On connaissait déjà Pegasus. Mardi 11 avril, le Citizen Lab de l'Université de Toronto et les équipes du Microsoft Threat Intelligence ont révélé l’existence d’un autre logiciel espion tout aussi sophistiqué, qui a déjà servi à infiltrer les smartphones d’opposants politiques, de journalistes et d’activistes.

Ce spyware, baptisé Reign, partage beaucoup de points communs avec son illustre aîné. Il a été développé en Israël par la discrète société QuaDream, fondée notamment par des anciens de NSO Group, le concepteur de Pegasus. La firme avait déjà été identifiée l’an passé par le Citizen Lab pour avoir exploité la même faille de sécurité, désormais corrigée, que NSO.

Invitation sur le calendrier

Comme Pegasus, Reign est aussi un spyware “zéro clic”, c’est-à-dire qu’il n’est pas nécessaire que l’utilisateur clique sur un lien pour qu’il infeste un smartphone. Son système d’attaque est cependant différent. Celui-ci ne repose pas sur un message WhatsApp ou iMessage, la messagerie d’Apple. Mais par l’envoi d’une invitation sur le calendrier d’iOS. Les chercheurs n’écartent pas que le spyware soit aussi actif sur le système Android.

Une fois installé sur un terminal, Reign peut alors enregistrer les conversations téléphoniques, servir de mouchard pour écouter ce qui se passe autour, prendre des photos, localiser l’appareil, récupérer des fichiers et des mots de passe ou encore déjouer l'authentification à deux facteurs de la plateforme de stockage iCloud. Le tout en effaçant derrière lui les traces de son passage.

Le spyware identifié par le Citizen Lab et Microsoft tournait sur iOS 14, lancé en septembre 2020. Depuis, Apple a conçu deux nouvelles versions de son système d’exploitation mobile, refermant potentiellement une partie des failles de sécurité utilisées par Reign. “Cependant, il est très probable qu’il ait été mis à jour pour cibler ces nouvelles versions”, prévient Microsoft.

Cinq victimes identifiées

Pendant leur enquête, les chercheurs du Citizen Lab ont pu identifier cinq victimes du spyware en Europe, en Amérique du Nord, en Asie et au Moyen-Orient. La liste des personnes espionnées est très probablement beaucoup plus longue. Des systèmes opérationnels ont en effet été localisés dans de nombreux pays: la Bulgarie, la République tchèque, la Hongrie, le Ghana, Israël, le Mexique, la Roumanie, Singapour, les Emirats arabes unis et l’Ouzbékistan.

Comme Pegasus ou le logiciel Predator, conçu par la société macédonienne Cytrox, Reign illustre les capacités de surveillance offertes par ces acteurs commerciaux.“Ils disposent désormais de l’expertise technique pour développer et opérer des exploits historiquement utilisés uniquement par des gouvernements”, souligne Clément Lecigne, chercheur chez Google.