Intellexa : des fuites exposent le marché des logiciels espions

Les « Intellexa Leaks » détaillent Predator : zero-days, infections zero-click par publicité mobile et accès distant aux systèmes clients. Des ONG alertent sur des atteintes aux droits humains.

Le mercenariat numérique autour des logiciels espions commerciaux se précise encore avec les « Intellexa Leaks ». Les documents, supports marketing et vidéos de formation divulgués dévoilent un acteur capable d’opérer à l’échelle mondiale pour des gouvernements et de grandes organisations, tout en restant au cœur de controverses liées aux droits humains. Au centre de ces révélations, la plateforme Predator, un logiciel espion conçu pour infecter des smartphones et offrir un accès discret et persistant aux communications, fichiers et activités de la cible. Selon TechCrunch, les chercheurs affirment qu’Intellexa n’a pas seulement vendu la technologie : l’entreprise aurait conservé dans certains cas un accès en direct aux systèmes de surveillance de ses clients, lui permettant de voir les opérations d’espionnage et les personnes ciblées.

Cette capacité d’accès distant rejoint une problématique cruciale dans l’univers des « spyware » commerciaux : où s’arrête la simple fourniture d’outil et où commence la co‑opération active dans les campagnes de surveillance ? Des spécialistes du laboratoire de sécurité d’une organisation de défense des droits humains soulignent que si une société de mercenariat numérique reste impliquée dans l’exploitation opérationnelle de son produit, elle pourrait être exposée à des arguments de responsabilité directe en cas d’abus ou d’atteintes aux droits fondamentaux. Au-delà de la question juridique, cette proximité technique avec les opérations des clients étatiques fait peser un risque supplémentaire pour les personnes ciblées, dont les données les plus sensibles peuvent ainsi être consultées par un acteur privé, potentiellement situé dans une autre juridiction.

Les enquêtes mentionnent également des éléments concrets illustrant la portée mondiale de Predator. Des domaines imitant des sites d’information légitimes dans un pays d’Asie centrale, des liens avec la surveillance de figures politiques et de journalistes dans plusieurs États, ou encore la première infection documentée dans un pays d’Asie du Sud visant un avocat en droits humains, dessinent un paysage dans lequel ce type de logiciel espion est utilisé au cœur de contextes sensibles. La publication d’un rapport d’un groupe de renseignement privé met en lumière un réseau complexe d’entités et d’individus intervenant dans le développement, l’infrastructure et la structuration d’Intellexa, tandis que des activités Predator continuent d’être observées dans plusieurs pays, avec de nouveaux indices de déploiement au Moyen-Orient.

Predator, zero-days et attaques « zero-click » : une chaîne technique calibrée pour l’espionnage d’élite

Les fuites révèlent un point central du modèle Intellexa : la capacité à acheter, puis intégrer des vulnérabilités dites « zero-day » pour contourner les protections des smartphones. Une vulnérabilité zero-day est une faille inconnue des éditeurs de logiciels et pour laquelle aucun correctif n’existe encore. Elle permet à un attaquant de contourner des protections normalement robustes, par exemple dans un navigateur mobile ou un système d’exploitation. Selon une analyse publiée par Malwarebytes, Intellexa a exploité au moins 15 vulnérabilités de ce type dans des navigateurs mobiles, confirmant un recours massif à ces failles rares et coûteuses.

Les documents divulgués et les travaux de recherche associés expliquent que l’entreprise achète ces failles auprès de pirates spécialisés, les transforme en « exploits » fiables, puis les utilise tant que les systèmes cibles ne sont pas mis à jour. Une fois le correctif publié et déployé, l’exploit est considéré comme « brûlé » car inutilisable contre des appareils à jour. Les prix évoqués illustrent le niveau d’industrialisation : un exploit robuste permettant l’exécution de code à distance avec contournement des mécanismes d’isolation d’un navigateur comme Chrome, et adapté à une plateforme de mercenariat numérique, peut se négocier entre 100 000 et 300 000 dollars. Des courtiers en exploits ont même proposé, il y a quelques années, des montants de plusieurs millions pour des chaînes complètes d’attaque, sans interaction de l’utilisateur, contre les principaux systèmes mobiles.

Pour ralentir ce « burn rate », Intellexa limiterait au maximum l’exposition de ses exploits. Les enquêtes décrivent une stratégie reposant sur l’envoi de liens à usage unique via des messageries chiffrées de bout en bout, ce qui réduit les chances pour les chercheurs de capturer l’attaque. Une autre technique consiste à utiliser des publicités malveillantes sur des plateformes tierces afin d’identifier discrètement les visiteurs correspondant à un profil ciblé, puis de ne rediriger que ces derniers vers des serveurs d’exploitation. Cette approche permet de mener des attaques très ciblées, tout en se dissimulant dans le trafic publicitaire de masse. Des équipes de Google rappellent avoir, en 2023, capturé une chaîne complète d’exploit zero-day pour iOS, utilisée dans la nature contre des cibles en Afrique du Nord, attribuée au développement d’Intellexa et ayant permis l’installation furtive de Predator sur les appareils.

« Aladdin », publicité mobile piégée et débat mondial sur les responsabilités

L’un des éléments les plus marquants mis en avant par les enquêtes est la chaîne d’infection baptisée « Aladdin ». Cette mécanique exploite l’écosystème de la publicité mobile pour livrer Predator via des annonces intégrées à des sites ou applications ordinaires. Selon une investigation détaillée par CyberScoop, une publicité apparemment banale peut, si l’appareil correspond au profil recherché, déclencher automatiquement l’exploitation d’une vulnérabilité au simple affichage, sans aucun clic de l’utilisateur. Ce type d’attaque est qualifié de « zero-click » puisqu’aucune interaction n’est requise, rendant la détection par la victime pratiquement impossible.

Sur le plan technique, Aladdin illustre une convergence entre deux univers : celui de la publicité ciblée, optimisée pour identifier avec précision un profil d’utilisateur, et celui de l’exploitation de failles de sécurité avancées. L’attaquant tire parti des capacités de profilage et de filtrage de l’écosystème publicitaire pour ne servir l’exploit qu’à un groupe restreint de personnes. Pour les autres internautes, la publicité reste inoffensive et ordinaire. Cette sélectivité complique considérablement le travail des chercheurs, puisque la probabilité de tomber par hasard sur une version active et exploitable de la campagne reste faible.

Face à ces révélations, des acteurs du secteur technologique ont réagi. Des équipes d’un grand fournisseur ont identifié des sociétés créées par Intellexa pour pénétrer l’écosystème publicitaire, avant que des partenaires ne mettent fin à ces comptes. Parallèlement, des organisations de défense des droits humains insistent sur les risques considérables de ces outils lorsqu’ils sont utilisés contre des militants, avocats ou journalistes, dans des contextes où l’État de droit est fragile. Elles rappellent que si une entreprise conserve un accès aux journaux d’activité et aux opérations de ses clients, son exposition potentielle à des revendications de responsabilité en cas d’abus augmente fortement.

Dans le même temps, Intellexa et ses représentants contestent ces accusations, dénonçant un récit présenté comme biaisé et politiquement motivé, alimenté par certaines organisations et relayé par des médias. Ces dénégations ne suffisent toutefois pas à clore le débat : les révélations successives, l’attention croissante des autorités de régulation et les recherches techniques publiées par des laboratoires indépendants suggèrent que la surveillance commerciale avancée restera l’un des champs de bataille centraux de la cybersécurité et des droits humains au cours des prochaines années.