérons que notre analyse détaillée sur les CSV et les solutions recommandées contribueront à soutenir le mouvement récent en faveur d’une action mondiale.

Nous tenons à remercier tout particulièrement Aurora Blum, de TAG, pour sa contribution à ce rapport.