Un journaliste du New York Times couvrant le Moyen-Orient a décrit l’expérience du piratage de son iPhone et les précautions de sécurité qu’il prend désormais en conséquence.

Ben Hubbard dit qu’il y a eu quatre tentatives de piratage de son iPhone, et que deux d’entre elles ont réussi, avec tous les signes indiquant l’utilisation du logiciel espion Pegasus de NSO.

Fond

Notre guide NSO explique le contexte.

NSO Group fabrique un logiciel espion appelé Pegasus, qui est vendu au gouvernement et aux organismes chargés de l’application de la loi. La société achète des vulnérabilités dites zero-day (celles qui sont inconnues d’Apple) auprès de pirates informatiques, et son logiciel serait capable de monter des exploits zero-click – où aucune interaction de l’utilisateur n’est requise par la cible. En particulier, il est rapporté que le simple fait de recevoir un iMessage particulier – sans l’ouvrir ni interagir avec lui de quelque manière que ce soit – peut permettre à un iPhone d’être compromis, avec des données personnelles exposées. NSO ne vend Pegasus qu’aux gouvernements, mais ses clients incluent des pays avec des antécédents en matière de droits de l’homme extrêmement pauvres – avec des opposants politiques et d’autres ciblés.

Apple a corrigé l’un des exploits clés utilisés par NSO, mais la société en a probablement d’autres à mesure que le jeu du chat et de la souris se poursuit.

Le piratage de l’iPhone a été confirmé par Citizen Lab

Ben Hubbard écrit que les experts en logiciels espions Citizen Lab ont vérifié son iPhone, qui a confirmé quatre attaques distinctes, dont deux réussies sans clic.

En tant que correspondant du New York Times qui couvre le Moyen-Orient, je parle souvent à des personnes qui prennent de grands risques pour partager des informations que leurs dirigeants autoritaires veulent garder secrètes. Je prends beaucoup de précautions pour protéger ces sources car si elles étaient attrapées elles pourraient finir en prison, ou mortes […] Il s’est avéré que je n’ai même pas eu à cliquer sur un lien pour que mon téléphone soit infecté. Pour essayer de déterminer ce qui s’était passé, j’ai travaillé avec Citizen Lab, un institut de recherche de la Munk School of Global Affairs de l’Université de Toronto qui étudie les logiciels espions.

Les deux premières tentatives ont eu lieu via un message texte et un message WhatsApp. Ceux-ci n’auraient fonctionné que si Hubbard avait cliqué sur les liens, et il était trop avisé pour tomber dans le piège. Mais il n’y a aucun moyen d’empêcher un exploit sans clic.

Bill Marczak, senior fellow au Citizen Lab […] a découvert que j’avais été piraté deux fois, en 2020 et 2021, avec des exploits dits « zéro clic », qui ont permis au pirate informatique d’entrer dans mon téléphone sans que je clique sur aucun lien. C’est comme être volé par un fantôme […] Sur la base du code trouvé dans mon téléphone qui ressemblait à ce qu’il avait vu dans d’autres cas, M. Marczak a déclaré qu’il avait « une grande confiance » que Pegasus avait été utilisé les quatre fois.

Il y avait également des preuves solides suggérant que l’Arabie saoudite était derrière chacune des attaques. NSO a suspendu à deux reprises l’utilisation de Pegasus par le pays en raison d’abus.

Précautions contre les futurs hacks

Hubbard dit qu’il est maintenant encore plus prudent, gardant les données les plus sensibles – ses contacts – hors de son téléphone.

Je stocke les contacts sensibles hors ligne. J’encourage les gens à utiliser Signal, une application de messagerie cryptée, de sorte que si un pirate informatique y parvient, il n’y aura pas grand-chose à trouver. De nombreuses sociétés de logiciels espions, y compris NSO, empêchent le ciblage des numéros de téléphone américains, probablement pour éviter de se battre avec Washington qui pourrait conduire à une réglementation accrue, j’utilise donc un numéro de téléphone américain. Je redémarre souvent mon téléphone, ce qui peut désactiver (mais pas empêcher) certains programmes espions. Et, lorsque cela est possible, j’ai recours à l’une des rares options non piratables dont nous disposons encore : je laisse mon téléphone derrière moi et je rencontre des gens face à face.

Photo : Onur Binay/Unsplash

