Microsoft a détecté l’utilisation de deux vulnérabilités de sécurité jour zéro de Windows – des vulnérabilités n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu à ce moment-là – activement exploités par des gouvernements de pays tels que l’Ouzbékistan, l’Arabie saoudite ou les Émirats arabes unis, afin d’espionner au moins une centaine de cibles spécifiques, à l’aide d’un logiciel malveillant, non de code Devils Tongue.
Les victimes, pour la plupart des défenseurs des droits humains, des dissidents, des journalistes, des activistes et des politiciens, viennent de Palestine, Israël, Iran, Liban, Yémen, Espagne, Royaume-Uni, Turquie, Arménie et Singapour.
Microsoft a depuis corrigé les deux vulnérabilités : CVE-2021-31979, un débordement d’entier dans NTOS, et CVE-2021-33771, une situation de compétition (une situation caractérisée par un résultat différent selon l’ordre dans lequel agissent les acteurs du système).
Elles permettaient aux acteurs malveillants de sortir du bac à sable du navigateur de la victime de gagner des accréditations lui permettant de faire appel au noyau du système d’exploitation, afin d’installer des logiciels malveillants d’espionnage.
La particularité de ces deux vulnérabilités est qu’elles proviennent d’une entreprise privée, nom de code Sourgum : pour Microsoft, tout laisse à penser qu’il s’agit de Candiru, une entreprise israélienne.
Et Citizen Lab, une organisation hébergée par l’Université de Toronto, qui a travaillé avec Microsoft sur ce cas, a pu constater que Candiru était propriétaire de plus de 750 URLs calquées sur les noms d’organisations non gouvernementales telles que Amnesty International, ou de mouvements sociaux comme Black Lives Matter, des médias et des organisations de la société civile…
Candiru a tout fait pour cacher sa structure propriétaire, ses employés et ses investisseurs. Elle a changé plusieurs fois de noms et s’appelle actuellement Saito Tech Ltd.
Microsoft et Citizen Lab en appellent donc à des régulations internationales afin d’interdire le commerce de vulnérabilités.
Malheureusement, le Ministère israélien de la défense, qui attribue des licences d’export aux entreprises comme Candiru, n’a pas l’intention de soumettre ces dernières aux examens rigoureux qui permettraient d’éviter des abus tels que celui-ci.
Exemples de sites louches de Candiru
| Thème | Exemples de domaines |
Se faisant passer pour |
|---|---|---|
| Médias | cnn24-7[.]online | CNN |
| dw-arabic[.]com | Deutsche Welle | |
| euro-news[.]online | Euronews | |
| rasef22[.]com | Raseef22 | |
| france-24[.]news | France 24 | |
| Organismes de défense | amnestyreports[.]com | Amnesty International |
| blacklivesmatters[.]info | Black Lives Matter movement | |
| refugeeinternational[.]org | Refugees International | |
| Etudes de genres | womanstudies[.]co | Academic theme |
| genderconference[.]org | Academic conference | |
| Entreprises de technologie | cortanaupdates[.]com | Microsoft |
| googlplay[.]store | ||
| apple-updates[.]online | Apple | |
| amazon-cz[.]eu | Amazon | |
| drpbx-update[.]net | Dropbox | |
| lenovo-setup[.]tk | Lenovo | |
| konferenciya-zoom[.]com | Zoom | |
| zcombinator[.]co | Y Combinator | |
| Médias sociaux | linkedin-jobs[.]com | |
| faceb00k-live[.]com | ||
| minstagram[.]net | ||
| twitt-live[.]com | ||
| youtubee[.]life | YouTube | |
| Sites populaires | wikipediaathome[.]net | Wikipedia |
| Organisations internationales | osesgy-unmissions[.]org | Office of the Special Envoy of the Secretary-General for Yemen |
| un-asia[.]co | United Nations | |
| whoint[.]co | World Health Organization | |
| Fournisseurs de gouvernements | vesteldefnce[.]io | Fournisseur de la défense turque |
| vfsglobal[.]fr | Fournisseur de visas |