Candiru (entreprise) — Wikipédia

	Candiru
Création	2014
Fondateurs	Eran Shorer, Yaakov Weizman
Forme juridique	Société à capitaux privés
Siège social	Tel Aviv; Israël
Direction	Eaitan Achlow
Actionnaires	Isaac Zack
Activité	Surveillance
Sociétés sœurs	NSO Group
Effectif	150
	modifier - modifier le code - voir Wikidata

Candiru est une entreprise israélienne de sécurité informatique fondée en 2014 et implantée à Tel Aviv en Israël.

Reconnue comme l'une des sociétés de cyberespionnage israéliennes les plus en pointe avec NSO Group^[2], elle propose des logiciels qui peuvent être utilisés pour infiltrer des plateformes numériques. Sa spécialité semble être l'infiltration d'ordinateurs, en particulier ceux utilisant le système d'exploitation Windows^[3].

La société a été présentée comme secrète par plusieurs médias^[4] dont Haaretz, la décrivant comme "l'une des sociétés de cyberguerre les plus mystérieuses d'Israël"^[5].

Historique[modifier | modifier le code]

Candiru a été fondée par Eran Shorer et Yaakov Weizman^[5]^,^[6] en 2014 sous le nom de Candiru Ltd^[7]. Son principal actionnaire est Isaac Zack, qui est par ailleurs l'un des fondateurs de NSO Group^[5], au travers de Founders Group. De plus, cette derrière société a été cofondée par Omri Lavie, un autre des fondateurs de NSO^[3].

L'entreprise porte le nom du candiru, un poisson parasite amazonien connu pour sa capacité apocryphe à envahir et à parasiter l'urètre humain. Bien que toujours connue sous son nom d'origine Candiru, elle a procédé à de multiples changements de son nom, la rendant plus opaque^[5]^,^[7]^,^[4]. Outre cela, elle change régulièrement de lieu, n'a pas de site Web, oblige ses employés à signer des accords de non-divulgation et à ne pas révéler leur lieu de travail sur LinkedIn^[5]. Elle recrute massivement au sein de l'unité de renseignement de Tsahal, l'Unité 8200^[5] et rémunère ses salariés plus de 20 000€ par mois^[8].

Selon les informations provenant des dépôts judiciaires d'une action en justice intentée par un ancien salarié, l'entreprise comptait 12 employés fin 2015 et 70 employés fin 2018. Au cours de la première année suivant sa création, la société n'avait aucun client, mais au début de 2016, la société avait conclu un certain nombre d'accords à un stade avancé avec des clients d'Europe, de l'ex-Union soviétique, du golfe Persique, d'Asie et d'Amérique latine^[5]. En janvier 2019, Candiru emploierait 120 personnes et aurait généré un chiffre d'affaires annuel de 30 millions de dollars, ce qui en ferait la deuxième plus grande entreprise de cyberespionnage d'Israël derrière NSO Group^[5]. Selon un rapport de décembre 2019, la capitalisation boursière de Candiru était de 90 millions de dollars^[5].

En novembre 2021, le département du commerce des États-Unis a ajouté Candiru (ainsi que NSO Group) à sa liste noire commerciale pour avoir fourni des logiciels espions à des gouvernements étrangers qui l'ont ensuite utilisé à des fins malveillantes^[9]^,^[10].

Produits et services[modifier | modifier le code]

Candiru vends ses produits et services aux agences de renseignements pour faciliter la surveillance, l'exfiltration de données et les cyber-attaques. Elle traite exclusivement avec des gouvernements. La société déclare qu'elle interdit le déploiement de ses produits aux États-Unis, en Russie, en Chine, en Israël ou en Iran, mais Microsoft a identifié des cibles de Candiru dans ces deux derniers pays.

Selon un document de l'entreprise qui a fuité en 2020^[5], les produits de l'entreprise peuvent être utilisés pour infiltrer les ordinateurs, les réseaux, les téléphones mobiles, sont compatibles avec plusieurs environnements de système d'exploitation (Windows, iOS et Android), nécessitent une interaction minimale pour réaliser l'infiltration, sont installés silencieusement et sont très difficile à localiser. Le document divulgué poursuit en indiquant qu'une fois déployé, le logiciel espion peut exfiltrer beaucoup de données de l'appareil compromis, comme les mots de passes, les messages et les enregistrements audios et vidéos^[5]. En plus de cela, le logiciel espion permet d'envoyer des messages directement depuis l'ordinateur de la cible. Selon un document marketing de 2018, le logiciel espion ne provoque aucune interruption de l'appareil ciblé^[11].

