Lookout, spécialiste de la cybersécurité, a signalé le 16 juin l’infection d’appareils Android par le logiciel espion Hermit au Kazakhstan et en Italie. Google a aussitôt notifié les utilisateurs concernés et pris des mesures pour limiter cette infection. Selon Lookout et Google, l’entreprise italienne RCS Lab aurait conçu ce logiciel pour le vendre à des agences gouvernementales. Une affaire qui fait écho au scandale du logiciel espion Pegasus qui avait infecté les téléphones de journalistes et de personnalités politiques en 2021.

Une infection avec la complicité des opérateurs téléphoniques

Google a confirmé la découverte faite par Lookout à travers une publication sur son blog ce 23 juin. À la différence de Pegasus, qui est un logiciel « zero click », ne nécessitant pas d’action de la part des utilisateurs pour infecter leur téléphone, Hermit doit être téléchargé manuellement. Lookout explique que les victimes ont été manipulées avec la complicité d’opérateurs téléphoniques.

Selon Google, la connexion mobile des personnes ciblées est coupée temporairement par l’opérateur. Ils reçoivent ensuite un lien par message qui les invite à télécharger une application officielle pour rétablir la connexion. Il s’agit d’un leurre qui permet l’installation d’Hermit sur le système Android de la victime en contournant les sécurités présentes sur le Google Play Store.

Le logiciel espion ainsi installé est connecté à un serveur qui va collecter de nombreuses données. Historique des appels, photos, messages, emails et localisation du téléphone font partie des éléments récupérés. Plus inquiétant encore, Hermit peut enregistrer du son et rediriger les appels.

En plus d’avoir prévenu les personnes infectées, Google a mis à jour Google Play Protect, l’application de scan de sécurité intégré à tous les appareils Android pour bloquer le logiciel espion. Le géant américain a aussi coupé l’accès d’Hermit à Firebase, l’outil de création d’application de Google, que le logiciel espion détournait pour se connecter à son serveur.

Hermit a été utilisé à des fins malveillantes dans plusieurs pays

Lookout précise que le logiciel Hermit est connu depuis plusieurs années. Il a déjà été utilisé par le gouvernement italien en 2019 dans une opération anticorruption. Selon des enregistrements découverts par le spécialiste de la cybersécurité, il aurait aussi été utilisé en Syrie par un acteur inconnu. La zone ciblée était une région du nord-est du pays où Hermit s’est fait passer pour « Rojava Network », un média présent sur les réseaux sociaux.

Lookout a remonté la piste d’une utilisation plus récente d’Hermit par le gouvernement du Kazakhstan en avril 2022, quelques mois après des manifestations anti-gouvernementales. Dans ce cas de figure, Hermit a usurpé l’identité d’un site web d’Oppo, le fabricant de téléphones, pour induire en erreur les internautes.

Les preuves collectées par Lookout ont permis de remonter à l’entreprise à l’origine du logiciel espion. Il s’agirait de la société italienne RCS Lab, vendeur de logiciels espions, connus pour des affaires remontant en 2015. À l’époque, des fuites de Wikileaks avaient dévoilé que RCS Lab était un revendeur pour HackingTeam, fournisseur de logiciels espions. Des liens ont pu être établis entre ces deux entreprises italiennes et des agences militaires et de renseignement dans de nombreux pays comme le Pakistan, le Chili, la Mongolie ou encore le Turkménistan.

À la suite de l’affaire Pegasus, en 2021, un groupe d’experts de l’ONU a estimé que la vente de ce type de logiciels devait être suspendue dans l’attente d’une réglementation plus forte. Bien que l’affaire Hermit n’a pas la même ampleur médiatique que celle du virus israelien, elle pourrait relancer la question d’un meilleur encadrement de ces cyber-armements.