FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Les [routes de la surveillance] : Episode 10 - Inde, l’oeil de Shiva dans l’empire du “Spyware-as-a-Service”
    • Accueil
    • Cyber +
    • Les routes de la surveillance : Episode 10 – Inde, l’oeil de Shiva dans l’empire du “Spyware-as-a-Service”

    Les routes de la surveillance : Episode 10 – Inde, l’oeil de Shiva dans l’empire du “Spyware-as-a-Service”

    Écrit par
    Juliette Barrat
    20.05.26
    Cyber + Cyber stabilité
    13
    MIN
    Les <strong>routes de la surveillance</strong> : Episode 10 – Inde, l’oeil de Shiva dans l’empire du “Spyware-as-a-Service”
    Les <strong>routes de la surveillance</strong> : Episode 10 – Inde, l’oeil de Shiva dans l’empire du “Spyware-as-a-Service”
    Les routes de la surveillance : Episode 10 – Inde, l’oeil de Shiva dans l’empire du “Spyware-as-a-Service”
    Image Stations-sol : un maillon structurant de l’économie spatiale
    Cyber +
    18.05.26 Cyber +
    Prochain article
    Stations-sol : un maillon structurant de l’économie spatiale
    Lire
    07
    MIN
    Image Les groupes hacktivistes ukrainiens BO Team et Head Mare coopèrent contre des cibles russes
    Cyber +
    11.05.26 Cyber +
    Prochain article
    Les groupes hacktivistes ukrainiens BO Team et Head Mare coopèrent contre des cibles russes
    Lire
    01
    MIN
    Image Pour lutter contre la désinformation, le gouvernement lance « Bercy Décode » sur les réseaux sociaux
    Cyber +
    07.05.26 Cyber +
    Prochain article
    Pour lutter contre la désinformation, le gouvernement lance « Bercy Décode » sur les réseaux sociaux
    Lire
    01
    MIN
    Image L’Australie met en place une commission d’enquête sur les cyberattaques majeures
    Cyber +
    06.05.26 Cyber +
    Prochain article
    L’Australie met en place une commission d’enquête sur les cyberattaques majeures
    Lire
    01
    MIN
    Longtemps perçue comme une simple utilisatrice du logiciel israélien Pegasus, l'Inde s'affirme désormais comme le troisième fournisseur mondial de spywares. Portée par l'initiative « Make in India », des sociétés locales proposent aujourd'hui des solutions de surveillance sophistiquées, brouillant la frontière entre sécurité nationale et espionnage privé. Ce marché opaque a donné naissance à une industrie du « Spyware-as-a-Service » où des cybermercenaires vendent leurs services au plus offrant, des gouvernements aux cabinets d'avocats. 

    En 2021, une enquête collaborative menée par 17 médias internationaux révélait qu’une liste de 50 000 numéros dans le monde avait été ciblée par le logiciel espion Pegasus, créé par la société israélienne NSO Group. Dans cette liste, environ 300 numéros indiens ont été identifiés, appartenant à des profils divers : journalistes, juristes, politiques, personnalités politiques ou encore membres de l’entourage du Dalaï-Lama.

    Alors que NSO affirme ne vendre ses produits qu’à des Etats, le gouvernement indien a qualifié cette enquête de “conspiration” contre la démocratie indienne et a refusé de coopérer au comité technique organisé par la Cour suprême. Le but ?  Mettre toute la lumière sur cette affaire. Le sujet reste encore aujourd’hui un point de friction dans la vie politique du pays de Modi. 

    L’Inde est aujourd’hui le pays le plus connecté au monde, avec plus d’un milliard de smartphones. Cela en fait un véritable laboratoire à ciel ouvert pour l’utilisation de logiciels espions commerciaux. Et bien qu’elle utilise des technologies étrangères, elle est aussi particulièrement présente sur ce marché opaque et controversé : elle serait aujourd’hui le 3e fournisseur mondial (après Israël et l’Italie, qui forment ce que l’on appelle les “3i”), avec 5,88% d’entreprises connues. 

    La surveillance de masse, un système vaste et complexe en Inde

    L’Inde n’est pas devenue un acteur du marché des logiciels espions du jour au lendemain. La période de colonisation anglaise a posé les jalons du système de surveillance de masse, qui crée aujourd’hui un besoin en logiciels espions en Inde. Au XIXe siècle, la police britannique a mis au point un maintien de l’ordre préventif basé sur des techniques de surveillance, visant à éviter les crimes mais aussi toute forme de rébellion de la part de la population indienne. En 1885, avec l’arrivée de technologies de communication plus sophistiquées, l’Indian Telegraph Act fut adopté : l’article 5 de cette loi permet au gouvernement d’intercepter des communications en cas d’urgence publique. Elle est encore en vigueur, avec quelques adaptations pour suivre les progrès de la technologie. Le système de surveillance de masse s’appuie aussi légalement sur l’Information Technology Act de 2000. Considéré comme sa colonne vertébrale, ce texte, initialement conçu pour promouvoir le commerce en ligne, est devenu un puissant outil de contrôle des données, suite à des amendements successifs. Bien que la Cour suprême ait déclaré la vie privée comme un droit fondamental en 2017, les agences d’État bénéficient de larges exemptions. 

