Des logiciels malveillants pouvant servir à la surveillance et l’espionnage, restent régulièrement hébergés, à l’abri de toute détection, dans des centaines d’applications du Google Store, pendant des mois ou des années.

Ce qui relativise les promesses de Google sur la sécurité de son magasin virtuel, même s’il demeure nettement plus sûr que les autres.

En juin, une enquête du canadien CitizenLab et des organisations non gouvernementales mexicaines R3D et Social Tic a montré comment le gouvernement mexicain espionnait illégalement, avec l’aide de l’entreprise israélienne NSO Group, qui développe des logiciels malveillants pour les gouvernements les plus offrants, des journalistes, des représentants des consommateurs, des chercheurs et des spécialistes de la santé.

Des logiciels malveillants pour Android (Chrysaor) aussi bien que iOS (Pegasus).

Mexico est la ville la plus dangereuse du monde pour les journalistes, victimes d’enlèvements, d’intimidations et de violences.

Toutes les victimes ont en commun d’avoir travaillé sur des enquêtes sur la corruption d’officiels ou sur le non-respect des droits de l’homme. Elles ont reçu par SMS et par courriels se faisant passer pour officiels et légitimes, et par d’autres moyens, des liens d’exploits de NSO, qui permettent d’infecter leurs smartphones pour donner un accès complet aux commanditaires, et la capacité de rapporter toutes les actions menées sur le smartphone.

Il va sans dire que NSO Group affirme respecter les lois sur les exportations et aider les gouvernements à combattre le terrorisme et la criminalité.

C’est le spécialiste de la sécurité Lookout qui a découvert l’infection de nombreuses applications du Google Play qui en a informé Google, afin que cette dernière fasse le ménage dans son magasin virtuel.

Malheureusement, le Mexique est loin d’avoir le monopole des intimidations et de l’espionnage illégal.

Depuis, Google a découvert un logiciel d’espionnage baptisé Lippizan, et développé par une autre entreprise israélienne : Equus.

Une fois installé sur un smartphone Android, Lippizan peut siphoner vers un serveur à peu près toutes les informations personnelles de la victime : SMS, courriels, appels téléphoniques, photos et vidéos.

Comme Chrysaor, Lippizan a déjoué sans problème tous les garde-fous du Google Play, et resté longtemps non détectés dans des applications se faisant passer pour divers utilitaires : de sauvegarde, de nettoyage, etc.

Si l’on en croit Google, seules une vingtaine d’applications et une centaine de smartphones auraient été infectés. Il n’est pas interdit de douter de la véracité d’affirmations d’une entreprise qui n’a pas su détecter de nombreux logiciels malveillants.