En bref: Apple et Google ont déjà mis en garde les utilisateurs contre les entreprises vendant des logiciels espions ciblant les appareils mobiles. Un nouveau rapport de Google détaille les logiciels espions commerciaux ciblant les PC via les navigateurs et l’antivirus Windows. Les vulnérabilités qu’ils exploitent sont déjà corrigées – un autre signe que les utilisateurs doivent maintenir leur logiciel à jour.
Groupe d’analyse des menaces (TAG) de Google rapports qu’une entreprise barcelonaise a vendu des logiciels espions exploitant les vulnérabilités de Chrome, Firefox et Windows Defender pour effectuer une surveillance contractuelle sur les PC cibles. Les vulnérabilités étaient des jours zéro dans la nature lorsque l’entreprise les a exploitées, mais Google, Mozilla et Microsoft les ont corrigées en 2021 et au début de 2022.
Variston IT se présente comme un fournisseur de solutions de sécurité personnalisées, mais Google pense qu’il s’agit d’une société de surveillance commerciale. Le rapport le compare à des entités comme RCS Labs et le groupe NSO qui ont vendu des outils permettant aux gouvernements d’espionner des appareils appartenant à des journalistes, des dissidents et des diplomates. Le code d’une soumission de rapport de bogue anonyme détaillant les exploits a pointé Google vers Variston.
Un framework Web appelé Heliconia Noise a exploité une vulnérabilité du moteur de rendu Chrome dans les versions 90.0.4430.72 (avril 2021) à 91.0.4472.106 (juin 2021). Il pourrait exécuter du code à distance et échapper au bac à sable Chrome dans le système d’exploitation d’un utilisateur. Google a corrigé l’exploit en août 2021.
Variston pourrait attaquer Windows Defender – l’antivirus par défaut pour Windows 10 et 11 – via un fichier PDF contenant un exploit. Le PDF se déployait lorsque les utilisateurs visitaient une URL infectée, déclenchant une analyse Windows Defender et démarrant la chaîne d’infection. Microsoft a corrigé l’exploit en novembre 2021.
Enfin, Heliconia Files a utilisé une chaîne d’exploitation Windows et Linux Firefox pour commettre l’exécution de code à distance dans le navigateur de Mozilla. La version Windows contenait un échappement sandbox que Mozilla a corrigé en 2019. D’autres parties du package malveillant ont été signalées en mars 2022, mais il est possible qu’il soit utilisé depuis décembre 2018.
Bien que les exploits du dernier rapport de TAG ne menacent plus les systèmes entièrement mis à jour, les utilisateurs concernés doivent être conscients des informations qui ont pu fuir à la fin de l’année dernière et au début de cette année. Les résultats prouvent que l’industrie de la surveillance commerciale se développe à mesure que les détenteurs de plateformes combattent ces entreprises.
En novembre dernier, Apple a poursuivi le groupe NSO et sa société mère pour avoir déployé des logiciels espions trouvés sur les iPhones des diplomates américains. La société Cupertino a également introduit un mode de verrouillage qui a désactivé des fonctionnalités spécifiques de l’iPhone pour lutter contre les logiciels espions, mais cela pourrait aller à l’encontre de l’objectif en rendant les téléphones plus faciles à empreintes digitales.