Candiru (entreprise)

Candiru
Création 2014
Fondateurs Eran Shorer, Yaakov Weizman
Forme juridique Société à capitaux privés[1]Voir et modifier les données sur Wikidata
Siège social Tel Aviv
Drapeau d'Israël Israël
Direction Eaitan Achlow
Actionnaires Isaac Zack
Activité Surveillance
Sociétés sœurs NSO Group
Effectif 150Voir et modifier les données sur Wikidata

Candiru est une entreprise israélienne de sécurité informatique fondée en et implantée à Tel Aviv en Israël.

Reconnue comme l'une des sociétés de cyberespionnage israéliennes les plus en pointe avec NSO Group[2], elle propose des logiciels qui peuvent être utilisés pour infiltrer des plateformes numériques. Sa spécialité semble être l'infiltration d'ordinateurs, en particulier ceux utilisant le système d'exploitation Windows[3].

La société a été présentée comme secrète par plusieurs médias[4] dont Haaretz, la décrivant comme "l'une des sociétés de cyberguerre les plus mystérieuses d'Israël"[5].

Historique

Candiru a été fondée par Eran Shorer et Yaakov Weizman[5],[6] en sous le nom de Candiru Ltd[7]. Son principal actionnaire est Isaac Zack, qui est par ailleurs l'un des fondateurs de NSO Group[5], au travers de Founders Group. De plus, cette derrière société a été cofondée par Omri Lavie, un autre des fondateurs de NSO[3].

L'entreprise porte le nom du candiru, un poisson parasite amazonien connu pour sa capacité apocryphe à envahir et à parasiter l'urètre humain. Bien que toujours connue sous son nom d'origine Candiru, elle a procédé à de multiples changements de son nom, la rendant plus opaque[5],[7],[4]. Outre cela, elle change régulièrement de lieu, n'a pas de site Web, oblige ses employés à signer des accords de non-divulgation et à ne pas révéler leur lieu de travail sur LinkedIn[5]. Elle recrute massivement au sein de l'unité de renseignement de Tsahal, l'Unité 8200[5] et rémunère ses salariés plus de 20 000€ par mois[8].

Selon les informations provenant des dépôts judiciaires d'une action en justice intentée par un ancien salarié, l'entreprise comptait 12 employés fin et 70 employés fin . Au cours de la première année suivant sa création, la société n'avait aucun client, mais au début de , la société avait conclu un certain nombre d'accords à un stade avancé avec des clients d'Europe, de l'ex-Union soviétique, du golfe Persique, d'Asie et d'Amérique latine[5]. En , Candiru emploierait 120 personnes et aurait généré un chiffre d'affaires annuel de 30 millions de dollars, ce qui en ferait la deuxième plus grande entreprise de cyberespionnage d'Israël derrière NSO Group[5]. Selon un rapport de , la capitalisation boursière de Candiru était de 90 millions de dollars[5].

En , le département du commerce des États-Unis a ajouté Candiru (ainsi que NSO Group) à sa liste noire commerciale pour avoir fourni des logiciels espions à des gouvernements étrangers qui l'ont ensuite utilisé à des fins malveillantes[9],[10].

Produits et services

Candiru vends ses produits et services aux agences de renseignements pour faciliter la surveillance, l'exfiltration de données et les cyber-attaques. Elle traite exclusivement avec des gouvernements. La société déclare qu'elle interdit le déploiement de ses produits aux États-Unis, en Russie, en Chine, en Israël ou en Iran, mais Microsoft a identifié des cibles de Candiru dans ces deux derniers pays.

Selon un document de l'entreprise qui a fuité en [5], les produits de l'entreprise peuvent être utilisés pour infiltrer les ordinateurs, les réseaux, les téléphones mobiles, sont compatibles avec plusieurs environnements de système d'exploitation (Windows, iOS et Android), nécessitent une interaction minimale pour réaliser l'infiltration, sont installés silencieusement et sont très difficile à localiser. Le document divulgué poursuit en indiquant qu'une fois déployé, le logiciel espion peut exfiltrer beaucoup de données de l'appareil compromis, comme les mots de passes, les messages et les enregistrements audios et vidéos[5]. En plus de cela, le logiciel espion permet d'envoyer des messages directement depuis l'ordinateur de la cible. Selon un document marketing de , le logiciel espion ne provoque aucune interruption de l'appareil ciblé[11].

Elle propose une gamme d'approches d'attaques ciblée, comme l'infiltration par des hyperliens, des attaques de l'homme du milieu, des fichiers infectés par un virus, des attaques physiques ainsi qu'un logiciel appelé Sherlock[4]. Selon Candiru, ce dernier serait à même de réaliser des attaques efficace contre Windows, iOS et Android[7]. La société aurait aussi conçu de nouveaux logiciels espions personnalisés dans les cas où aucun des outils de son répertoire standard ne réussissaient à infiltrer la cible[5].

