En 2020, le Project Zero de Google découvrait plusieurs vulnérabilités exploitées par un groupe de hackers pour pénétrer des appareils iOS, Android et Windows. Mais lesdits hackers appartiennent à une agence de renseignement d’un pays allié des Etats-Unis. L’affaire soulève de nombreuses interrogations éthiques, aussi bien chez Google qu’au sein de la communauté du renseignement.
En octobre dernier, Google révélait dans le cadre de son Project Zero avoir découvert une série de failles 0day. Celles-ci étaient exploitées par un mystérieux groupe de hackers qui avait déjà fait des siennes début 2020, et que Google avait déjà contré. Ici, deux douzaines de sites web redirigeant vers deux serveurs dédiés à l’exploitation de failles. Objectif de cette campagne malveillante : pénétrer dans des appareils (Android, iOS et Windows) et monter en privilèges pour, notamment, en extraire des informations.
Le groupe est particulièrement sophistiqué : il utilise ici sept failles 0day, contre quatre en février 2020. Ni une ni deux, Project Zero lui donne la chasse. « Nous sommes très reconnaissants à tous les fournisseurs et aux équipes d'intervention défensive qui ont travaillé leurs longues journées pour analyser nos rapports et obtenir des correctifs publiés et appliqués » se réjouissait ainsi Google en fin d’année dernière.
Mais ce que le géant de Mountain VIew a omis de préciser, c’est qu’il savait exactement qui se trouvait derrière cette campagne d’exploitation de failles 0day. La Technology Review du MIT explique dans un article avoir appris que « les hackers en question étaient en fait des agents d’un gouvernement occidental menant activement une opération antiterroriste ». Soit les services de renseignement d’un allié des Etats-unis, bien que le MIT ne précise pas l’État dont il s’agit.
Vaste débat éthique
« La décision de l'entreprise d'arrêter et de faire connaître l'attaque a provoqué une division interne chez Google et soulevé des questions au sein des communautés du renseignement des États-Unis et de ses alliés » croit savoir la Technology Review. D’autant que si Project Zero ne se perd jamais en attribution, l’autre pendant de la cyberdéfense chez Google, le Threat Analysis Group ne se gêne généralement pas pour pointer du doigt ici la Russie, là l’Iran ou encore la Chine.
Mais dans le cas de ces failles, Google est resté mystérieusement silencieux sur l’auteur des attaques. Y compris sur les techniques et les domaines utilisés. Mais, pour un porte-parole de Google, renseignement allié ou non, une vulnérabilité reste une vulnérabilité. « Project Zero se consacre à la recherche et à la correction des vulnérabilités 0day, et à la publication de recherches techniques conçues pour faire progresser la compréhension des nouvelles vulnérabilités de sécurité et des techniques d'exploitation dans la communauté de recherche » explique-t-il.
En interne, les débats se sont clos sur le constat qu’une vulnérabilité, même exploitée par un pays allié à des fins anti-terroristes, est susceptible d’être employée à des fins moins louables par d’autres. La Technology Review en profite pour relancer ce débat. Et on se rappellera notamment EternalBlue, cette faille exploitée par la NSA, puis dérobée par un groupe de hackers avant de servir de vecteur de propagation au ransomware WannaCry.