Qu’est-ce que Pegasus et comment est-il utilisé pour espionner ?

La cybersurveillance sanctionnée par le gouvernement est de retour dans l’actualité, à la suite d’un exposé de The Guardian et de 16 autres organisations médiatiques qui révèle comment les logiciels malveillants commerciaux sont utilisés par des régimes autoritaires pour cibler des militants, des politiciens et des journalistes. Le malware commercial utilisé s’appelle Pegasus et il est vendu, pour des millions de dollars, par une société israélienne appelée NSO Group.

Pegasus, qui est le malware le plus sophistiqué que nous connaissions, a le potentiel d’enregistrer des appels, de copier des messages et de filmer secrètement le propriétaire (et les personnes à proximité) sur tout appareil qui a été compromis.

Qu’est-ce que Pégase ?

En bref, Pegasus est un logiciel espion commercial. Contrairement aux logiciels malveillants utilisés par les cybercriminels pour gagner de l’argent en volant et en trompant leurs victimes, Pegasus est conçu uniquement pour l’espionnage. Une fois qu’il a secrètement infecté un smartphone (Android ou iOS), il peut le transformer en un appareil de surveillance à part entière. Les messages SMS, e-mails, messages WhatsApp, iMessages, etc., sont tous ouverts à la lecture et à la copie. Il peut enregistrer les appels entrants et sortants, ainsi que voler toutes les photos sur l’appareil. De plus, il peut activer le microphone et/ou la caméra et enregistrer ce qui se dit. Lorsque vous combinez cela avec la possibilité d’accéder aux données de localisation passées et présentes, il est clair que ceux qui écoutent à l’autre bout savent presque tout ce qu’il y a à savoir sur toute personne ciblée.

Vous devez savoir que si une agence gouvernementale vous cible avec un logiciel comme Pegasus et que vous insistez pour garder votre smartphone, vous ne pouvez pas faire grand-chose pour l’arrêter.

Les premières versions de Pegasus ont été repérées dans la nature dès 2016, ce n’est donc pas quelque chose de nouveau. Cependant, ses capacités et sa sophistication ont énormément augmenté depuis ces premiers jours. Tout le monde ne peut pas se procurer une copie de Pegasus – ce n’est pas quelque chose vendu sur eBay ou même sur le dark web. NSO Group ne le vend qu’aux gouvernements et son achat coûte des millions.

Heureusement, cela signifie qu’il n’est pas entre les mains de bandes de cybercriminels ou de terroristes. En fait, NSO Group commercialise Pegasus comme une « technologie qui aide les agences gouvernementales à prévenir et enquêter sur le terrorisme et la criminalité pour sauver des milliers de vies dans le monde ». Cela semble noble. Sauf bien sûr qu’être un « gouvernement » n’est pas une assurance de caractère, de moralité ou de retenue. Certains des gouvernements qui utilisent Pegasus pour cibler des journalistes, des chefs d’entreprise, des chefs religieux, des universitaires et des responsables syndicaux comprennent la Hongrie, le Mexique, l’Arabie saoudite, l’Inde et les Émirats arabes unis (EAU).

NSO Group admet que sa véritable liste de clients comprend plus de 40 pays, mais pour sa défense, il affirme qu’il vérifie les dossiers des clients en matière de droits de l’homme. Il souligne également que Pegasus « ne peut pas être utilisé pour effectuer une cyber-surveillance aux États-Unis, et aucun client étranger n’a jamais reçu de technologie lui permettant d’accéder à des téléphones avec des numéros américains ».

Gary Sims / Autorité Android

Vulnérabilités de 0 jour

Tous les logiciels comportent des erreurs, appelées bogues. C’est un fait. C’est aussi un fait que le nombre de bugs est directement proportionnel à la complexité du logiciel. Plus de code signifie plus de bugs. La plupart des bugs sont simplement ennuyeux. Quelque chose dans l’interface utilisateur qui ne fonctionne pas comme prévu. Une fonctionnalité qui ne fonctionne pas correctement dans certaines circonstances. Les bogues les plus évidents et les plus ennuyeux ont tendance à être corrigés par les auteurs dans de petites « versions ponctuelles ». Vous trouvez des bogues dans les jeux, dans les systèmes d’exploitation, dans les applications Android, dans les applications iOS, dans les programmes Windows, dans les applications Apple Mac, sous Linux, pratiquement partout.

