TechCrunch rapporte, sur la base d’une publication d’Amnesty International et de partenaires médias (Haaretz, Inside Story, Inside IT), des fuites montrant qu’Intellexa aurait eu un accès à distance aux systèmes de surveillance de certains clients utilisant le spyware Predator.

Les documents divulgués (documents internes, supports commerciaux, vidéos de formation) incluent une vidéo où des employés d’Intellexa se connecteraient via TeamViewer à des systèmes clients. Cette vidéo montrerait des parties privilégiées de la plateforme Predator, dont un tableau de bord et un stockage contenant photos, messages et autres données exfiltrées des victimes. Amnesty publie des captures mais pas la vidéo complète.

Selon Amnesty, la vidéo présenterait des tentatives d’infection “live” visant de vraies cibles, avec des détails d’au moins une tentative contre une cible au Kazakhstan, incluant l’URL d’infection, l’adresse IP de la cible et les versions logicielles du téléphone. Une capture du tableau de bord illustre les types de données sensibles accessibles aux clients et potentiellement au support d’Intellexa.

Des acteurs de l’industrie (NSO, ex-Hacking Team, etc.) soutiennent habituellement ne pas accéder aux données ni aux systèmes de leurs clients, pour éviter des risques juridiques et protéger des enquêtes sensibles. Paolo Lezzi (Memento Labs) estime qu’un tel accès n’est pas “normal” et qu’aucune agence ne l’accepterait, suggérant qu’il pourrait s’agir d’un environnement de démo, tout en précisant que son entreprise n’accepte un accès à distance que pour du support, temporairement et sous supervision.

Amnesty affirme toutefois qu’il s’agissait d’un système client en production, citant une confirmation durant l’appel de formation. L’ONG s’inquiète d’un double risque: exposition des données de victimes à un client gouvernemental et à une entreprise étrangère, pointant des faiblesses de sécurité dans la protection de ces données. Intellexa n’a pas pu être jointe; l’avocat de son fondateur Tal Dilian nie toute infraction ou exploitation de systèmes « en Grèce ou ailleurs ». Contexte additionnel: en 2024, les États‑Unis ont sanctionné Tal Dilian et une associée (Sara A.F. Hamou) pour l’usage présumé de Predator contre des Américains, première sanction ciblant une personne du secteur. Dilian dénonce une campagne orchestrée contre lui.

Type d’article: article de presse spécialisé d’investigation synthétisant des fuites et l’analyse d’Amnesty sur les pratiques de surveillance et leurs implications en termes de sécurité et de confidentialité.

• IOCs (issus des fuites, non publiés dans l’article):

  • URL d’infection Predator (non divulguée)
  • Adresse IP d’une cible au Kazakhstan (non divulguée)
  • Versions logicielles du téléphone cible (non divulguées)

• TTPs observés/rapportés:

  • Accès distant via TeamViewer à des systèmes clients (Remote Access/Support)
  • Exfiltration et stockage centralisé de données (photos, messages, etc.)
  • Opérations d’infection Predator en conditions réelles (campagnes ciblées)
  • Utilisation d’un tableau de bord de surveillance pour gestion/visualisation des cibles

🔗 Source originale : https://techcrunch.com/2025/12/04/sanctioned-spyware-maker-intellexa-had-direct-access-to-government-espionage-victims-researchers-say/