Pegasus : pas de protection, mais des mesures de sécurité
20/7/2021
Photos: Thomas Kunz
Une société israélienne vend des logiciels d'espionnage aux gouvernements. Ces logiciels sont aussi utilisés contre des personnes innocentes, des journalistes et d'autres personnes « gênantes ». Se protéger contre un logiciel qui viendrait même à bout des iPhone ? Impossible. Mais vous pouvez être prudent.
Un choc pour les journalistes du monde entier : il existe sur le marché semi-ouvert un logiciel qui permet à n'importe quel acheteur d'avoir un accès complet à ses iPhone, appareils Android ou Blackberries. Le réseau de journalistes Forbidden Stories, en collaboration avec Amnesty International Security Lab et d'autres partenaires, l'ont révélé. Les journalistes, ainsi que leurs sources, se voient ainsi mis en danger.
Alerte partiellement levée pour vous : le logiciel appelé Pegasus n'est pas un outil de surveillance de masse. Cela signifie que vous n'êtes pas en danger grave. Pegasus, produit par la société israélienne NSO Group, est utilisé par les gouvernements. Officiellement pour lutter contre les terroristes et les criminels, officieusement depuis des années pour aussi surveiller les journalistes critiques à l'égard du gouvernement, les dissidents et, de manière générale, les acteurs gênants pour un gouvernement. Chaque cible de Pegasus doit être sélectionnée à la main. En tant que Suisse ou Suissesse moyen, vous êtes presque sûr de ne pas être ciblé.
Néanmoins, il est important de se protéger contre les attaques comme celle de Pegasus. La technologie utilisée par Pegasus peut être utilisée par des pirates ou des États pour d'autres attaques. Il n'est donc pas impossible que vous soyez attaqué ou espionné avec la même technologie que celle utilisée par NSO Group et ses clients. La technologie n'est pas open source, mais elle existe. Rien que pour cela en fait un risque.
Par conséquent : un concept de protection préventive contre une forme d'attaque comme on n'en a jamais vu.
Pegasus : analyse d'un piratage
Pegasus pirate votre smartphone. La presse mondiale s'est concentrée sur les iPhone, mais NSO affirme pouvoir surveiller n'importe quel smartphone de n'importe quelle plateforme. Il n'est pas possible de vérifier à l'heure actuelle si cela est réellement le cas. Forbidden Stories et ses partenaires, des organes de presse internationaux tels que le Süddeutsche Zeitung et [The Guardian] (https://www.theguardian.com/news/series/pegasus-project), n'ont jusqu'à présent pas fourni de preuves technologiques. Jusqu'à présent. Car l'histoire de Pegasus, ses partenaires et la technologie nous occuperont encore pendant un certain temps.
Le fonctionnement approximatif de Pegasus est connu. Cela suffit pour élaborer des stratégies de défense initiales, mais cela incite également les attaquants à exploiter la même méthode d'attaque, appelée attack vector dans le jargon technique.
Comment fonctionne Pegasus (aperçu général)
Pour réussir son attaque, le pirate a besoin de votre numéro de téléphone et d'une connexion Internet active. De plus, l'appareil doit être infecté par le client Pegasus.
Le numéro de téléphone est saisi dans un command and control server (CNC), qui connecte officiellement le smartphone à Pegasus.
Le serveur du CNC est sous le contrôle des pirates. Dans le cas de Pegasus, il s'agit de « partenaires gouvernementaux sélectionnés » qui ont acheté Pegasus au groupe NSO. Le groupe NSO lui-même déclare ne pas être impliqué dans la surveillance directe. Elle ne vend que le logiciel. Ils ne savent pas ce que les autres en font.
L'infection du smartphone d'une cible peut se produire de plusieurs façons :
- Via des liens malveillants : un lien qui vous promet des gains, un message vocal ou autre chose, mais qui vous conduit à télécharger ou à exécuter un code malveillant sur votre téléphone portable. Vous recevrez ces liens par SMS, e-mail ou via un messenger.
