Pegasus, mode d'emploi du spyware qui aurait infecté 50.000 téléphones

Internet

Le consortium de médias mené par Forbidden Stories a eu accès à une liste de 50.000 numéros de téléphone potentiellement espionnés. | FLY:D via Unsplash

Failles «zero day», tunnels de données, autodestruction: le logiciel de NSO est particulièrement performant.

Un consortium de médias, dont Le Monde et la cellule investigation de Radio France, coordonné par l'organisation Forbidden Stories, a eu accès à une liste de plus de 50.000 numéros de téléphone potentiellement ciblés et espionnés par une dizaine d'États, via le logiciel israélien Pegasus.

L'affaire fait grand bruit car on y retrouve, pêle-mêle, des journalistes, des chefs d'entreprise, des opposants politiques et autres figures de la vie publique. Retour sur la technique derrière ce logiciel. Quand est né Pegasus? Comment l'utilise-t-on? Pourquoi a-t-il pris une telle ampleur?

Comment fonctionne Pegasus

Le logiciel Pegasus est développé par l'entreprise israélienne NSO Group. C'est un logiciel espion (spyware) visant les smartphones, dont l'objectif est de siphonner l'ensemble de ses données: coordonnées GPS, contenus des messages, écoute des appels. Bref, tout ce qui passe par votre téléphone est vu, lu et entendu par le logiciel et transmis à son utilisateur (l'attaquant). Ce logiciel espion évolue depuis plusieurs années et s'adapte aux mises à jour de niveaux de sécurité des téléphones.

Dans ses précédentes versions, l'attaquant envoyait un message contenant un lien, qui, lorsque l'utilisateur cliquait dessus, déclenchait l'installation de Pegasus. Cette technique, un peu grossière, peut fonctionner avec des personnes peu habituées ou non formées à la cybersécurité. Mais, avec des cibles de haut niveau (publiques ou privées), elle est beaucoup plus hasardeuse. Ainsi, NSO a développé une nouvelle version qui est capable d'installer le mouchard sans clic, ce que l'on appelle une attaque «zero click».

Comment installer un logiciel à l'insu du propriétaire du téléphone? La méthode la plus efficace, version film d'espionnage, est tout simplement de se saisir du téléphone lors d'un moment d'inattention, et de l'intégrer dans la machine.

Il existe également une méthode plus subtile, et plus technologique: utiliser une faille de sécurité de l'appareil pour prendre le contrôle du téléphone pendant un court laps de temps, afin d'y installer le spyware à distance.

L'exploitation des failles de sécurité

Pour prendre le contrôle d'un smartphone à distance, il est indispensable d'exploiter une faille de sécurité. Cette dernière peut provenir du matériel (hardware), par exemple une puce électronique, ou d'un logiciel (software), en passant par les systèmes d'exploitation iOS ou Android. Les clients de NSO, en général des États, n'ont pas à chercher les failles eux-mêmes: ils n'ont besoin que du numéro de téléphone de la cible, et Pegasus s'occupe du piratage et de l'exfiltration des données. Pour chaque cible visée, le client paye une licence de quelques dizaines de milliers d'euros à NSO.

On va généralement cibler des failles «zero day» (jour 0): on les appelle comme cela car elles n'ont jamais été publiées ni exploitées. La plupart des logiciels vendus dans le commerce peuvent avoir des failles. D'ailleurs, leurs éditeurs organisent régulièrement des concours ouverts aux hackers pour les débusquer. Si une personne découvre une faille, elle peut la vendre sur des «marchés zero day».

Cela ressemble à une bourse internationale dans laquelle les produits sont des failles. En général, elles sont achetées par les éditeurs eux-mêmes, qui ont intérêt à les corriger le plus rapidement possible. Une faille sur un système d'exploitation iOS peut se négocier à plusieurs millions de dollars. Ces marchés sont légaux. Le but est d'éviter qu'un hacker ayant trouvé une faille aille la vendre à un groupe cybercriminel.

Un exemple concret a été rapporté par The Citizen Lab, le laboratoire d'Amnesty International et de l'université de Toronto qui a travaillé sur le récent scandale, fin 2020. Le journaliste d'investigation travaillant pour Al Jazeera, Tamer Almisshal, suspectait que son téléphone ait été piraté. Pour le prouver, le laboratoire a enregistré toutes ses métadonnées pour suivre à quoi il se connectait. Les spécialistes ont en effet trouvé des connexions très suspectes: le téléphone de Tamer Almisshal avait visité plusieurs fois un site connu comme étant un mode d'installation de Pegasus.

Cette visite aurait été provoquée par les pirates en exploitant une faille du système de messagerie de l'iPhone (faille depuis corrigée): le journaliste n'a cliqué sur aucun lien suspect, c'est une attaque «zero click». Il a aussi été démontré que des données ont été exfiltrées. La société NSO a nié toute participation....

Lire la suite de cet Article sur Slate.fr - Pegasus, mode d'emploi du spyware qui aurait infecté 50.000 téléphones

Articles en Relation

Comment mettre à jour tous ses pilotes rapidement? Les pilotes, que l'on appelle couramment drivers, sont les logiciels qui gèrent la prise en charge de chaque périphérique par le système d'exploitatio...
Comment interagir plus efficacement avec vos abonnés Instagram ? L'audience de votre compte Instagram ne cesse de se développer et le nombre de vos followers augmente rapidement ? C'est évidemment une très bonne nou...
Surveillance en télétravail: quels sont vos droits? La surveillance des employé·es se fait souvent au mépris de leur droit à la vie privée. | Bernard Hermant via Unsplash Une entreprise est p...
La génération Z va-t-elle enterrer les émojis? Cet emoji ne signifie pas la même chose pour tout le monde et dans tous les contextes. | Markus Winkler via Unsplash  À l'heure de TikTok, l'émo...
Pegasus : les dessous d'un énorme scandale de cyberespionnage Des États ont installé un logiciel espion sur des milliers de téléphones de journalistes et d'activistes issus d'une cinquantaine de pays. Plus de 1.0...

FOTOLIA BANQUE D'IMAGES

Fotolia  

PARTENAIRES INTERNET

ACTUALITÉS SHOPPING IZIVA