L’entreprise de cybersécurité Kasperky, basée à Moscou et qui édite notamment le logiciel antivirus du même nom, a annoncé jeudi 1er juin avoir identifié une campagne de piratage de très haut niveau la visant.
Dans un communiqué, la société explique avoir détecté une série de piratages sur les téléphones Apple de plusieurs de ses cadres, y compris très haut placés dans la hiérarchie de l’entreprise. Des traces d’un nouveau logiciel espion, encore jamais identifié, selon Kaspersky, ont été découvertes sur ces téléphones, ciblés par une campagne d’espionnage baptisée « Triangulation » par la société.
Plusieurs éléments indiquent qu’il s’agit d’un logiciel très perfectionné. D’abord parce qu’il infecte les téléphones d’Apple fonctionnant sous iOS, considérés comme particulièrement robustes. Ensuite parce que Triangulation s’installe sur les téléphones à l’insu de l’utilisateur, sans action nécessaire de la part de ce dernier – il infecte les machines par une pièce jointe dans un message iMessage, qui déclenche automatiquement le téléchargement et l’installation du logiciel espion, supprimant par la suite le message initial et sa pièce jointe vérolée. Ni le communiqué du CERT russe ni les analyses de Kaspersky n’ont détaillé, pour le moment, les potentielles vulnérabilités exploitées sur les appareils Apple, mais les attaques dites « zéro click » visant iMessage sont parmi les plus recherchées du secteur. La messagerie d’iOS a, par exemple, été, pendant plusieurs années, une des portes d’entrée du logiciel espion Pegasus.
Les services de sécurité russes accusent la NSA
Toujours selon l’entreprise, l’analyse des téléphones a permis de retrouver des traces d’infection remontant à 2019, et les piratages se sont poursuivis jusqu’à aujourd’hui. Kaspersky ne donne pas de détails sur ce que permet de faire Triangulation une fois installé sur une machine, mais la description faite du logiciel rappelle le fonctionnement d’autres logiciels espions, conçus pour aspirer toutes les données d’un téléphone. Les employés d’entreprises de sécurité informatique sont des cibles de choix pour les espions, puisqu’ils détiennent souvent des mots de passe et autres « clés » numériques pour des services sensibles.
Kaspersky ne donne aucun élément permettant d’identifier une entreprise ou un Etat qui serait responsable de ces attaques – elle affirme que ses investigations sur le logiciel ne font que commencer, et qu’elle n’était vraisemblablement qu’une victime parmi d’autres. Le service de sécurité intérieure russe (FSB) a, de son côté, affirmé, sans présenter de preuves, que cette opération avait touché « plusieurs milliers de téléphones », dont ceux de diplomates russes, et accusé la NSA américaine d’en être responsable. Dans un communiqué, le patron et fondateur de Kaspersky, Eugene Kaspersky, a estimé que l’entreprise « n’était pas la cible principale de cette cyberattaque ». « Les jours qui viennent apporteront plus de clarté et de détails sur la prolifération mondiale de ce logiciel espion », a-t-il ajouté.
Société reconnue dans le secteur de la cybersécurité et important éditeur d’antivirus, Kaspersky est depuis plusieurs années dans une position complexe sur le marché mondial, et a été accusée à de multiples reprises de proximité avec l’Etat russe. En mars 2022, peu après l’invasion de l’Ukraine par la Russie, les autorités américaines avaient placé la société sur « liste noire » du gendarme des télécommunications, empêchant les administrations et les services publics américains d’utiliser les produits de l’entreprise. Déjà en 2018, Kaspersky avait annoncé la délocalisation d’une partie de ses activités en Suisse, tout en niant toute collusion avec les autorités russes, pour répondre aux craintes portées par les Etats-Unis mais aussi plusieurs pays européens. Une annonce qui faisait notamment suite à un scandale né de la fuite d’outils techniques développés par la NSA.