    Cette surveillance de masse est visible dans les faits. Des villes comme Hyderabad, Delhi et Indore figurent parmi les plus surveillées au monde. Hyderabad, par exemple, compte l’un des ratios de caméras par habitant les plus élevés hors de Chine (83,32 caméras pour 1000 personnes en 2023). Les acteurs de la surveillance et du maintien de l’ordre n’hésitent pas non plus à employer des outils de pointe. La police indienne est très friande en technologies de reconnaissance faciale, qui ont pu notamment être utilisées pour surveiller des manifestants en 2019. 

    Par ailleurs, le gouvernement a réalisé une véritable “documentation” de la population. Il a mis en place Aadhaar, la plus grande base de données biométriques au monde, qui recense les informations sensibles de 1,1 milliard de citoyens (empreintes digitales, scan de l’iris, photo d’identité, etc.). Alors que cette base de données a été réalisée afin de moderniser l’administration, ses détracteurs craignent que les données soient utilisées par des services gouvernementaux en remettant en cause les libertés individuelles. 

    Le gouvernement indien a soutenu plusieurs programmes dédiés à l’interception, comme Central Monitoring System (CMS), un système centralisé qui permet aux agences gouvernementales d’écouter les appels et de surveiller les messages SMS et internet sans passer par les serveurs des opérateurs. Dans la même veine, il a aussi permis le développement de NATGRID (un réseau de renseignement qui croise des dizaines de bases de données, comme les impôts, les voyages, les banques, les casiers judiciaires, pour profiler les citoyens) ou encore DRDO NETRA (un outil qui scanne le trafic internet, comme les emails, réseaux sociaux, ou Skype, en temps réel pour détecter des mots-clés spécifiques liés à la sécurité). 

    En 2025, les projets d’interception du gouvernement Modi sont montés d’un cran en termes d’intrusivité. Celui-ci voulait obliger les fabricants de smartphones à pré-installer une application gouvernementale, Sanchar Saathi, donnant accès aux journaux d’appels, à la mémoire et à la caméra de l’appareil. Ce fonctionnement n’est pas sans rappeler les logiciels espions 1- click que nous avions précédemment décrits dans l’épisode 4 de notre série dédié à l’Italie. Devant le refus d’Apple et de Google d’appliquer cette règle, l’initiative a été finalement abandonnée mais elle illustre bien la volonté de surveillance du pouvoir indien, tout en expliquant son besoin en logiciels espions commerciaux. 

    Un client actif sur le marché mondial des logiciels espions 

    Revenons à l’affaire Pegasus. Le gouvernement indien n’a pas admis l’achat de la licence de Pegasus, malgré les preuves techniques d’usage découvertes par les experts d’Amnesty International. Toutefois, différentes enquêtes journalistiques et d’autres conduites par des ONG ou des entreprises de cyber threat intelligence laissent à penser que l’Inde est un client actif sur le marché des logiciels espions commerciaux. L’État indien semble avoir diversifié ses achats de logiciels espions depuis 2020 : 

    Source : Surveillance Watch, Amnesty International 

    Face à cette consommation de solutions intrusives, l’Inde a décidé de développer sa production locale. En 2014, le gouvernement indien a lancé l’initiative “Make in India” sous l’impulsion de Narendra Modi. Cette initiative nationale vise à transformer l’Inde en un centre mondial de conception et de fabrication, en aidant les entreprises à se développer et en facilitant l’innovation dans 25 secteurs stratégiques. Depuis cette année, le programme est devenu le pilier central de la stratégie économique indienne, avec pour projet de booster la croissance du PIB et de développer l’autonomie stratégique de la péninsule asiatique. Ce pilier bénéficie aux entreprises du secteur informatique, et par extension aux entreprises qui permettent de développer des capacités de cybersécurité offensives. 

    Cybermercenariat “made in India”

    Depuis les années 90, l’Inde a su imposer un certain savoir-faire dans le domaine de l’informatique. C’est donc tout naturellement qu’un écosystème de la cybersécurité s’est développé dans la péninsule de l’Asie du Sud, composé de plus de 400 entreprises. Ce marché devrait représenter 5 % du marché mondial d’ici 2028. En 2023, il représentait 6,6 milliards de dollars, avec un objectif à atteindre de 13,6 milliards en 2025. Mais sous couvert de “cybersécurité” ou de “cyber intelligence”, certaines sociétés n’hésitent pas à développer des solutions intrusives.