Elle propose une gamme d'approches d'attaques ciblée, comme l'infiltration par des hyperliens, des attaques de l'homme du milieu, des fichiers infectés par un virus, des attaques physiques ainsi qu'un logiciel appelé Sherlock^[4]. Selon Candiru, ce dernier serait à même de réaliser des attaques efficace contre Windows, iOS et Android^[7]. La société aurait aussi conçu de nouveaux logiciels espions personnalisés dans les cas où aucun des outils de son répertoire standard ne réussissaient à infiltrer la cible^[5].

Affaires d'espionnage[modifier | modifier le code]

En 2019, des employés de Kaspersky ont révélé que le logiciel espion de Candiru était utilisé par l'agence de renseignement ouzbèke. Des failles de sécurité opérationnelles commises par le client ouzbek lors du test des outils contre divers systèmes antivirus (y compris l'antivirus Kaspersky) ont alerté les analystes. Ils ont alors identifié l'ordinateur de test Ouzbek et découvert une adresse Web à laquelle il se connectait régulièrement, qui a été enregistrée par le Service de sécurité nationale d'Ouzbek. Les résultats leur ont ensuite permis d'identifier deux autres clients de Candiru : l'Arabie saoudite et les Émirats arabes unis. Le suivi des tactiques d'infiltration de Candiru a permis aux experts en cybersécurité d'identifier et de corriger huit exploits Windows zero-day^[3].

En avril 2021, le journal en ligne londonien Middle East Eye a été attaqué et utilisée pour déployer un code malveillant sur les appareils des visiteurs. 20 organisations, dont une ambassade iranienne, des sociétés aérospatiales italiennes ainsi que des entités gouvernementales syriennes et yéménites, ont été ciblées. L'attaque a été découverte par ESET, qui a lié le code malveillant utilisé dans l'attaque à Candiru^[9].

En juillet 2021, une enquête conjointe du Citizen Lab et de Microsoft révèle que Candiru a utilisé plus de 750 URL de sites Web fictives conçues pour apparaître comme des adresses Web d'ONG, de groupes d'activistes, d'organisations de santé et d'organisations de média pour piéger des cibles et que les outils de cyberespionnage de cette entreprise étaient utilisés pour cibler la société civile. Ainsi, Microsoft a identifié au moins 100 cibles habitant des pays d'Europe et d'Asie parmi lesquelles des politiciens, des militants des droits de l'homme, des journalistes, des universitaires, des employés d'ambassade ainsi que des dissidents politiques. Cette collaboration a permis de corriger plusieurs failles de sécurité exploitées par Candiru sur Windows, Google Chrome et Microsoft Office^[12]^,^[7].

Un rapport d’Amnesty International dénonce l’achat de logiciels espions par l’Indonésie depuis 2017. Ce pays a déployé plusieurs logiciels espions provenant d’Israël, de l’Union européenne et de Malaisie. En 2024, selon le quotidien Haaretz, Candiru n’a plus de contrats en cours en Indonésie^[13].

Notes et références[modifier | modifier le code]

