Un scénario digne d’un film. Trois anciens agents du renseignement américain ont vendu un outil de piratage zéro-clic, aux Émirats Arabes Unis. Ces hommes faisaient partie d’une unité clandestine nommée Project Raven. Condamnés par la justice américaine, ils devront payer plus de 1,68 million de dollars pour violation des lois sur le piratage, a annoncé mardi le ministère de la Justice.

Le Projet Raven, constitué notamment de Marc Baier, Rayan Adams, et Daniel Gericke, a été dévoilé pour la première fois par Reuters. Neuf anciens membres de Raven ont collaboré avec les autorités américaines pour le dénoncer. Tous ont demandé à être couverts par l'anonymat, excepté Lori Stroud. Ancienne analyste de la NSA, elle a travaillé sur le projet Raven, avant de changer son fusil d’épaule.

Toutes ces personnes se disent persuadées de respecter la loi, leurs supérieurs, dont Baier, ayant assuré que la NSA avait approuvé le projet. En vendant Exploit One aux Émirats Arabes Unis, les mercenaires ont aidé le pays à espionner ses ennemis. Les trois Américains sont également inculpés pour violation des restrictions militaires à l’exportation.

Un outil de piratage zéro-clic américain

Exploit One est le nom donné à l’exploit vendu par ces trois Américains. En informatique, il s’agit d’un élément programmable permettant à un logiciel d’exploiter une faille de sécurité. Concrètement, les accusés ont aidé les Émirats-Arabes Unis à se procurer cet outil zéro-clic, et à le déployer à des fins d’espionnage. zéro-clic signifie que la personne ciblée n’a pas besoin de cliquer sur quoi que ce soit pour être infectée. Souvent, la cible ne se rend même pas compte qu’elle est attaquée. Ce genre d’outil est donc particulièrement recherché, car très efficace. Dans cette affaire, Exploit One a justement permis l’utilisation d’un logiciel de piratage dit zéro-clic.

Un document judiciaire récemment descellé, explique que « les accusés ont utilisé des moyens illicites, frauduleux et criminels, y compris l'utilisation de systèmes de piratage secrets avancés qui ont utilisé des exploits informatiques obtenus aux États-Unis et ailleurs, pour obtenir un accès non autorisé à des ordinateurs protégés aux États-Unis et ailleurs et pour obtenir illégalement des informations ».

Ministère de la justice aux Etats-Unis

Le ministère de la justice américaine, en charge de l'affaire.
Image : Wikipédia.

La plupart des victimes de ce logiciel seraient des citoyens américains. Pour faire cela, les anciens agents ont été payés très cher par les Émirats. « Entre ou vers janvier 2016 et vers ou vers mai 2016, le défendeur BAIER a obtenu un accord de la société US COMPANY FOUR aux États-Unis pour fournir EXPLOIT ONE et d'autres logiciels informatiques à UAE CO en échange d'environ 750 000 $, et par la suite, UAE CO a envoyé environ 1 300 000 $ par virement bancaire à partir d'une société contrôlée par UAE CO », est-il inscrit dans le dossier.

Condamnés à payer 1,68 million de dollars

Dans ses révélations sur le sujet, Reuters a indiqué que Baier était le responsable du projet. Les deux autres accusés avaient les rôles « d’opérateurs ». Les procureurs ont promis aux trois hommes d’abandonner les charges à leur encontre, s’ils coopèrent avec la justice américaine.

S’ajoute à cette coopération une condamnation financière de 1,68 million de dollars, mais aussi des restrictions d’emploi. Ils ne pourront en effet plus travailler dans l’exploitation de réseaux informatiques, et leurs emplois possibles dans certaines organisations des Émirats Arabes Unis sont limités. Les trois compères se sont également vus interdire, à vie, de quelconques autorisations de sécurité américaine.

Les piratages zéro-clic se répandent et inquiètent de plus en plus gouvernements et spécialistes en cybersécurité. Ces menaces concernent aujourd’hui de plus en plus de personnes et d’entreprise, à l’image des utilisateurs d’Apple. La marque à la pomme a récemment corrigé une faille zéro-clic dans iMessage. Une vulnérabilité exploitée par Pegasus, le logiciel espion de la société israélienne NSO Group, connue notamment pour son utilisation dans l’espionnage de plusieurs membres du gouvernement français.