Malheureusement, l’utilisation de logiciels open source ne garantit pas une expérience sans bug. Tous les logiciels ont des bugs. Parfois, l’utilisation de l’open source aggrave le problème, car les projets clés sont souvent maintenus au mieux par un petit groupe (ou même une seule personne), qui travaille sur le projet après être rentré de son travail habituel. Récemment, trois bogues liés à la sécurité ont été trouvés dans le noyau Linux qui était là depuis 15 ans !

Et ce sont les bugs liés à la sécurité qui sont le vrai problème. L’interface utilisateur a un problème, il sera corrigé, pas de problème. Mais lorsqu’un bogue a le potentiel d’affaiblir la sécurité d’un ordinateur, la situation est plus grave. Ces bogues sont si graves que Google a un programme de récompense qui rémunère les personnes qui peuvent démontrer une faille de sécurité dans Android, Chrome ou Google Play. En 2020, Google a versé une somme colossale de 6,7 millions de dollars en récompenses. Amazon, Apple et Microsoft ont tous des schémas similaires.

Voir également: Les meilleures applications de sécurité pour Android qui ne sont pas des applications antivirus

Alors que les grands noms de la technologie déboursent des millions pour éliminer ces bogues liés à la sécurité, de nombreuses vulnérabilités inconnues se cachent encore dans le code d’Android, iOS, Windows, macOS et Linux. Certaines de ces vulnérabilités sont des vulnérabilités 0-day – une vulnérabilité qui est connue d’un tiers, mais pas connue de l’auteur du logiciel. C’est ce qu’on appelle un jour 0 car l’auteur n’a eu aucun jour pour résoudre le problème.

Des logiciels comme Pegasus se développent sur des vulnérabilités 0-day, tout comme d’autres auteurs de logiciels malveillants, les jailbreakers iPhone et ceux qui rootent les appareils Android.

Trouver une vulnérabilité 0-day n’est pas facile, et les exploiter l’est encore plus. Cependant, c’est possible. NSO Group dispose d’une équipe spécialisée de chercheurs qui sondent et analysent chaque détail des systèmes d’exploitation comme Android et iOS, pour trouver les faiblesses. Ces faiblesses sont ensuite transformées en moyens de s’enfouir dans un appareil, en contournant toute la sécurité normale.

L’objectif ultime est d’utiliser le 0-day pour obtenir un accès et un contrôle privilégiés sur un appareil.

L’objectif ultime est d’utiliser le 0-day pour obtenir un accès et un contrôle privilégiés sur un appareil. Une fois l’escalade des privilèges atteinte, la porte est ouverte qui permet à Pegasus d’installer ou de remplacer des applications système, de modifier les paramètres, d’accéder aux données et d’activer des capteurs qui seraient normalement interdits sans le consentement explicite du propriétaire de l’appareil.

Pour exploiter les bogues 0-day, un vecteur d’attaque est nécessaire ; un moyen pour l’exploit de mettre un pied dans la porte. Ces vecteurs d’attaque sont souvent des liens envoyés dans des messages SMS ou des messages WhatsApp. En cliquant sur le lien, l’utilisateur accède à une page contenant une charge utile initiale. La charge utile a une tâche : essayer d’exploiter la vulnérabilité 0-day. Malheureusement, il existe également des exploits sans clic qui ne nécessitent aucune interaction avec l’utilisateur. Par exemple, Pegasus a activement exploité des bogues dans iMessage et Facetime en 2019, ce qui signifiait qu’il pouvait s’installer sur un téléphone simplement en appelant l’appareil cible.

En rapport: Vendre votre vie privée pour un téléphone moins cher est-il vraiment une bonne idée ?

