Une enquête de TechCrunch révèle qu’une société italienne, SIO, spécialisée dans les logiciels espions vendus à des agences gouvernementales, est responsable de la diffusion d’applications Android malveillantes. Déguisées en applications populaires comme WhatsApp, ces fausses apps visaient à voler des données personnelles et à surveiller les utilisateurs ciblés.
Un logiciel espion actif depuis plusieurs années
L’histoire commence fin 2024, lorsqu’un chercheur en cybersécurité a transmis trois applications suspectes à TechCrunch, affirmant qu’elles étaient probablement utilisées par le gouvernement italien contre des cibles inconnues. Après une analyse par Google et l’entreprise de cybersécurité Lookout, le verdict est tombé : ces applications étaient bel et bien des logiciels espions.
Le logiciel espion en question, nommé Spyrtacus, a été identifié dans plusieurs échantillons de malware collectés entre 2019 et octobre 2024. Selon Lookout, ces applications frauduleuses n’étaient pas disponibles sur Google Play mais étaient diffusées via des sites web malveillants imitant des plateformes officielles d’opérateurs télécoms italiens, tels que TIM, Vodafone et WINDTRE.
Des méthodes de cyberespionnage classiques mais redoutables
Contrairement aux cyberattaques sophistiquées reposant sur des failles inconnues, la campagne de SIO misait sur une technique plus traditionnelle : la diffusion d’applications frauduleuses. Ces fausses apps se faisaient passer pour des services populaires, incitant les victimes à les installer sans se méfier.
Une fois en place, Spyrtacus pouvait :
- Lire les messages SMS et les conversations sur WhatsApp, Facebook Messenger et Signal
- Accéder aux contacts et à l’historique des appels
- Activer le microphone et la caméra du téléphone pour espionner en temps réel
- Enregistrer les appels téléphoniques et voler des fichiers stockés sur l’appareil
Cette approche permettait à SIO de fournir aux agences gouvernementales un moyen discret de surveiller leurs cibles, sans nécessiter d’attaques à distance complexes comme celles utilisées par Pegasus ou Paragon, deux autres logiciels espions de renommée mondiale.
Des preuves reliant SIO au logiciel espion Spyrtacus
Plusieurs indices techniques et administratifs pointent vers SIO comme étant le créateur de Spyrtacus :
- Les serveurs de commande et de contrôle du malware étaient enregistrés au nom d’ASIGINT, une filiale de SIO spécialisée dans l’interception de communications.
- Un document officiel de 2024 mentionne ASIGINT comme étant responsable du développement de logiciels de surveillance.
- La Lawful Intercept Academy, une organisation italienne qui certifie les outils d’espionnage, attribue à SIO la certification du logiciel SIOAGENT, dont ASIGINT est propriétaire.
En fouillant plus loin, Lookout a découvert qu’un dirigeant d’ASIGINT, Michele Fiorentino, mentionnait sur son profil LinkedIn avoir travaillé sur un projet nommé « Spyrtacus Project » en 2019-2020, lorsqu’il était employé chez DataForense, une autre entreprise italienne spécialisée dans la cybersurveillance.
Un détail surprenant a également été trouvé dans le code du malware : une phrase en dialecte napolitain « Scetáteve guagliune ‘e malavita », qui signifie « Réveillez-vous, garçons de la pègre », tirée d’une chanson traditionnelle. Cela pourrait indiquer que certains développeurs de Spyrtacus viennent de la région de Naples.
Un silence inquiétant des autorités et des responsables de SIO
TechCrunch a tenté d’obtenir des réponses de la part du gouvernement italien et des dirigeants de SIO. Malgré de multiples sollicitations, ni Elio Cattaneo (PDG de SIO), ni Claudio Pezzano (directeur financier), ni Alberto Fabbri (directeur technique) n’ont répondu aux demandes de commentaires.
À ce jour, on ignore encore quelles agences gouvernementales ont utilisé Spyrtacus et contre quelles cibles.
Suivez-nous sur Google Actualités
