Le groupe d'analyse des menaces (TAG) de Google a publié un rapport approfondi « Buying Spying » sur les éditeurs de logiciels de surveillance (commercial surveillance vendors aka CSV) servant à des activités d'espionnage. Une quarantaine de CSV, dont le niveau de sophistication et d'exposition au public varie, a été suivi pour donner une vision et une compréhension des activités de plusieurs acteurs impliqués dans le développement, la vente et le déploiement de ces spywares. Mais aussi le mode de fonctionnement des CSV, les types de produits qu'ils développent et vendent, ainsi qu'une analyse des activités récentes.

Dans son enquête, Google explique par exemple avoir découvert que le logiciel vendu par un éditeur inconnu jusqu'alors, Variston, a utilisé des zero day en mars 2023 pour cibler des iPhone en Indonésie. Les pirates ont envoyé un SMS contenant un lien malveillant qui infectait le téléphone de la cible avec un logiciel espion. Selon la firme de Mountain View, Variston (fondé en 2018 et basé à Barcelone) collabore avec plusieurs autres entreprises pour développer et diffuser des logiciels espions. Parmi lesquelles Protected AE, basée aux Émirats arabes unis fondée en 2016 et dont le siège se trouve à Abu Dhabi. Outre Variston, le rapport de Google indique que les logiciels espions européens étendent leur champ d'action comme peuvent le faire d'autres sociétés israéliennes NSO Group, Candiru et QuaDream.

Des capacités de cyberattaques particulièrement avancées

Si les principaux CSV attirent l'attention du public et font les gros titres, il en existe des dizaines d'autres qui se font moins remarquer, mais qui jouent un rôle important dans le développement des logiciels espions selon l'équipe de chercheurs en sécurité de Google. D'après eux, la prolifération de ces programmes cause des dommages réels. « Si les gouvernements n'ont jamais prétendu avoir le monopole des cyber-capacités les plus avancées, cette époque est révolue », indique Google.

Pour le fournisseur, le secteur privé est désormais responsable d'une grande partie des outils les plus sophistiqués qu'il a pu détecter. Pas étonnant que l'éditeur s'intéresse de près au sujet, car selon lui les CSV sont à l'origine de la moitié des exploits zero day connus ciblant ses produits ainsi que les terminaux de l'écosystème Android.