↑ « https://www.forbes.com/sites/thomasbrewster/2019/10/03/meet-candiru-the-super-stealth-cyber-mercenaries-hacking-apple-and-microsoft-pcs-for-profit/?sh=3feb1a675a39 »
↑ « ISRAEL : Cyber-tractations serrées entre Tel Aviv et Washington - 14/12/2021 », sur Intelligence Online, 14 décembre 2021 (consulté le 18 février 2022)
↑ ^{a b et c} « Candiru, L'Entreprise Qui Pirate Microsoft Et Apple Contre De Gros Chèques », sur Forbes France, 7 octobre 2019 (consulté le 18 février 2022)
↑ ^{a b et c} (en) « Israeli spyware firm linked to fake Black Lives Matter and Amnesty websites – report », the Guardian, 15 juillet 2021 (consulté le 19 juillet 2021)
↑ ^{a b c d e f g h i j k et l} (en) « Cellphone hacking, Gulf deals: Top secret Israeli cyberattack firm revealed », Haaretz.com (consulté le 19 juillet 2021)
↑ (en) Thomas Brewster, « Meet Candiru — The Mysterious Mercenaries Hacking Apple And Microsoft PCs For Profit », sur Forbes (consulté le 18 février 2022)
↑ ^{a b c et d} (en-US) « Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus », The Citizen Lab, 15 juillet 2021 (consulté le 20 juillet 2021)
↑ Jean-Marc Manach, « Des hackers de haut niveau percés à jour par une commande de houmous », sur korii., 3 juin 2019 (consulté le 18 février 2022)
↑ ^{a et b} « Un logiciel espion israélien sur la liste noire des États-Unis « soupçonné » d’avoir attaqué Middle East Eye », sur Middle East Eye édition française (consulté le 18 février 2022)
↑ Radio J, « Les sociétés israéliennes NSO et Candiru placées sur liste noire par les Etats-Unis », sur Radio J, 3 novembre 2021 (consulté le 18 février 2022)
↑ Hannah Murphy et Mehul Srivastava, « Israel’s Candiru sold states spyware to hack journalists and dissidents », Financial Times,‎ 15 juillet 2021 (lire en ligne, consulté le 18 février 2022)
↑ « Un logiciel israélien utilisé pour espionner plusieurs militants et journalistes selon un groupe d'experts », sur Franceinfo, 16 juillet 2021 (consulté le 18 février 2022)
↑ « rapport d’Amnesty International dénonce l’achat de logiciels espions par l’Indonésie », sur LeMonde.fr, 2 mai 2024 (consulté le 2 mai 2024)

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Candiru (spyware company) » (voir la liste des auteurs).

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

(en-US) « Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus », The Citizen Lab, 15 juillet 2021 (consulté le 18 février 2022)

[wikidata-47b45dbcb008e9e276fc9d9d2f97ad9d601e1fc2-1] « https://www.forbes.com/sites/thomasbrewster/2019/10/03/meet-candiru-the-super-stealth-cyber-mercenaries-hacking-apple-and-microsoft-pcs-for-profit/?sh=3feb1a675a39 »

[2] « ISRAEL : Cyber-tractations serrées entre Tel Aviv et Washington - 14/12/2021 », sur Intelligence Online, 14 décembre 2021 (consulté le 18 février 2022)

[:0-3] {a b et c} « Candiru, L'Entreprise Qui Pirate Microsoft Et Apple Contre De Gros Chèques », sur Forbes France, 7 octobre 2019 (consulté le 18 février 2022)

[GraunActivist-4] {a b et c} (en) « Israeli spyware firm linked to fake Black Lives Matter and Amnesty websites – report », the Guardian, 15 juillet 2021 (consulté le 19 juillet 2021)

[CHGD-5] {a b c d e f g h i j k et l} (en) « Cellphone hacking, Gulf deals: Top secret Israeli cyberattack firm revealed », Haaretz.com (consulté le 19 juillet 2021)

[6] (en) Thomas Brewster, « Meet Candiru — The Mysterious Mercenaries Hacking Apple And Microsoft PCs For Profit », sur Forbes (consulté le 18 février 2022)

[Citizen_Lab-7] {a b c et d} (en-US) « Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus », The Citizen Lab, 15 juillet 2021 (consulté le 20 juillet 2021)

[8] Jean-Marc Manach, « Des hackers de haut niveau percés à jour par une commande de houmous », sur korii., 3 juin 2019 (consulté le 18 février 2022)

[:1-9] {a et b} « Un logiciel espion israélien sur la liste noire des États-Unis « soupçonné » d’avoir attaqué Middle East Eye », sur Middle East Eye édition française (consulté le 18 février 2022)

[10] Radio J, « Les sociétés israéliennes NSO et Candiru placées sur liste noire par les Etats-Unis », sur Radio J, 3 novembre 2021 (consulté le 18 février 2022)

[11] Hannah Murphy et Mehul Srivastava, « Israel’s Candiru sold states spyware to hack journalists and dissidents », Financial Times,‎ 15 juillet 2021 (lire en ligne, consulté le 18 février 2022)

[12] « Un logiciel israélien utilisé pour espionner plusieurs militants et journalistes selon un groupe d'experts », sur Franceinfo, 16 juillet 2021 (consulté le 18 février 2022)

[13] « rapport d’Amnesty International dénonce l’achat de logiciels espions par l’Indonésie », sur LeMonde.fr, 2 mai 2024 (consulté le 2 mai 2024)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker