Pas parangon de vertu
Les chercheurs et chercheuses du Citizen Lab de l’Université de Toronto ont pu cartographier l’infrastructure serveur du logiciel espion Graphite de l’entreprise israélienne Paragon, et identifié des indices de son déploiement en Australie, au Canada, à Chypre, au Danemark, en Israël et à Singapour.
Le Citizen Lab, laboratoire de recherche réputé pour ses travaux sur les logiciels espion, a publié sur son site un décorticage de l’infrastructure serveur de l’outil d’espionnage Graphite vendu par l’entreprise Paragon.
Rappelons que WhatsApp a accusé récemment l’entreprise israélienne d’avoir ciblé environ 90 de ses utilisateurs, dont des journalistes et d’autres membres de la société civile. La messagerie expliquait qu’elle avait réussi à interrompre cette campagne de piratage en décembre 2024.
Au cours de leur travail, les chercheurs sont tombés sur des adresses IP en Australie, au Canada, à Chypre, au Danemark, en Israël et à Singapour. Ils soupçonnent qu’elles soient utilisées pour le déploiement du logiciel chez les clients de l’entreprise.
Départ à partir d’un « tuyau d’un collaborateur »
Ils expliquent avoir mené leur recherche à la suite d’un « tuyau d’un collaborateur concernant un seul élément d’infrastructure : un nom de domaine pointant vers un serveur qui a également renvoyé plusieurs certificats TLS auto-signés distincts ».
« Les certificats présentaient de nombreux éléments curieux, notamment plusieurs informations manquantes et un système de dénomination particulier », ajoutent-ils.
Dès lors, les chercheurs ont pu identifier plusieurs « empreintes digitales » permettant d’identifier les serveurs et certificats TLS liés à Paragon. L’un des certificats, « apparemment créé en novembre 2019 », a été enregistré avec, comme nom d’organisation, « Graphite », le nom du logiciel espion de l’entreprise.
« En résumé, de solides preuves circonstancielles confirment l’existence d’un lien entre Paragon et l’infrastructure que nous avons décrite », estiment les chercheurs du Citizen Lab.
Des IP venant de FAI locaux et non de fournisseurs de solution de cloud
Mais en analysant l’infrastructure de Paragon, ils sont aussi tombés sur « d’autres adresses IP intéressantes ». Celles-ci ont « apparemment [été] obtenues auprès d’entreprises de télécommunications locales » et non à des entreprises de cloud. Les chercheurs du Citizen Lab soupçonnent donc « qu’elles appartiennent aux déploiements des clients de Paragon », ajoutant qu’une lettre utilisée comme « nom de code » pour chaque IP correspond à la première lettre du pays associé (sauf pour Israël) : Australie, Canada, Chypre, Danemark et Singapour.
Les certificats utilisés leur ont permis de remonter à un datacenter de Digital Reality en Allemagne. Les divers noms de code utilisés par ces certificats sont encore autant d’indices qui amènent les chercheurs « à penser que le client de Digital Realty pourrait être Paragon ».
Les chercheurs canadiens se sont plus particulièrement intéressés aux adresses IP situées dans leurs pays. L’une d’elles correspondrait selon eux à la Police provinciale de l’Ontario (OPP), mais « les autres adresses de clients comprennent ce qui semble être un entrepôt partagé, un centre commercial, une brasserie et un appartement ». Plusieurs éléments suggèrent que l’OPP est un client potentiel de Paragon, avance Citizen Lab.
Interrogée par TechCrunch, l’OPP ne nie pas et déclare : « la divulgation d’informations sur des techniques et technologies d’enquête spécifiques pourrait compromettre des enquêtes en cours et menacer la sécurité du public et des agents ». Aucune des autorités des autres pays n’ont répondu à nos confrères.
Le porte-parole de Paragon précise que le Citizen Lab lui a donné « une quantité très limitée d’informations, dont certaines semblent inexactes » sur ce qu’il avait trouvé, tout en ne voulant pas donner d’information supplémentaire sur ce qui pourrait être inexact.
Le laboratoire de recherche canadien explique enfin avoir partagé ce qu’il a trouvé avec l’éditeur de WhatsApp et rapporte que « Meta nous a dit que ces détails étaient essentiels pour leur enquête en cours sur Paragon ».
« Cette dernière étude vient s’ajouter aux précédentes conclusions d’Amnesty International et d’autres partenaires de la société civile qui dénoncent l’utilisation abusive et généralisée des logiciels espions en Europe. Malgré des scandales répétés et persistants en Serbie, en Espagne, en Grèce, en Pologne, en Hongrie et maintenant en Italie, les autorités au niveau national et européen n’ont pas pris de mesures efficaces. Le laxisme de l’Europe en matière de règlementation de l’industrie de la surveillance favorise la crise mondiale des logiciels espions », avance de son côté Amnesty International.