Israël abrite des dizaines d’entreprises de piratage informatique, mais Candiru est l’une des plus secrètes d’entre elles. Comme elle ne dispose pas de site internet et qu’elle ne fait l’objet d’aucun document disponible, la société est comme invisible et opère en secret.

Un chercheur prétend aujourd’hui que l’entreprise, sise à Tel-Aviv, aurait vendu des cyberarmes au gouvernement de l’Ouzbékistan, tandis que des sources ont déclaré à Forbes qu’elle piratait les ordinateurs Windows et Mac pour le compte de différents États.

L’éthique de Candiru est donc remise en question, puisque l’entreprise se serait associée avec des gouvernements nationaux pour exploiter des moyens de surveillance. Cela résonne avec le cas des trafiquants d’armes en ligne, qui sont scrutés à la loupe depuis cinq ans.

Windows sous les projecteurs

La spécialité de Candiru ? Pirater Microsoft Windows pour des agences de renseignements gouvernementales, ce qui représente une source de revenus clefs pour l’entreprise. Selon Brian Bartholomew, chercheur à l’entreprise de cybersécurité russe Kaspersky Lab, l’un des clients de Candiru serait l’Ouzbékistan. Il a affirmé qu’une faille constatée dans la sécurité opérationnelle d’une agence de renseignement ouzbèke lui avait permis de trouver un lien entre les attaques ouzbèkes et Candiru, ainsi que deux autres clients : L’Arabie Saoudite et les Émirats arabes unis.

Avant la publication de ses travaux à la conférence Virus Bulletin, tenue à Londres ce jeudi, Brian Bartholomew a pu expliquer à Forbes à quel point l’Ouzbékistan avait été négligent. Il n’a cependant pas pu établir de liens clairs entre les outils divulgués et l’entreprise israélienne.

 

La plus grande erreur de l’Ouzbékistan a peut-être été d’exposer un de ses ordinateurs de tests à internet, dans le but de mettre à l’épreuve ses outils de piratage contre divers systèmes antivirus, comme celui de Kaspersky. L’équipe de Brian Bartholomew a repéré cet ordinateur et a constaté qu’il se connectait régulièrement à une adresse web unique. C’est là que le gouvernement ouzbek a été exposé : non seulement cette adresse était enregistrée en Ouzbékistan, mais elle aurait été déclarée par le chef apparent de la « Military unit 02616 ». Malgré le manque d’informations sur cette division, le chercheur russe a rapidement découvert qu’elle appartenait à l’agence de surveillance ouzbèke, le Service national de la Sécurité (MXX, pour Milliy Xavfsizlik Xizmati en ouzbek).

Selon Brian Bartholomew, le MXX est le digne héritier du KGB, qui aurait changé d’autorité au début des années 1990 après la chute de l’Union soviétique. Il explique : « Ils sont extrêmement puissants. Ils peuvent faire plus ou moins ce qu’ils veulent ». Le MXX est également célèbre pour avoir acheté des logiciels malveillants auprès de revendeurs étrangers, comme l’ont révélé les emails fuités du fournisseur italien Hacking Team en 2015. Hébergés sur Wikileaks, les emails mentionnent des ententes entre Hacking Team et le KGB. Après avoir examiné les factures qui ont également fuité, le chercheur russe estime que l’Ouzbékistan aurait dépensé près d’un million de dollars pour les services de l’entreprise italienne.

Mais puisque le MXX a exposé ses exploits à l’encontre de Windows sur le web, les chercheurs de Kaspersky ont pu les associer à d’autres logiciels malveillants créés par Candiru, notamment des logiciels que l’on pensait jusque là être contrôlés par l’Arabie saoudite et les Émirats arabes unis. Et Brian Bartholomew d’ajouter : « Des clients négligents sont de mauvais clients ».

Des experts en droits de l’homme ont tiré la sonnette d’alarme quant à la clientèle de Candiru et à leurs potentielles déviances. Brian Bartholomew et une autre source ont déclaré avoir découvert que le logiciel de surveillance de Candiru avait été utilisé dans des attaques contre des militants ouzbeks des droits humains et des médias indépendants.

