Originaire du Liban, le caracal est un discret félin aux longues oreilles. Ces qualités expliquent qu’il ait donné son nom à plusieurs opérations d’espionnage informatique visant – depuis Beyrouth – des milliers d’activistes, responsables politiques, journalistes, avocats, militaires et entreprises à travers le monde.

Les pirates informatiques de Dark Caracal n’ont pas l’agilité du lynx du désert : le fruit de leurs opérations – des dizaines de gigaoctets de données dérobées à des milliers de victimes situées dans 21 pays, en Europe, au Moyen-Orient, en Asie et en Amérique du Nord – était librement accessible en ligne. Des données que se sont procurées et ont analysé l’Electronic Frontier Foundation, une ONG de défense des libertés numériques, et Lookout, une entreprise de sécurité informatique.

Pour ces deux organisations, pas de doute, ces attaques ont été lancées depuis Beyrouth, et plus précisément depuis un bâtiment de la Sûreté générale, les services de renseignements libanais. Elles se gardent cependant bien de pointer du doigt la Sûreté générale. Plusieurs éléments interpellent en effet les experts. D’abord, les cibles de Dark Caracal sont nombreuses et très variées. Ensuite, l’infrastructure technique utilisée pour Dark Caracal a également été mise à profit dans d’autres attaques. Comme si, expliquent les chercheurs, plusieurs commanditaires se partageaient les mêmes outils d’espionnage. « La Sûreté générale n’a pas les capacités qui lui sont attribuées. Nous aimerions bien les avoir », a réagi son directeur, le général Ibrahim Abbas, interrogé par Reuters.

Les chercheurs estiment que Dark Caracal aurait débuté dès janvier 2012 pour se poursuivre jusqu’à aujourd’hui. Pour les deux organisations, les smartphones sont les principales cibles de ces espions, même s’ils se sont aussi attaqués à des ordinateurs.

Clones malveillants d’applications populaires

Pour s’infiltrer dans les téléphones de leurs cibles, les hackeurs ont créé au moins onze clones vérolés d’applications de discussion, comme Telegram, WhatsApp ou Signal, en y insérant un logiciel de surveillance surnommé Pallas. Ces applications ressemblent en tout point aux originales, remplissent la même fonction, mais envoient les contacts, messages et autres données à un serveur contrôlé par les hackers.

Ces applications n’étaient pas proposées dans les boutiques officielles, mais dans d’autres sites habillés d’une manière à avoir l’air légitimes. Afin d’infecter leurs cibles, les espions ont essentiellement recouru à des techniques dites d’« hameçonnage » pour attirer leurs victimes vers ces fausses boutiques d’applications ou leur faire ouvrir, par exemple, des documents Word piégés. Outre ces techniques exécutées à distance, les chercheurs notent que les espions à l’origine de Dark Caracal ont parfois accédé physiquement aux appareils de certaines de leurs cibles.

Les données dérobées sur les téléphones incluent des enregistrements audio de conversations téléphoniques, des SMS, les journaux d’appels, les contenus de logiciels de messageries, les contacts ainsi que des photographies. A partir des ordinateurs, les pirates ont subtilisé des historiques de conversations sur le logiciel Skype, des dossiers photos dans leur intégralité, des listes de tous les fichiers présents sur la machine, et pouvaient même réaliser des captures d’écran à intervalles réguliers.

En analysant les informations collectées puis laissées à l’air libre par les pirates, les chercheurs – restés discrets sur l’identité exacte de leurs victimes – se sont aperçus qu’y figuraient des données issues d’appareil situés dans des dizaines de pays : Qatar, Syrie, Suisse, Chine, Allemagne, mais également la France.