    Ainsi, grâce à la banque de données de Surveillance Watch, il a été possible d’identifier 7 acteurs locaux du marché des logiciels espions commerciaux : Aglaya, Appin/ApproachInfinite, BellTroX, ClearTrail, CyberRoot, Innefu Labs et Leo Impact. Évidemment, comme ce type de sociétés opère avec discrétion, il est certain qu’il en existe beaucoup plus. 

    L’Inde est connue pour être un hub du “hack for hire”, un modèle commercial où des individus ou des entreprises vendent leurs services de cyberattaques à des tiers. Cette forme de “cybermercenariat”, couplée aux pratiques de surveillance de masse étatique, ont été un terreau fertile pour le développement de logiciels espions. Cela s’explique par le croisement de plusieurs facteurs : un flou juridique concernant la conduite de cyberattaques à l’étranger, un vivier de talents qualifiés à bas coût et des relations entre les entreprises du secteurs et les sphères politiques (notamment dans le cas des frères Khashe, fondateurs d’Appin, une entreprise pionnière dans le secteur). Les cyberattaques étant souvent commanditées dans l’optique de récupérer des informations compromettantes sur la cible, l’utilisation de spywares est devenu incontournable pour répondre aux exigences des clients. 

    Puisqu’on évoque la clientèle, c’est là que les pratiques des entreprises indiennes diffèrent de leurs homologues israéliennes ou italiennes. Alors que ces dernières se concentrent sur la vente de leurs technologies à des gouvernements et des services étatiques, les sociétés indiennes proposent leurs solutions à qui peut se les payer. Et cela inclut des particuliers ! L’industrie indienne s’est particulièrement développée autour du “spouseware”, des logiciels espions destinés au harcèlement moral (notamment dans le cadre de séparations amoureuses et de divorces conflictuels). Une enquête de Thomas Brewster pour Forbes dénonce les pratiques commerciales d’Aglaya : ses produits destinés à la sécurité nationale et ceux destinés aux civils sont les techniquement les mêmes. Ou presque : il n’y a que le prix qui diffère. 

    Les logiciels indiens ne sont pas moins sophistiqués et efficaces que ceux commercialisés par les entreprises israéliennes et italiennes. Ils visent souvent à des déploiements par “Zero-Click” (la cible est infectée par le logiciel sans le savoir, car elle n’a aucune action à faire pour l’installer), mais à des coûts plus bas que les outils israéliens. De plus, la plupart des entreprises ne sont pas spécialisées dans les spywares, et proposent tout un arsenal pour compléter ses capacités offensives au mépris de l’éthique, de l’interception à la reconnaissance faciale, en passant par l’organisation de campagnes de désinformation.

    Alors que les entreprises européennes et israéliennes utilisent un ton modéré pour parler de leurs activités, les sociétés indiennes rivalisent dans l’agressivité. Elles n’hésitent pas à employer dans leurs brochures un ton très transparent sur l’objectif de leurs solutions, en ne lésinant pas sur l’usage du champ lexical de la guerre. Par exemple, Aglaya commercialise des “cyber nukes” (“frappes cyber”), qui seraient aussi puissantes que des frappes nucléaires.  

    Des acteurs locaux qui proposent leurs services dans le monde entier

    Avec ce modèle économique, il est clair que l’achat de ces solutions a rapidement dépassé le cadre du marché indien. Grâce à la base de données de Surveillance Watch, il a été possible de faire un récapitulatif des pays dans lesquels a été retrouvée une trace d’utilisation des solutions indiennes : 

    Source : Surveillance Watch

    En raison du secret des contrats étatiques, il faut considérer que cet inventaire est sous-estimé puisqu’il ne prend en compte que les logiciels dont il a été retrouvé une trace technique par des entreprises de cyber threat intelligence ou dont l’utilisation a été mise en évidence par des enquêtes journalistiques. Ce que l’on peut déjà observer, c’est que les solutions indiennes sont à la fois utilisés par des pays considérés comme démocratiques et des pays plus autoritaires. 

