NSO Group, le fournisseur de surveillance le plus connu pour avoir vendu des technologies de piratage à des gouvernements autoritaires, dont l'Arabie Saoudite, a également essayé de vendre ses produits à la police locale américaine, selon des documents obtenus par Motherboard.
La publication de ces informations constitue la preuve la plus solide à ce jour de la tentative de NSO de pénétrer le marché américain, et montre l'appétit apparent de la police américaine pour de tels outils, un responsable de l'application de la loi décrivant la technologie de piratage comme "géniale".
"Transformez le smartphone de votre cible en une mine d'or du renseignement", peut-on lire dans une brochure sur le produit de piratage, appelée Phantom. La brochure a été réalisée par Westbridge Technologies, "la branche nord-américaine du groupe NSO", lit-on dans la brochure. Motherboard a obtenu le document et les courriels connexes par le biais d'une demande en vertu de la loi sur les archives publiques.
En août 2016, un employé de Westbridge a envoyé un e-mail au département de police de San Diego (SDPD) pour lui offrir plus d'informations sur Phantom, "un système de renseignement mobile qui serait un grand complément à vos services d'enquête et de soutien spécial". Après avoir piraté le téléphone à distance, Phantom peut siphonner les e-mails, les SMS et la liste de contacts d'une cible, ainsi que suivre leur localisation, allumer le microphone de l'appareil et prendre des photos avec l'appareil, selon la brochure.
Un ancien employé de l'ONS a déclaré à Motherboard que Phantom était "une marque pour le territoire américain", mais le "même Pegasus", en référence à l'outil de piratage téléphonique de l'ONS que la société a vendu à plusieurs pays, dont les Émirats arabes unis, le Mexique et l'Arabie saoudite pour des millions de dollars. L'Arabie Saoudite a utilisé ce logiciel pour surveiller les associés du journaliste assassiné Jamal Khashoggi. Motherboard a accordé l'anonymat à la source pour les protéger des représailles de NSO :
"A l'époque, Phantom était tout en 1-clic sauf les vieux Blackberries qui étaient en 0-clic", a ajouté l'ancien employé. Une attaque en 0-clic ne nécessite aucune interaction de la part de la cible. Une attaque en 1-clic nécessite que la cible clique sur un élément que le client de l'NSO envoie au téléphone ; un lien transmis par SMS, par exemple. La brochure ajoute que le système est compatible avec l'iPhone et divers autres modèles de téléphones de fabricants comme Samsung.
La publication de ces informations constitue la preuve la plus solide à ce jour de la tentative de NSO de pénétrer le marché américain, et montre l'appétit apparent de la police américaine pour de tels outils, un responsable de l'application de la loi décrivant la technologie de piratage comme "géniale".
"Transformez le smartphone de votre cible en une mine d'or du renseignement", peut-on lire dans une brochure sur le produit de piratage, appelée Phantom. La brochure a été réalisée par Westbridge Technologies, "la branche nord-américaine du groupe NSO", lit-on dans la brochure. Motherboard a obtenu le document et les courriels connexes par le biais d'une demande en vertu de la loi sur les archives publiques.
En août 2016, un employé de Westbridge a envoyé un e-mail au département de police de San Diego (SDPD) pour lui offrir plus d'informations sur Phantom, "un système de renseignement mobile qui serait un grand complément à vos services d'enquête et de soutien spécial". Après avoir piraté le téléphone à distance, Phantom peut siphonner les e-mails, les SMS et la liste de contacts d'une cible, ainsi que suivre leur localisation, allumer le microphone de l'appareil et prendre des photos avec l'appareil, selon la brochure.
Un ancien employé de l'ONS a déclaré à Motherboard que Phantom était "une marque pour le territoire américain", mais le "même Pegasus", en référence à l'outil de piratage téléphonique de l'ONS que la société a vendu à plusieurs pays, dont les Émirats arabes unis, le Mexique et l'Arabie saoudite pour des millions de dollars. L'Arabie Saoudite a utilisé ce logiciel pour surveiller les associés du journaliste assassiné Jamal Khashoggi. Motherboard a accordé l'anonymat à la source pour les protéger des représailles de NSO :
"A l'époque, Phantom était tout en 1-clic sauf les vieux Blackberries qui étaient en 0-clic", a ajouté l'ancien employé. Une attaque en 0-clic ne nécessite aucune interaction de la part de la cible. Une attaque en 1-clic nécessite que la cible clique sur un élément que le client de l'NSO envoie au téléphone ; un lien transmis par SMS, par exemple. La brochure ajoute que le système est compatible avec l'iPhone et divers autres modèles de téléphones de fabricants comme Samsung.
