L'iPhone et iMessage se sont révélés des alliés précieux pour un groupe de hackers employés par les Émirats arabes unis (EAU) afin de mener des opérations d'espionnage de personnalités du pays et à l'étranger, détaille Reuters dans une longue enquête en deux parties.
L'affaire remonte au début 2016, elle implique un groupe clandestin baptisé "Raven", formé de responsables de la sécurité dans les Émirats arabes unis et d'une douzaines d'anciens agents des services d'espionnage américains. Une partie d'entre eux avaient été blâmés par la NSA pour avoir encouragé l'embauche d'un spécialiste appelé Edward Snowden.
Les EAU avaient acheté un outil surnommé "Karma", capable d'infiltrer des iPhone pour en observer l'activité et récupérer des données. Le créateur de ce logiciel est demeuré inconnu et les membres de Raven n'en connaissaient le fonctionnement que dans les grandes lignes.
Suffisamment pour s'en servir quotidiennement, ce qui apparemment n'était pas compliqué. Les agents n'en savaient pas beaucoup sur le mode opératoire de Karma, sinon qu'il s'appuyait en partie sur des failles liées à iMessage.
Lori Stroud, une ex agente de la NSA et ancienne membre de Raven a raconté à Reuters l'accueil fait à cet outil de surveillance : « C'était du genre, 'Nous avons ce nouvel exploit que nous venons d'acheter. Filez-nous maintenant une énorme liste de cibles qui ont un iPhone'. C'était comme à Noël ».
iMessage oblige, Karma avait comme particularité de ne fonctionner qu'avec les iPhone. Il ne pouvait intercepter des appels téléphoniques mais il savait moissonner les photos, SMS, e-mail, mots de passe et informations de position géographique de l'utilisateur. Reuters n'a pu obtenir de détails sur la manière dont de telles informations, ou des photos parfois compromettantes, ont pu être utilisées.
Contrairement à une autre affaire de piratage impliquant cette fois l'Arabie Saoudite (lire L'iPhone de Jamal Khashoggi utilisé pour l'espionner ?) le malware n'avait pas besoin que la cible ouvre Messages ni qu'elle tape sur un lien reçu. Il suffisait de fournir à Karma le numéro de téléphone de l'individu visé ou son adresse email.
C'est un iMessage envoyé vers le téléphone de la victime qui, au travers d'une faille dans la plate-forme d'Apple, pouvait établir une connexion avec le système des hackers. Plusieurs surveillances pouvaient être menées de front, selon une fréquence quotidienne.
Ce qu'il est advenu de ce logiciel reste un mystère mais d'après Lori Stroud, vers la fin 2017, Apple a modifié des choses dans iOS qui ont rendu Karma moins efficace.
Ce logiciel a été acheté par le gouvernement des EAU, poursuit Reuters et c'est une société spécialisée en sécurité, DarkMatter, qui payait l'équipe de pirates. Plusieurs militants, opposants ou personnalités politiques chez les voisins des Émirats arabes unis ont été ainsi surveillés, ainsi que des personnes en Europe de même que l'ancien vice-Premier ministre turc. L'équipe travaillait également contre des groupes terroristes liés à Daech.
C'est seulement après avoir remarqué que ces opérations de surveillance visaient parfois des citoyens américains que Stroud a commencé à poser quelques questions. Licenciée du jour au lendemain, elle est retournée aux États-Unis. Elle fait l'objet d'une enquête du FBI pour vérifier si des informations sensibles et des outils d'espionnage américains ont été transmis à l'étranger.