Comprendre le projet Pegasus

David Strom 22 juil. 2021

Bien que les chances d'être frappé par Pegasus soient faibles, il y a encore de nombreuses raisons de protéger son téléphone

Au début du mois de juillet, un groupe de chercheurs en sécurité a révélé qu'ils avaient travaillé ensemble pour mettre au jour une surveillance généralisée de journalistes, de politiciens, de fonctionnaires, de chefs d'entreprise et de militants des droits de l'homme. L'outil de choix pour ces activités était le Pegasus du groupe israélien NSO, un outil qui peut être déployé sur les smartphones Android et Apple avec beaucoup de discrétion.

Les chercheurs comprennent trois groupes différents :

Le projet Forbidden Stories, basé à Paris. Sur ce lien, vous trouverez la liste complète des histoires qui ont été publiées par plus d'une douzaine de partenaires médiatiques à travers le monde, y compris la couverture en anglais du Guardian, du Washington Post et de l'équipe documentaire Frontline de NPR. (Vous pouvez utiliser les services de traduction pour les couvertures publiées dans d'autres langues).

Le Security Lab d'Amnesty International, basé à Berlin, qui aide les personnes visées par des cyberattaques grâce à ses outils sur mesure et à sa formation permettant d'identifier les équipements compromis. Le laboratoire a également développé un outil de détection qui peut vérifier si Pegasus a été exécuté sur votre propre téléphone. Cet outil peut fonctionner sous Linux ou MacOS et peut examiner les fichiers et la configuration de votre appareil mobile en analysant une sauvegarde prise à partir de l'appareil.

Le rapport de décembre 2020 de The Citizen Lab est une autre ressource utile. Il s'agit d'un groupe de recherche basé à Toronto qui possède une connaissance approfondie des tactiques et techniques internationales en matière de logiciels espions et qui a publié de nombreux rapports au fil des ans. Au moment de la publication, les chercheurs avaient trouvé 36 iPhones et attribué les attaques à des groupes d'Arabie saoudite et des Émirats arabes unis. Ce rapport est également un bon moyen d'en savoir plus sur le contexte politique de cette région et sur le rôle joué par le logiciel espion Pegasus de NSO.


Qu'est-ce que Pegasus et comment fonctionne-t-il ?

Jakub Vavra, analyste des menaces mobiles chez Avast, s'est intéressé de plus près à Pegasus. "Pegasus est un outil d'accès à distance (RAT) doté de capacités de spyware. Ses variantes Android sont capables d'extraire des données des messageries populaires telles que WhatsApp, Facebook et Viber, ainsi que des clients de messagerie et des navigateurs. Le logiciel espion est capable de surveiller à distance par le biais du microphone et de la caméra du téléphone, ainsi que de prendre des captures d'écran et d'enregistrer les entrées de l'utilisateur au clavier. Depuis 2016, nous avons suivi et bloqué plusieurs tentatives de violation des téléphones Android par le logiciel espion Pegasus, la plupart en 2019."

"Avast bloque Pegasus comme n'importe quel autre logiciel espion. Pegasus n'est utilisé que sur quelques individus, apparemment, à des fins de surveillance. La propagation minimale du logiciel espion ne le rend pas moins dangereux, pour chaque individu étant sous surveillance, la portée des dommages à la vie privée est certainement très élevée. Pegasus peut surveiller une variété de messageries et de fournisseurs d'emails populaires tels que Facebook, WhatsApp, Gmail, Telegram et autres."

Pegasus accède à votre téléphone par divers mécanismes, notamment une vulnérabilité de type "zero-day" dans l'application iMessage d'Apple. Une victime reçoit un message avec un lien malveillant, qui mène à une page qui exploite une vulnérabilité dans le navigateur intégré de l'appareil. Voici un graphique illustrant le fonctionnement du système :

Il est peu probable que le logiciel espion Pegasus ait été utilisé pour surveiller des personnes qui ne sont pas publiquement connues ou politiquement actives. Ce qui est intéressant dans les rapports de Pegasus, c'est que de nombreuses cibles présentent une corrélation étroite entre les horodatages associés au moment où leurs numéros de téléphone mobile ont été répertoriés et le moment où Pegasus a pénétré dans leurs téléphones - dans certains cas, ces horodatages n'étaient que de quelques secondes. Pour moi, c'est le pistolet fumant derrière tout le travail effectué sur le projet. Quelqu'un s'intéressait à ces parties, quelqu'un qui était un client de NSO et qui pouvait cibler son outil sur ces personnes.


Qui étaient les cibles ?

Selon le Guardian, Pegasus a ciblé les numéros de téléphone mobile du président français, Emmanuel Macron, du président sud-africain, Cyril Ramaphosa, et du premier ministre pakistanais, Imran Khan, ainsi que 11 autres chefs d'État et un certain nombre de cibles mexicaines. Cela ne signifie pas que des numéros de téléphone mobile particuliers ont été sélectionnés pour une surveillance réelle à l'aide de Pegasus, mais c'est quelque peu troublant. Les examens médico-légaux d'un échantillon de 67 téléphones ont révélé que 34 iPhones et trois téléphones Android contenaient des traces d'infection ou de tentative d'infection par Pegasus. Sur cette population, 23 appareils Apple ont été piratés avec succès, dont l'un fonctionnait avec la version la plus récente d'iOS.

Comme je l'ai mentionné précédemment, les politiciens n'étaient pas les seules cibles. Des journalistes de différents pays ont été visés, y compris des proches et des associés de Jamal Khashoggi.


Comment Pegasus a-t-il été détecté ?

Si le groupe NSO a bien réussi à couvrir ses traces, il n'était pas parfait. Comme l'ont révélé les recherches du Guardian, "sur les appareils Android, l'ouverture relative de la plateforme semble avoir permis à l'entreprise de réussir à effacer toutes ses traces, ce qui signifie que nous n'avons qu'une très faible idée des utilisateurs Android qui ont été ciblés par Pegasus. Il existe un fichier, DataUsage.sqlite, qui enregistre les logiciels exécutés sur un iPhone. Il n'est pas accessible à l'utilisateur de l'appareil, mais si vous sauvegardez l'iPhone sur un ordinateur et que vous recherchez dans la sauvegarde, vous pouvez trouver le fichier. Les enregistrements de Pegasus avaient été supprimés de ce fichier, bien sûr - mais une seule fois. Ce que le groupe NSO ne savait pas, ou peut-être n'avait pas repéré, c'est que chaque fois qu'un logiciel est exécuté, il est répertorié deux fois dans ce fichier. Ainsi, en comparant les deux listes et en recherchant les incohérences, les chercheurs d'Amnesty ont pu repérer le moment où l'infection a eu lieu."


Que pouvez-vous faire pour protéger votre téléphone ?

Encore une fois, je tiens à souligner que les chances d'être frappé par Pegasus sont moindres que d'être frappé par la foudre. Mais vous devez quand même pratiquer une informatique sûre sur votre téléphone, notamment en faisant ce qui suit :


  • N'ouvrez que des liens provenant de contacts et de sources connus et fiables lorsque vous utilisez votre appareil. Cela est particulièrement important si vous recevez des liens sous forme de messages texte.

  • Assurez-vous que votre appareil est mis à jour avec tous les correctifs et mises à niveau pertinents.

  • Limitez l'accès physique à votre téléphone en activant un code PIN ainsi qu'un verrouillage du doigt ou du visage sur votre appareil.

  • Utilisez un VPN et un outil anti-malware mobile, comme Avast SecureLine VPN (disponible pour Android et iOS).

 

 

 

--> -->