Dans la brochure, Westbridge affirme que Phantom peut "surmonter le chiffrement, le SSL, les protocoles propriétaires et tout obstacle introduit par le monde complexe des communications". Des sections du ministère de la justice ont fait pression à plusieurs reprises pour des "portes dérobées", à la fois pour le chiffrement qui protège les données en veille, comme un iPhone verrouillé, et pour les programmes de chat qui protègent les communications, comme Facebook Messenger. Bien que coûteuse, l'offre de Westbridge montre que d'autres solutions technologiques existent.
Après avoir parlé à l'entreprise lors d'un appel téléphonique, le sergent David Meyer du SDPD a déclaré à Westbridge dans un e-mail que le système de piratage "semble génial". L'employé de Westbridge a également proposé de fournir une démonstration du système en personne, selon les courriels.
Le lieutenant Shawn Takeuchi, officier d'information publique au SDPD, a déclaré à Motherboard dans un e-mail : "Le département de police de San Diego s'engage assez souvent dans des conversations avec des vendeurs qui tentent de vendre un produit ou un service afin que nous puissions fournir la meilleure qualité de services de police à nos communautés. Les conversations ont lieu régulièrement et en 2016, le rôle du sergent Meyer était d'évaluer les vendeurs qui nous contactaient". Takeuchi a ajouté que la technologie "ne devrait être utilisée qu'après l'obtention d'une autorisation légale (mandat de perquisition)".
"C'est probablement la partie visible de l'iceberg", a déclaré à Motherboard John Scott-Railton, un chercheur du Citizen Lab de l'Université de Toronto, qui a suivi les usages de NSO par d'autres pays. "La police locale utilisant une technologie de piratage secrète est le scénario cauchemardesque qui nous inquiète tous. Les lois locales et les mécanismes de surveillance ne sont pas là. Les abus ne seraient pas un risque, ce serait une certitude".
Après avoir parlé à l'entreprise lors d'un appel téléphonique, le sergent David Meyer du SDPD a déclaré à Westbridge dans un e-mail que le système de piratage "semble génial". L'employé de Westbridge a également proposé de fournir une démonstration du système en personne, selon les courriels.
Le lieutenant Shawn Takeuchi, officier d'information publique au SDPD, a déclaré à Motherboard dans un e-mail : "Le département de police de San Diego s'engage assez souvent dans des conversations avec des vendeurs qui tentent de vendre un produit ou un service afin que nous puissions fournir la meilleure qualité de services de police à nos communautés. Les conversations ont lieu régulièrement et en 2016, le rôle du sergent Meyer était d'évaluer les vendeurs qui nous contactaient". Takeuchi a ajouté que la technologie "ne devrait être utilisée qu'après l'obtention d'une autorisation légale (mandat de perquisition)".
"C'est probablement la partie visible de l'iceberg", a déclaré à Motherboard John Scott-Railton, un chercheur du Citizen Lab de l'Université de Toronto, qui a suivi les usages de NSO par d'autres pays. "La police locale utilisant une technologie de piratage secrète est le scénario cauchemardesque qui nous inquiète tous. Les lois locales et les mécanismes de surveillance ne sont pas là. Les abus ne seraient pas un risque, ce serait une certitude".
Dans sa brochure, Westbridge a mis l'accent sur ses liens avec les États-Unis, en soulignant qu'elle est basée à Bethesda, Md. et que la société était à l'époque détenue majoritairement par une société de capital-investissement américaine. Les co-fondateurs de NSO ont racheté la société à la société de capital-investissement Francisco Partners en 2019.
À un moment donné, Westbridge a tenté d'acquérir une autre société américaine en raison de ses liens de vente avec le gouvernement américain, a rapporté précédemment Motherboard. Westbridge avait auparavant fait une démonstration de sa technologie de piratage à la Drug Enforcement Administration américaine, mais l'agence n'a pas acheté le produit parce qu'il était trop cher, selon des courriels internes de la DEA que Motherboard avait précédemment obtenus.
Cela semble être la raison pour laquelle la DEA n'a pas non plus acheté la technologie de la NSO. Dans son courriel, le sergent Meyer a ajouté : "nous n'avons tout simplement pas le genre de fonds nécessaires pour avancer sur un projet d'une telle ampleur".
Une force de police locale comme le SDPD serait probablement intéressée par le ciblage des téléphones aux États-Unis. Le groupe NSO a déjà déclaré que sa technologie Pegasus ne peut pas être utilisée pour cibler les numéros de téléphone américains. Dans une déclaration à Motherboard mardi, un porte-parole de la NSO a écrit : "Nous maintenons les déclarations précédentes selon lesquelles les produits du groupe NSO vendus à des souverains étrangers ne peuvent pas être utilisés pour effectuer de la cybersurveillance aux États-Unis, et aucun client n'a jamais reçu de technologie permettant de cibler les téléphones avec des numéros américains".