    Comme évoqué précédemment, les entreprises indiennes ne sont pas très regardantes sur la clientèle et n’hésitent pas à vendre des produits très sophistiqués à des particuliers et des entreprises. Dans une enquête publiée dans le Sunday Times en novembre 2022, le hacker indien Utkarsh Bhargava affirme être en capacité de fournir un équivalent de Pegasus à ses clients, dont il a découvert le code source en 2019. Un expert technique d’Amnesty International interrogé pour les besoins de l’enquête a analysé le code fourni par Barghava et a validé le fait qu’il s’agit bien d’une version déconstruite du célèbre spyware israélien. L’enquête précise les liens du hacker avec la société Appin, connue pour avoir fourni des logiciels espions dans le monde entier. 

    Au-delà de révéler les capacités offensives des hackers indiens, elle démontre comment un véritable commerce illicite basé sur l’espionnage s’est développé entre des sociétés comme Appin, BellTroX et CyberRoot et des entreprises londoniennes de toutes sortes : agences d’intelligence économique, cabinets d’avocats, sociétés du secteur industriel… Celui-ci s’est développé sur trois piliers : l’externalisation du risque juridique (les entreprises londoniennes parient sur le fait qu’il sera plus complexe pour les autorités britanniques d’enquêter et de punir l’utilisation de spywares si cela se fait par des acteurs étrangers), le rôle des intermédiaires (les entreprises d’intelligence économique et les détectives privés londoniens jouent le rôle de “tampon” entre les sociétés indiennes et le client final) et LinkedIn (les sociétés britanniques se servent de ce réseau social pour contacter des membres des entreprises indiennes). 

    Ce système fonctionne comme une chaîne d’approvisionnement industrielle. Tout d’abord, l’entreprise londonienne reçoit une mission de la part d’un client : l’agence d’intelligence économique doit trouver des informations sur le concurrent d’un client, le cabinet d’avocat a besoin de pièces compromettantes dans le cadre d’un divorce compliqué… Elle contacte un hacker indien, qui a pu être formé ou travaille avec une société indienne comme Appin, CyberRoot ou BellTroX. Elle lui fournit des informations concernant la cible. Grâce à cela, le hacker est en mesure de créer une attaque, souvent basée sur du phishing et de l’ingénierie sociale, qui va permettre de déployer un logiciel espion sur le téléphone ou l’ordinateur de la cible. Une fois l’accès à l’appareil obtenu, le hacker ne fait généralement rien des données lui-même. Il transfère les identifiants ou les copies de mails au client britannique.

    Évidemment, rien de tout cela n’est gratuit. Le coût de l’opération varie selon la complexité et la cible. Quelques milliers de livres suffisent pour un simple accès aux e-mails de la victime. Dans l’enquête du Sunday Times, le hacker indien Utkarsh Bhargava précise qu’il prend entre 10 000 et 15 000$ par mission complexe. Un prix abordable pour la plupart des grandes entreprises occidentales ! L’enquête ne concerne que les entreprises londoniennes, on ne peut donc s’empêcher de penser que d’autres sociétés puissent avoir recours à ce marché de Spyware-as-a-Service, dans l’impunité la plus totale. 

    Juliette Barrat
    20.05.26
    Articles du même auteur :
    1
    24.02.26 Cyber +
    Route de la surveillance – épisode 5 : États-Unis, trouble jeu sur la cybersurveillance
    Lire
    10
    MIN
    2
    19.01.26 Cyber +
    Routes de la surveillance Épisode 4 : Italie, le marché florissant des logiciels espions transalpins
    Lire
    12
    MIN
    3
    16.01.26 Cybercriminalité
    MOA MuddyWater : une goutte d’eau au coeur de la stratégie de guerre douce de Téhéran
    Lire
    07
    MIN
    4
    08.01.26 Cyber +
    Récupération de données : de l’urgence au pilier stratégique de la résilience cyber
    Lire
    08
    MIN
    Image Stations-sol : un maillon structurant de l’économie spatiale
    Cyber +
    18.05.26 Cyber +
    Prochain article
    Stations-sol : un maillon structurant de l’économie spatiale
    Lire
    07
    MIN
    Image Les groupes hacktivistes ukrainiens BO Team et Head Mare coopèrent contre des cibles russes
    Cyber +
    11.05.26 Cyber +
    Prochain article
    Les groupes hacktivistes ukrainiens BO Team et Head Mare coopèrent contre des cibles russes
    Lire
    01
    MIN
    Image Pour lutter contre la désinformation, le gouvernement lance « Bercy Décode » sur les réseaux sociaux
    Cyber +
    07.05.26 Cyber +
    Prochain article
    Pour lutter contre la désinformation, le gouvernement lance « Bercy Décode » sur les réseaux sociaux
    Lire
    01
    MIN
    Image L’Australie met en place une commission d’enquête sur les cyberattaques majeures
    Cyber +
    06.05.26 Cyber +
    Prochain article
    L’Australie met en place une commission d’enquête sur les cyberattaques majeures
    Lire
    01
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.