Une façon d’essayer d’estimer la taille du problème du jour 0 est de regarder ce qui a été trouvé, puisque nous ne savons pas ce qui n’a pas été trouvé. Android et iOS ont tous deux leur juste part de vulnérabilités de sécurité signalées. Les vulnérabilités de cybersécurité divulguées publiquement se voient attribuer un numéro de vulnérabilités et d’expositions communes (CVE). Pour 2020, Android a enregistré 859 rapports CVE. iOS a eu moins de rapports, 304 au total. Cependant, sur ces 304, 140 autorisaient l’exécution de code non autorisée, plus que 97 pour Android. Quatre des rapports concernaient l’évaluation des privilèges dans iOS, tandis que trois des rapports concernaient l’évaluation des privilèges dans Android. Le fait est que ni Android ni iOS ne sont intrinsèquement sécurisés et à l’abri des vulnérabilités 0-day.

Comment se protéger des logiciels espions

OnePlus 9 Pro votre téléphone est à jour

Gary Sims / Autorité Android

La chose la plus drastique et la moins pratique à faire est d’abandonner votre téléphone. Si vous êtes vraiment inquiet à l’idée d’être espionné, ne donnez pas aux autorités l’accès qu’elles recherchent. Si vous n’avez pas de smartphone, Pegasus n’a rien à attaquer. Une approche un peu plus pratique pourrait consister à laisser votre téléphone à la maison lorsque vous sortez ou assistez à des réunions sensibles. Vous devrez également vous assurer que les autres personnes dans votre voisinage n’ont pas non plus leur smartphone. Vous pouvez également désactiver des éléments tels que l’appareil photo de votre smartphone, comme l’a démontré Edward Snowden en 2016.

Si tout cela vous semble trop drastique, vous pouvez prendre des mesures pratiques. Cependant, vous devez savoir que si une agence gouvernementale vous cible avec un logiciel comme Pegasus et que vous insistez pour garder votre smartphone, vous ne pouvez pas faire grand-chose pour l’arrêter.

La chose la plus importante que vous puissiez faire est de garder votre téléphone à jour. Pour les utilisateurs d’Apple, cela signifie toujours installer les mises à jour iOS dès qu’elles sont disponibles. Pour les utilisateurs d’Android, cela signifie d’abord choisir une marque qui a un bon historique de publication de mises à jour, puis toujours installer les nouvelles mises à jour dès qu’elles sont disponibles. En cas de doute, choisissez un appareil Google, car ils ont tendance à obtenir les mises à jour le plus rapidement.

Voir également: Tout ce que vous devez savoir sur le matériel Google

Deuxièmement, ne cliquez jamais, et je veux dire jamais, jamais, sur un lien que quelqu’un vous a envoyé à moins que vous ne soyez sûr à 100%, sans aucun doute, que le lien est authentique et sûr. S’il y a ne serait-ce qu’un léger doute, ne cliquez pas dessus.

Troisièmement, ne pensez pas que vous êtes à l’abri si vous êtes un utilisateur d’iPhone. Pegasus cible iOS et Android. Comme mentionné ci-dessus, il y a eu une période en 2019 où Pegasus a activement exploité les vulnérabilités de Facetime qui lui ont permis de s’installer sans être détecté sur les appareils iOS. Vous voudrez peut-être regarder cette vidéo sur la façon dont le gouvernement chinois a utilisé les vulnérabilités d’iOS pour espionner les gens.

Enfin, soyez vigilant, mais restez calme et pondéré. Ce n’est pas (encore) la fin du monde, mais l’ignorer n’aidera pas non plus. Vous pensez peut-être n’avoir rien à cacher, mais qu’en est-il des membres de votre famille ou de vos amis ? Les journalistes, les chefs d’entreprise, les chefs religieux, les universitaires et les responsables syndicaux ne sont pas si rares qu’ils n’ont ni amis ni famille. Comme le disait le slogan de la Seconde Guerre mondiale, « Les lèvres lâches font couler des navires ».

Share