Un hack massif que Google a déjoué était en fait une opération de contre-terrorisme
Les chercheurs en sécurité révèlent régulièrement des vulnérabilités logicielles que les pirates peuvent exploiter, voire même avoir exploitées dans le passé. Dans certains cas, il s’agit de problèmes logiciels qui n’ont pas été utilisés pour pirater ou espionner les utilisateurs. Dans d’autres, les chercheurs identifient les logiciels malveillants et les hacks qui sont activement utilisés dans la nature. Au moment où ils publient des informations sur les attaques, les sociétés dont le code a été attaqué ont déjà publié des mises à jour pour corriger les problèmes. Et les chercheurs en sécurité signalent généralement lorsqu’ils pensent que les hacks sont trop sophistiqués pour qu’un hacker ordinaire puisse les réussir.
Google dirige une équipe de sécurité tristement célèbre chez Project Zero qui analyse toutes sortes de systèmes d’exploitation et de produits à la recherche de vulnérabilités. Depuis janvier, l’équipe a produit une recherche mettant en évidence 11 exploits zero-day utilisés pour compromettre Android, iPhone et Windows. En janvier, les scientifiques de Project Zero ont souligné la sophistication des attaques qui utilisaient des vulnérabilités jusque-là inconnues dans le code Chrome et Safari. Il s’avère que les pirates derrière la campagne que Google a découverts venaient d’un État-nation. Ils faisaient partie d’une opération de contre-terrorisme initiée par un allié occidental, et l’opération était en cours lorsque Project Zero a commencé à révéler les problèmes logiciels.
Chaque fois que des pirates informatiques soutenus par des rivaux américains sont responsables d’attaques récemment découvertes, certains chercheurs affirment que les hacks proviennent de Chine, de Corée du Nord ou de Russie. Mais le Project Zero de Google n’a pointé du doigt tout en révélant ces 11 bugs zero-day. La décision de mettre fin à la cyberattaque venant d’un allié occidental a apparemment provoqué une certaine controverse au sein de Google, a découvert le MIT Technology Review.
On ne sait pas quel gouvernement occidental avait utilisé l’attaque sophistiquée ou quel genre d’opération de contre-terrorisme ils menaient. Le rapport du MIT indique que Google a peut-être omis intentionnellement l’identité des attaquants. Google pourrait savoir précisément qui sont les pirates informatiques et quelle était l’opération. Il est également difficile de savoir si Google a notifié les attaquants avant de révéler publiquement les vulnérabilités du jour zéro.
Certains employés de Google ont apparemment fait valoir que les opérations de lutte contre le terrorisme devraient être interdites en matière de divulgation publique. D’autres disent que Google avait le droit de protéger les produits de l’entreprise contre les attaques imminentes qui pourraient nuire aux utilisateurs finaux. Google a défendu ses actions dans une déclaration:
Project Zero est dédié à la recherche et à la correction des vulnérabilités de 0 jour, et à la publication de recherches techniques conçues pour faire progresser la compréhension des nouvelles vulnérabilités de sécurité et des techniques d’exploitation à travers la communauté de recherche. Nous pensons que le partage de cette recherche conduit à de meilleures stratégies défensives et augmente la sécurité pour tous. Nous n’effectuons pas d’attribution dans le cadre de cette recherche.
Les attaquants ont utilisé des techniques inédites de «point d’eau» pour injecter des logiciels malveillants sur des sites Web inconnus et les livrer à des cibles exécutant Chrome et Safari sur des appareils Android, iPhone et Windows. Les attaquants ont exploité les 11 jours zéro en seulement neuf mois, à partir de février 2020. Le niveau de sophistication et la rapidité de l’attaque sont ce qui a troublé les chercheurs.
Un ancien haut responsable du renseignement américain a déclaré au MIT que les opérations occidentales sont reconnaissables, et cela à cause des lois locales qui ont un impact sur ce que les agences d’espionnage peuvent et ne peuvent pas faire:
Il y a certaines caractéristiques des opérations occidentales qui ne sont pas présentes dans d’autres entités… vous pouvez le voir se traduire dans le code. Et c’est là que je pense que l’une des principales dimensions éthiques entre en jeu. La façon dont on traite les activités de renseignement ou les activités d’application de la loi conduites sous contrôle démocratique au sein d’un gouvernement représentatif légalement élu est très différente de celle d’un régime autoritaire.
La surveillance est intégrée aux opérations occidentales au niveau technique, artisanal et procédural.
On ne sait pas à quelle fin l’opération de contre-terrorisme aurait pu être paralysée, et ce sont le genre de secrets qui ne seront probablement jamais révélés au public. Le fait que tant de vulnérabilités aient été découvertes rapidement est toujours gênant, car d’autres pirates informatiques expérimentés auraient pu les trouver et les exploiter – c’est finalement la raison pour laquelle Google a choisi de révéler les informations. Le bon côté de ces révélations est que les espions occidentaux ciblaient des groupes spécifiques de personnes, ce qui signifie que la plupart des utilisateurs d’Android, d’iPhone et de Windows ne devraient pas être affectés.
Comme toujours, lorsque des vulnérabilités logicielles sont révélées, la meilleure solution consiste à installer toutes les mises à jour du système d’exploitation disponibles et à mettre à jour toutes les applications. L’histoire du MIT Technology Review vaut la peine d’être lue dans son intégralité – elle est disponible sur ce lien.