Tous les liens renvoient vers des sites en anglais. Article écrit par Sohail Abid, de la Digital Rights Foundation. La version originale a été publiée sur le site de la Digital Rights Foundation.
Au début du mois d’août, un expert en informatique anonyme a piraté les serveurs de FinFisher, le fameux développeur de logiciels de surveillance. Le(s) pirate(s) a copié toutes les données qu'il a pu trouver sur les serveurs pour les diffuser en ligne via un lien Torrent. Ce fichier de 40 Go contient l'ensemble des informations sur le portail de service-client FinFisher, y compris la correspondance entre les clients et le personnel de FinFisher. Il contient également tous les logiciels vendus par l'entreprise ainsi que la documentation et le matériel d'installation qui les accompagnent. L’année dernière, des chercheurs en sécurité informatique ont mis à jour des preuves de l'existence de deux serveurs de contrôle installés au Pakistan.
Qu'est-ce que FinFisher?
Une filiale de l'entreprise Gamma International, basée au Royaume-Uni, FinFisher vend un ensemble de logiciels de surveillance informatique aux organisations gouvernementales. Son logiciel principal, FinSpy, permet d’accéder et de contrôler à distance l'ordinateur ou le téléphone des individus espionnés. FinFisher propose plusieurs méthodes d'installation de FinSpy, de la simple clé USB pouvant infecter un ordinateur au document joint à des fichiers anodins, qui, une fois téléchargé, contamine l'ordinateur cible. La gamme d'outils FinFisher a été conçue pour fournir à ceux qui l’achètent l’accès aux e-mails, à l'historique de navigation et à toute autre activité réalisée par les “cibles”, terme utilisé pour désigner ceux qui sont espionnés.
Le Pakistan est-il un client de FinFisher?
Apparemment, oui. L'année dernière, le groupe de recherche Citizen Lab, à l'université de Toronto, a publié un rapport identifiant deux serveurs de contrôle FinFisher au sein des réseaux de la Pakistan Telecommunications Company (PTCL), le premier fournisseur d'accès Internet du Pakistan. Mais cette fuite récente nous donne un aperçu plus complet et concluant. Les données extraites sur le portail de service client nous indiquent qu'un client au Pakistan a en fait acheté à FinFisher trois licences logicielles en trois ans. Les systèmes identifiés par Citizen Lab étaient probablement les ordinateurs hébergeant le logiciel FinSpy et utilisaient tout simplement une connexion Internet PTCL. On peut penser que la PTCL n'était pas impliquée. Qui alors? Cela aurait pu être n'importe qui; mais FinFisher ne vend qu'aux gouvernements et aux agences de renseignement – par conséquent, il s'agit dans ce cas sûrement d'un des nombreux départements du gouvernement pakistanais dédié au renseignement.
Nous avons extrait des données du portail service client de FinFisher une requête envoyée à l'entreprise par un de ses clients (cité sous le nom de “Client 32”) au Pakistan, qui se plaint que ses demandes n'aient pas été prises en compte sur Skype. On voit ici que Skype était le principal moyen de communication de FinFisher pour le service client.
Quels services ont-ils été achetés ?
A partir de ces informations, nous avons poursuivi plus avant la recherche dans l'historique d'achat du Client 32 et ses échanges avec le personnel de FinFisher et avons trouvé que le Client 32 disposait non pas d'une mais de trois licences du fournisseur de logiciels d'espionnage. Le logiciel principal, FinSpy, est utilisé pour cibler les personnes qui “changent de localisation, utilisent des moyens de communication cryptés et anonymes et résident à l’étranger”. Apres l’installation de FinSpy sur un ordinateur ou un téléphone portable, le logiciel peut être – selon la brochure – “contrôlé à distance et accessible dès la connexion à Internet ou à un réseau”.
En plus de FinSpy, le Client 32 a également acheté une autre licence pour FinIntrusionKit qui permet de pirater les réseaux Wi-Fi d’hôtels, d’aéroports ou autres pour s'introduire dans “les équipements WLAN situés à proximité et y capturer les données de trafic et les mots de passe, ou encore d'extraire “les noms d'utilisateurs et les mots de passe (même pour les sessions cryptées en TLS/SSL)” et de “capturer les données cryptées en SSL comme le webmail, les portails vidéo, les information bancaires et plus encore”. Le troisième logiciel a été conçu pour infecter les appareils disposant de ports USB, afin que tout utilisateur de ces appareils puisse devenir une cible de la surveillance électronique.
Comment le Pakistan “FinFishe”-t-il ?
D’après les requêtes reçues par FinFisher de la part du Client 32, on apprend également que ce client, qui qu'il soit, a utilisé les logiciels FinFisher pour infecter des documents MS Office. Ces fichiers ont ensuite été envoyés aux personnes qui devaient être espionnées. Quand les cibles ouvraient, sans méfiance aucune, ces fichiers infectés, leurs ordinateurs étaient automatiquement mis sous surveillance permanente, avec le détail de leurs e-mails, discussions, et autres activités envoyé au Client 32.
Le Client 32 a également utilisé FinFisher pour voler des fichiers des ordinateurs ciblés en toute discrétion. Tous les fichiers appartenant aux personnes ciblées étaient disponibles mais le Client 32 souhaitait plus que cela, comme indiqué par une autre requête au service client FinFisher: “L'agent doit être capable de sélectionner quels fichiers il veut télécharger même lorsque la cible est déconnectée et au moment où la cible se connecte, ces fichiers doivent pouvoir être téléchargés sans intervention nécessaire de l'agent.”.
Il a bien été établi que FinFisher avait été déployé au Pakistan mais beaucoup de questions restent sans réponse. En tant que citoyens d'un Etat démocratique, il est de notre droit de savoir qui utilise des logiciels de surveillance au Pakistan, combien d'argent public à servi à l'achat des licences, et de quelle lois ou règlements dépendent le déploiement de ces logiciels.
Sohail Abid est chercheur sur les problématiques de sécurité, de surveillance et de censure pour la Digital Rights Foundation. Avant de rejoindre la DRF, il était responsable technique chez Jumpshare, une start up de partage de fichiers fondée au Pakistan.