- IMSI-catcher : la connexion de votre téléphone à une antenne-relais la plus proche est déviée. Cela se fait par l'intermédiaire d'un troisième dispositif, un IMSI-catcher, qui se fait passer pour une antenne-relais. Votre téléphone se connecte au dispositif tiers, qui infecte le trafic avec un logiciel malveillant et maintient le trafic en se connectant à la vraie antenne. Le Groupe NSO vend de tels dispositifs.
- iMessage : le problème d'iMessage est si complexe qu'il ne peut être traité en une phrase. D'où le paragraphe suivant.
Le problème d'iMessage
La raison pour laquelle les médias se sont tellement concentrés sur Apple : l'application iMessage joue un rôle clé dans l'infection des iPhone. L'écosystème d'Apple est fermé et ne peut donc pas être accédé de l'extérieur. Cela crée une plateforme qui fait confiance aux autres appareils de l'écosystème. Le principe « la confiance c'est bien, le contrôle c'est mieux » se perd parfois.
Dans iMessage, si un SMS est envoyé sur le réseau iMessage, les messages bénéficient d'une grande confiance. Apple sécurise ce qu'elle peut en arrière-plan, mais le manque de transparence et le grand intérêt des pirates ne peuvent être ignorés. En outre, les chercheurs en sécurité ne sont pas impressionnés par la « l'orgueil démesuré » d'Apple, comme le dit Patrick Wardle. Cet ancien employé de la NSA est le fondateur de la société de sécurité Mac [Objective-See] (https://objective-see.com). Patrick Wardle prétend que l'ego de l'entreprise, la peur de l'ouverture et les gros titres négatifs rendent impossible une relation de coopération entre Apple et les chercheurs.
Malgré un « orgueil démesuré », Apple ne reste pas inactif et continue de se développer à huis clos : La société a récemment introduit un système appelé BlastDoor, qui vise à renforcer l'intégrité des iMessages.
On dirait bien qu'Apple arrive trop tard : « Il est évident que NSO a battu BlastDoor », déclare Bill Marczak, de Citzen Lab, au Guardian.
Les infections de Pegasus ont été détectées jusqu'à la version 14.6 d'iOS, la version actuelle du système d'exploitation d'Apple, et ce jusqu'au 20 juillet 2021. On peut supposer que d'autres pirates profitent ou profiteront de ce vecteur d'attaque.
Comme l'installation du logiciel espion est censée se produire dans la confiance constante du système iMessage, on parle d'un exploit zéro-clic, c'est-à-dire d'une attaque réussie sans l'intervention de la personne cible. En clair, cela signifie qu'un logiciel peut s'installer via iMessage sans que vous ayez à cliquer sur un lien : iMessage fait confiance à l'expéditeur qui utilise aussi iMessage. Votre iPhone pense que les messages sont échangés en toute confiance entre les deux appareils et l'écosystème d'Apple. Si quelque chose n'était pas sûr, des mécanismes comme BlastDoor interviendraient.
Dans une déclaration au Washington Post Apple semble sûr de sa victoire : « Les attaques de ce type ont la vie courte », déclare Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité d'Apple. Et il ajoute qu'Apple combat de telles machinations avec véhémence.
Après l'infection de Pegasus : que se passe-t-il ?
Le mode de fonctionnement exact avec tous les détails technologiques est encore inconnu. Mais une chose est sûre : Pegasus se télécharge tout seul et s'installe de manière autonome. On ne sait pas ce que fait exactement Pegasus pendant l'installation, mais le fait est qu'à la fin du processus d'installation, Pegasus dispose des droits root sur votre téléphone, il peut donc accéder à tout et se servir de toutes les fonctions, tant que le client Pegasus reçoit des instructions du serveur CNC.