D'autres vendeurs de produits de surveillance ont tenté de vendre leurs produits à la police américaine. La société italienne Hacking Team a effectué des démonstrations aux services locaux dans tout le pays.
À un moment donné, Westbridge a tenté d'acquérir une autre société américaine en raison de ses liens de vente avec le gouvernement américain, a rapporté précédemment Motherboard. Westbridge avait auparavant fait une démonstration de sa technologie de piratage à la Drug Enforcement Administration américaine, mais l'agence n'a pas acheté le produit parce qu'il était trop cher, selon des courriels internes de la DEA que Motherboard avait précédemment obtenus.
Cela semble être la raison pour laquelle la DEA n'a pas non plus acheté la technologie de la NSO. Dans son courriel, le sergent Meyer a ajouté : "nous n'avons tout simplement pas le genre de fonds nécessaires pour avancer sur un projet d'une telle ampleur".
Une force de police locale comme le SDPD serait probablement intéressée par le ciblage des téléphones aux États-Unis. Le groupe NSO a déjà déclaré que sa technologie Pegasus ne peut pas être utilisée pour cibler les numéros de téléphone américains. Dans une déclaration à Motherboard mardi, un porte-parole de la NSO a écrit : "Nous maintenons les déclarations précédentes selon lesquelles les produits du groupe NSO vendus à des souverains étrangers ne peuvent pas être utilisés pour effectuer de la cybersurveillance aux États-Unis, et aucun client n'a jamais reçu de technologie permettant de cibler les téléphones avec des numéros américains".
D'autres vendeurs de produits de surveillance ont tenté de vendre leurs produits à la police américaine. La société italienne Hacking Team a effectué des démonstrations aux services locaux dans tout le pays.
NSO est actuellement engagée dans un procès avec Facebook après avoir exploité une vulnérabilité dans WhatsApp qui permettait aux clients de la NSO de pirater des dispositifs entièrement mis à jour en appelant simplement un téléphone cible. Récemment, Facebook a montré comment le système Pegasus de NSO utilise des serveurs basés aux États-Unis pour acheminer les attaques.
"Rétrospectivement, nous savons qu'en parlant à nos forces de l'ordre, la NSO pourrait avoir enfreint les lois américaines. Il est doublement ironique que l'entreprise soit maintenant devant les tribunaux en prétendant qu'elle ne peut pas être tenue responsable en vertu du droit américain", a ajouté Scott-Railton.
Bien que la NSO affirme que son système Pegasus est réservé au terrorisme et aux crimes graves, les clients de la NSO ont utilisé à plusieurs reprises la technologie de la société pour cibler des opposants politiques, des dissidents, des journalistes, des détracteurs et des défenseurs des droits de l'homme. Dans un cas, quelqu'un a utilisé la technologie de piratage de la NSO pour cibler un avocat travaillant sur une affaire civile intentée contre la compagnie NSO.
Le mois dernier, Motherboard a révélé qu'un employé de la NSO avait déjà eu accès à l'installation de Pegasus d'un client des Émirats arabes unis et en avait abusé afin de cibler un intérêt amoureux.
"Rétrospectivement, nous savons qu'en parlant à nos forces de l'ordre, la NSO pourrait avoir enfreint les lois américaines. Il est doublement ironique que l'entreprise soit maintenant devant les tribunaux en prétendant qu'elle ne peut pas être tenue responsable en vertu du droit américain", a ajouté Scott-Railton.
Bien que la NSO affirme que son système Pegasus est réservé au terrorisme et aux crimes graves, les clients de la NSO ont utilisé à plusieurs reprises la technologie de la société pour cibler des opposants politiques, des dissidents, des journalistes, des détracteurs et des défenseurs des droits de l'homme. Dans un cas, quelqu'un a utilisé la technologie de piratage de la NSO pour cibler un avocat travaillant sur une affaire civile intentée contre la compagnie NSO.
Le mois dernier, Motherboard a révélé qu'un employé de la NSO avait déjà eu accès à l'installation de Pegasus d'un client des Émirats arabes unis et en avait abusé afin de cibler un intérêt amoureux.
Vous pouvez consulter la brochure Westbridge Phantom ci-dessous.
https://assets.documentcloud.org/documents/6888574/Westbridge-NSO-Group-Brochure-for-Phantom.pdf
source :
https://www.vice.com/en_us/article/8899nz/nso-group-pitched-phone-hacking-tech-american-police
miroir linkzilla :
https://app.sigle.io/linkzilla1.id.blockstack/zOz-GCCBBy8hRKlquOk1H