Affaires d'espionnage

En , des employés de Kaspersky ont révélé que le logiciel espion de Candiru était utilisé par l'agence de renseignement ouzbèke. Des failles de sécurité opérationnelles commises par le client ouzbek lors du test des outils contre divers systèmes antivirus (y compris l'antivirus Kaspersky) ont alerté les analystes. Ils ont alors identifié l'ordinateur de test Ouzbek et découvert une adresse Web à laquelle il se connectait régulièrement, qui a été enregistrée par le Service de sécurité nationale d'Ouzbek. Les résultats leur ont ensuite permis d'identifier deux autres clients de Candiru : l'Arabie saoudite et les Émirats arabes unis. Le suivi des tactiques d'infiltration de Candiru a permis aux experts en cybersécurité d'identifier et de corriger huit exploits Windows zero-day[3].

En , le journal en ligne londonien Middle East Eye a été attaqué et utilisée pour déployer un code malveillant sur les appareils des visiteurs. 20 organisations, dont une ambassade iranienne, des sociétés aérospatiales italiennes ainsi que des entités gouvernementales syriennes et yéménites, ont été ciblées. L'attaque a été découverte par ESET, qui a lié le code malveillant utilisé dans l'attaque à Candiru[9].

En , une enquête conjointe du Citizen Lab et de Microsoft révèle que Candiru a utilisé plus de 750 URL de sites Web fictives conçues pour apparaître comme des adresses Web d'ONG, de groupes d'activistes, d'organisations de santé et d'organisations de média pour piéger des cibles et que les outils de cyberespionnage de cette entreprise étaient utilisés pour cibler la société civile. Ainsi, Microsoft a identifié au moins 100 cibles habitant des pays d'Europe et d'Asie parmi lesquelles des politiciens, des militants des droits de l'homme, des journalistes, des universitaires, des employés d'ambassade ainsi que des dissidents politiques. Cette collaboration a permis de corriger plusieurs failles de sécurité exploitées par Candiru sur Windows, Google Chrome et Microsoft Office[12],[7].

Un rapport d’Amnesty International dénonce l’achat de logiciels espions par l’Indonésie depuis 2017. Ce pays a déployé plusieurs logiciels espions provenant d’Israël, de l’Union européenne et de Malaisie. En 2024, selon le quotidien Haaretz, Candiru n’a plus de contrats en cours en Indonésie[13].

Notes et références

  1. « https://www.forbes.com/sites/thomasbrewster/2019/10/03/meet-candiru-the-super-stealth-cyber-mercenaries-hacking-apple-and-microsoft-pcs-for-profit/?sh=3feb1a675a39 »
  2. « ISRAEL : Cyber-tractations serrées entre Tel Aviv et Washington - 14/12/2021 », sur Intelligence Online, (consulté le )
  3. a b et c « Candiru, L'Entreprise Qui Pirate Microsoft Et Apple Contre De Gros Chèques », sur Forbes France, (consulté le )
  4. a b et c (en) « Israeli spyware firm linked to fake Black Lives Matter and Amnesty websites – report », the Guardian, (consulté le )
  5. a b c d e f g h i j k et l (en) « Cellphone hacking, Gulf deals: Top secret Israeli cyberattack firm revealed », Haaretz.com (consulté le )
  6. (en) Thomas Brewster, « Meet Candiru — The Mysterious Mercenaries Hacking Apple And Microsoft PCs For Profit », sur Forbes (consulté le )
  7. a b c et d (en-US) « Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus », The Citizen Lab, (consulté le )
  8. Jean-Marc Manach, « Des hackers de haut niveau percés à jour par une commande de houmous », sur korii., (consulté le )
  9. a et b « Un logiciel espion israélien sur la liste noire des États-Unis « soupçonné » d’avoir attaqué Middle East Eye », sur Middle East Eye édition française (consulté le )
  10. Radio J, « Les sociétés israéliennes NSO et Candiru placées sur liste noire par les Etats-Unis », sur Radio J, (consulté le )
  11. Hannah Murphy et Mehul Srivastava, « Israel’s Candiru sold states spyware to hack journalists and dissidents », Financial Times,‎ (lire en ligne, consulté le )
  12. « Un logiciel israélien utilisé pour espionner plusieurs militants et journalistes selon un groupe d'experts », sur Franceinfo, (consulté le )
  13. « rapport d’Amnesty International dénonce l’achat de logiciels espions par l’Indonésie », sur LeMonde.fr, (consulté le )

Voir aussi

Articles connexes

Liens externes