John Scott-Railton, chercheur en surveillance au Citizen Lab de l’Université de Toronto, a annoncé : « Chacun de ces gouvernements abuse largement des logiciels espions, et il semblerait que la société civile ait à nouveau été prise pour cible. Alors que ce secteur essaie de redorer son image auprès des investisseurs et des organismes de réglementation, il était évident que les logiciels espions fournis à ces régimes autocratiques allaient être utilisés à des fins douteuses ».

Apple pourrait également être concernée

Si Candiru fait surtout dans le piratage de Windows, l’entreprise travaille aussi sur des outils pour hacker le système d’exploitation MacOS d’Apple. C’est en tout cas ce qu’affirme Tal Dilian, qui dit s’être associé à Candiru dans le cadre de son travail avec sa propre entreprise de surveillance, Intellexa. C’est dans ce contexte qu’il a déclaré, sans aucune certitude, que Candiru s’intéressait également à iOS.

John Scott-Railton, le chercheur canadien, a également annoncé être persuadé que Candiru était en train de développer de nouvelles techniques pour contourner les technologies Apple et Microsoft.

 

Les mercenaires numériques israéliens s’allient

Outre les liens apparents entre Candiru et les entreprises de logiciels espions de Tal Dilian mentionnées ci-dessus (WiSpear et Intellexa), il existe au moins une autre connexion avec le plus controversé des fournisseurs de surveillance israéliens : NSO Group. Deux sources du secteur ont déclaré que le principal soutien financier de Candiru était Founders Group, une société cofondée par Omri Lavie, qui n’est autre que l’un des fondateurs de NSO Group.

Des sources du secteur de la surveillance ont également indiqué à Forbes que l’un des principaux investisseurs de Candiru était Isaac Zack, associé directeur de Founders Group. Selon la société PitchBook, ce dernier est également membre du conseil d’administration d’Humavox, une start-up israélienne qui développe une technologie de charge sans fil, et de Sepio Systems. Cette dernière est une société de cybersécurité, dont l’objectif est l’exact inverse de celui de Candiru : empêcher que le matériel informatique ne devienne un dispositif de surveillance. Son conseil d’administration comprend également Tamir Pardo, l’ancien directeur du Mossad, l’une des trois agences de renseignement d’Israël.

Les entreprises comme Candiru doivent se tourner vers des investisseurs avec qui elles sont déjà en bons termes, en raison de la méfiance croissante des sociétés de capital-risque à l’égard de ce secteur. Yoav Leitersdorf, associé directeur chez YL Ventures, explique : « YL Ventures n’a pas investi et n’investira pas dans des entreprises qui fournissent des cybertechnologies offensives. La principale raison pour cela est d’ordre éthique, puisque les clients utilisent fréquemment ces technologies de manière illégale. Les entreprises concernées ne sont pas toujours au courant, mais il est clair qu’un tel usage va directement à l’encontre de nos valeurs et de celles de nos partenaires ».

Les entreprises israéliennes sont donc au cœur d’une controverse internationale concernant la vente de logiciels espions à des gouvernements répressifs. Jusqu’à présent, Candiru n’avait pas attiré trop d’attention, mais son rival NSO Group, s’est enlisé dans plusieurs controverses. Au Mexique, un scandale politique majeur avait éclaté en 2014 alors que le gouvernement avait utilisé des logiciels malveillants Pegasus pour surveiller des journalistes, des militants et des avocats enquêtant sur le meurtre de 43 étudiants. En janvier de cette année, le directeur de NSO Group, Shalev Hulio, a dû déclarer publiquement que son cabinet n’avait pas travaillé avec le gouvernement saoudien pour surveiller le journaliste Jamal Khashoggi au cours des mois précédant son assassinat par des agents saoudiens.

Forbes a tenté de contacter Isaac Zack et Eitan Achlow, PDG de Candiru, mais aucun des deux hommes n’a souhaité répondre à nos sollicitations. Un porte-parole de NSO Group a déclaré : « NSO n’a rien à voir avec Candiru ».

Brian Bartholomew ajoute qu’il est aujourd’hui important de révéler les méthodes de piratage de Candiru à tous les utilisateurs de Windows, et pas seulement ceux ciblés par des gouvernements étrangers. À ce jour, huit failles ont été trouvées dans le système d’exploitation de Microsoft, puis corrigées par des chercheurs qui surveillaient Candiru. Brian Bartholomew conclut : « Il s’agit d’une grande victoire pour la communauté. Ce n’est pas une bonne nouvelle pour Candiru, mais peu importe ».