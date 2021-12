Apple a annoncé le mois dernier avoir déposé une plainte contre NSO Group, la société à l’origine du logiciel espion avancé « Pegasus » qui cible les appareils iPhone et Android. Maintenant, les chercheurs du Project Zero de Google ont approfondi Pegasus, le qualifiant de « l’un des exploits les plus techniquement sophistiqués que nous ayons jamais vus ».

Le logiciel espion Pegasus est capable de permettre aux pirates d’accéder au microphone, à l’appareil photo et à d’autres données sensibles des utilisateurs d’iPhone. Alors que les versions antérieures du logiciel espion obligeaient les utilisateurs à cliquer sur un lien envoyé via iMessage, cette dernière version est un exploit sans clic. Cela signifie que les utilisateurs ciblés n’ont pas du tout besoin de cliquer ou d’interagir avec l’attaque pour qu’elle soit efficace.

Dans une interview avec Wired, Ian Beer et Samuel Gross de Project Zeros ont expliqué :

Nous n’avons pas vu un exploit dans la nature construire une capacité équivalente à partir d’un point de départ aussi limité, aucune interaction possible avec le serveur de l’attaquant, aucun moteur de script JavaScript ou similaire chargé, etc. De nombreux membres de la communauté de la sécurité considèrent ce type d’exploitation — exécution de code à distance en un seul coup — un problème résolu. Ils pensent que le poids des mesures d’atténuation fournies par les appareils mobiles est trop élevé pour qu’un exploit fiable à un seul coup soit construit. Cela démontre que non seulement c’est possible, mais qu’il est utilisé dans la nature de manière fiable contre les gens.

Les chercheurs de Project Zero disent que cela représente l’un des exploits les plus sophistiqués jamais vus :

Sur la base de nos recherches et de nos découvertes, nous estimons qu’il s’agit de l’un des exploits les plus techniquement sophistiqués que nous ayons jamais vus, démontrant une fois de plus que les capacités fournies par NSO rivalisent avec celles que l’on pensait auparavant n’être accessibles qu’à une poignée d’États-nations.

Vous pouvez en savoir plus sur l’équipe Project Zero dans un article de blog sur le site Web de Google Project Zero ainsi que dans cette interview avec Wired.