Pegasus berne ainsi les précautions de sécurité du système interne du smartphone. En effet, en simulant une relation de confiance, le téléchargement est approuvé et le code malveillant est exécuté. Pegasus est maintenant arrivé dans l'environnement sûr de votre smartphone. Toutes les protections contre l'extérieur sont hors d'usage, car elles ont été contournées.
Une fois installé, Pegasus ou un logiciel fonctionnant de manière similaire peut agir librement dans votre système. Les mises à jour de sécurité sont désactivées, car Apple ou Google pourraient combler la brèche exploitée par Pegasus. Les opérateurs du serveur CNC peuvent alors entièrement contrôler votre téléphone à distance. Ils peuvent activer l'appareil photo ou le microphone, lire vos e-mails ou envoyer des messages à vos contacts. C'est un peu comme si vous donniez votre smartphone déverrouillé à un service secret et que vous disiez « faites-vous plaisir ». Pegasus peut également lire les messages cryptés, ce qui signifie que ni Threema, ni Signal, ni Telegram n'offrent une sécurité efficace.
La manière exacte dont Pegasus s'introduit dans votre iPhone ou votre appareil Android ne sera probablement pas connue tant qu'un serveur CNC ne pourra pas être rétroconçu ou qu'un véritable serveur CNC ne sera pas vendu ou piraté.
Comment se protéger
Je le répète : Pegasus n'est probablement pas une menace imminente pour vous. Il est peu probable que votre ex maléfique puisse contacter le groupe NSO et obtenir aussi facilement l'accès à Pegasus. Même si une relation commerciale pouvait être établie, Pegasus n'est pas bon marché. Les prix sont inconnus, mais selon toutes les informations, ils s'élèvent à plusieurs milliers de francs par personne surveillée. Cela rend également peu probable que la police régionale de Viège utilise Pegasus pour arrêter le dealer de cannabis local de Rarogne.
Quoi qu'il en soit, il existe une attaque qui ne nécessite aucune action de votre part et qui peut installer n'importe quel logiciel.
Par conséquent, voici quelques conseils de sécurité généraux :
- maintenez toujours votre smartphone à jour. Qu'il s'agisse d'un appareil Android ou iPhone, effectuez les mises à jour immédiatement ;
- ne cliquez pas sur les liens provenant d'expéditeurs inconnus ;
- redémarrez régulièrement votre smartphone. Certains logiciels malveillants ne sont pas capables de survivre à un redémarrage ;
- soyez toujours prudent lorsque vous installez de nouvelles applis. L'application a-t-elle vraiment besoin de toutes les autorisations qu'elle demande ?
- ne vous connectez qu'aux réseaux WiFi publics auxquels vous faites confiance. Évitez d'utiliser des réseaux étrangers et publics ; mais qui s'y connecte de toute façon ?
- si besoin, utilisez un VPN. Il existe des dizaines de fournisseurs, dont des entreprises suisses comme SnowHaze, auxquelles je fais personnellement confiance.
Mais ce n'est pas une protection absolue, surtout contre quelque chose d'aussi puissant que Pegasus. Cependant, ces conseils vous seront déjà d'une grande utilité.
Étant donné qu'Apple est souvent mentionné comme le maillon faible et qu'il détient la plus grande part du gâteau du marché des smartphones, nous nous concentrons sur lui. En tant qu'utilisateur, il est recommandé de ne pas faire confiance à iMessage et FaceTime. Apple vous aide et a publié un guide pour l'iPhone.
- Touchez Réglages.
- Ouvrez Messages.
- Désactivez iMessage.
- Retournez aux réglages.
- Touchez FaceTime.
- Désactivez FaceTime.
Bien que Pegasus ne soit pas un outil de surveillance de masse, il existe une faible possibilité que vous soyez infecté par le logiciel espion de NSO. Pour vérifier, le militant et hacker Etienne « Tek » Maynier, membre d'Amnesty International Security Lab, a publié le Mobile Verification Toolkit (MVT).
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
