Les cyber-mercenaires arrivent : il est temps de protéger vos dirigeants des regards indiscrets

Par Phil Muncaster • 7 November 2023

À la mi-septembre, l'agence de sécurité du gouvernement américain CISA commandé toutes les agences fédérales pour corriger deux vulnérabilités zero-day dans les appareils OS, iPadOS et macOS. Ce ne sont là que les derniers bogues logiciels inédits exploités pour diffuser le célèbre logiciel espion Pegasus, dont le développeur, NSO Group, est au centre de plusieurs poursuites judiciaires.

La société israélienne est l’une des nombreuses sociétés commerciales de logiciels espions qualifiées de « cybermercenaires » par les gouvernements occidentaux et les entreprises technologiques. Ces pirates informatiques, ainsi qu'un groupe plus obscur de pirates informatiques à gages, représentent une menace croissante pour les organisations de toutes tailles et de tous secteurs, facilitant l'espionnage industriel, la surveillance gouvernementale et d'autres activités néfastes.

Si même le téléphone de Jeff Bezos peut être piraté par ces groupes, il est temps de prendre la menace au sérieux.

Qui sont les cyber-mercenaires ?

Le cybermercenaire est un terme utilisé de différentes manières par différentes parties. D’une manière générale, nous pouvons le diviser en deux types d’acteurs menaçants :

Fabricants de logiciels espions commerciaux : Ces entreprises opèrent dans une zone grise juridique, prétendant vendre des logiciels espions et des exploits aux gouvernements uniquement à des fins légitimes d’application de la loi et de collecte de renseignements. En réalité, leurs outils ciblent souvent les journalistes, les dissidents, les défenseurs des droits et autres opposants à des régimes généralement autocratiques. Citizen Lab a découvert les deux jours zéro cités ci-dessus sur le téléphone d'un employé d'une organisation de la société civile basée à Washington.

Des exemples de ces entreprises incluent NSO Group, Circles, Intellexa, Cytrox et BellTroX InfoTech Services.

Hackers à louer : Il s’agit plus manifestement de groupes criminels qui n’ont aucune prétention d’opérer comme des organisations commerciales semi-légitimes. Cependant, à l’instar des créateurs de logiciels espions commerciaux, leur travail avec les clients reste strictement confidentiel. Bien qu’ils ciblent également des journalistes, des militants et d’autres individus à haut risque, ces groupes peuvent également proposer leurs services à des fins d’espionnage industriel, permettant ainsi à des organisations par ailleurs réputées de maintenir un déni plausible.

Les groupes comprennent les Deceptikons, Dark Basin et Void Balaur.

Dans les deux cas, les groupes de cybermercenaires soupçonnent des liens avec diverses agences de renseignement. Trois anciens officiers du renseignement américain ont été exposés en 2021 pour avoir travaillé comme hackers à gages pour le gouvernement des Émirats arabes unis et poursuivi par la suite aux côtés du fabricant de logiciels espions commerciaux DarkMatter. Intellexa serait dirigée par un ancien espion israélien. Et un séparé rapport révélé une « connexion unique et de courte durée » entre l’infrastructure d’attaque utilisée par Void Balaur et le Service fédéral de protection russe (FSO).

Comment fonctionnent les attaques ?

Les pirates informatiques disposent d’une vaste gamme de techniques, tactiques et procédures (TTP). Mais comme la plupart des auteurs de menaces, lorsqu’ils le peuvent, ils optent pour le moyen le plus rapide et le plus simple d’atteindre leurs objectifs. Cela pourrait signifier des logiciels malveillants de phishing et de vol d'informations et leurs principaux outils pour compromettre leurs victimes et l'utilisation d'outils légitimes comme PowerShell pour les activités post-intrusion. Ils peuvent cibler les comptes commerciaux de courrier électronique, de réseaux sociaux et de messagerie ainsi que leurs équivalents d'entreprise et les systèmes informatiques back-end.

« La plus grande menace que représentent ces groupes de mercenaires est qu'ils ne se soucient pas de leur cible. Pour la bonne somme d’argent, les mercenaires, par définition, exécuteront un contrat au détriment de toute éthique. Cela place les infrastructures critiques, les soins de santé et d'autres secteurs vitaux dans la ligne de mire de ceux qui sont prêts à payer », a déclaré Morgan Wright, conseiller en chef en sécurité de SentinelOne, à ISMS.online.

« Les personnes et les organisations les plus exposées sont celles qui font le moins pour se protéger. Les employés s’exposent à des risques lorsqu’ils partagent excessivement des informations les concernant sur des sites comme LinkedIn ou diverses plateformes de médias sociaux.

Découvrir la menace des logiciels espions

Toutefois, dans le cas d’entités commerciales, le TTPS peut être nettement plus sophistiqué. Les vulnérabilités Zero Day font l'objet de recherches minutieuses, ciblant souvent les appareils Apple avec des intrusions sans clic avec lesquelles l'utilisateur n'a même pas besoin d'interagir pour être infecté. Ensuite, un logiciel espion est déployé pour accéder aux messages, e-mails, photos, connexions, carnets d'adresses, utilisation des applications, données de localisation, ainsi qu'au microphone et à la caméra de l'appareil.

Le spécialiste de la cybersécurité de Corelight, Matt Ellison, décrit les groupes à l'origine de telles menaces comme affichant « l'apparence et les comportements d'un marchand d'armes sans scrupules ». Personne dans une organisation n’est en sécurité, même si les cadres supérieurs semblent être une cible naturelle compte tenu du niveau d’influence et d’accès dont ils disposent.

"Cela peut varier et dépend du rôle, de l'organisation et de l'objectif du client du cybermercenaire", explique Ellison à ISMS.online. « Il s’agit sans aucun doute d’un niveau de menace supplémentaire par rapport aux cybermenaces typiques observées par la majorité des organisations commerciales. »

Les États-Unis ripostent

Heureusement, le gouvernement américain a récemment changé d’attitude de manière significative, en ajoutant plusieurs fabricants de logiciels espions commerciaux à une « liste d’entités »…comme Candiru, groupe NSO, Intellexa et Cytrox. Cela rendra sur le papier plus difficile pour ces entreprises d’acheter des composants auprès d’entreprises américaines. Un décret présidentiel vise également à empêcher le gouvernement fédéral d'acheter des logiciels espions que des pays étrangers ont utilisés pour espionner des militants et des dissidents. Cela devrait réduire les opportunités commerciales pour ces développeurs.

Les États-Unis tentent également d’inciter d’autres gouvernements à prendre une ligne tout aussi dure. L'industrie technologique a uni ses forces freiner les activités des cybermercenaires, soucieux non seulement des droits de l'homme mais aussi du stockage de vulnérabilités, qui font finalement du monde numérique un endroit plus dangereux.

Un SMSI et au-delà

Mais en attendant, que peuvent faire les organisations pour atténuer la menace qui pèse sur leurs dirigeants et leurs actifs informatiques/données critiques ? Un système de gestion de la sécurité de l’information (ISMS) peut fournir une bonne base de sécurité, ce qui peut aider à atténuer de nombreuses techniques utilisées par les pirates informatiques pour compromettre leurs cibles. Cependant, Wright de SentinelOne met en garde contre toute complaisance.

« Rien ne garantit qu’on ne sera pas compromis. L’identification des faiblesses et des problèmes politiques est le début d’un voyage vers une capacité de cybersécurité robuste », affirme-t-il. « La conformité contribue à maintenir la conscience des grandes choses. »

Les organisations doivent également aller au-delà de l’essentiel si elles veulent repousser les attaques de logiciels espions commerciaux plus avancées exploitant les vulnérabilités du jour zéro.

« La nature même de ces outils et la manière dont ils sont utilisés et déployés signifie généralement qu'ils présentent un niveau de difficulté à détecter nettement supérieur à celui d'un malware ou d'un ransomware moyen », explique Ellison de Corelight. « Si vous faites partie d'une organisation plus susceptible d'être menacée par ces outils, il est important de les aborder séparément dans le cadre que vous utilisez pour sécuriser votre organisation. »

Kaspersky explique que les utilisateurs doivent être formés à repérer les signes avant-coureurs des logiciels espions : batterie qui s'épuise rapidement et éventuellement utilisation élevée des données. D'autres mesures pour atténuer la menace incluent l'application régulière de correctifs au système d'exploitation de l'appareil et à d'autres logiciels, l'authentification multifacteur (MFA), l'anti-malware de l'appareil et les redémarrages quotidiens. Sur les appareils iOS, les utilisateurs à haut risque sont invités à désactiver iMessage et FaceTime. Pour les attaques mentionnées en haut de cet article, le mode verrouillage est également utile.

Pourtant, même Kaspersky a été compromis par une opération de logiciel espion sophistiquée. Les organisations doivent gérer les risques du mieux qu’elles peuvent, mettre régulièrement en pratique leurs plans de réponse aux incidents et intégrer les cybermercenaires dans leur profilage des menaces.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster