Qu’est-ce qu’un logiciel espion Pegasus et comment pirate-t-il les téléphones ?

Article traduit de l’américain (The Guardian)

Le logiciel NSO Group peut enregistrer vos appels, copier vos messages et vous filmer en secret

 
C’est peut-être le nom du logiciel espion le plus puissant jamais développé – certainement par une entreprise privée. Une fois qu’il s’est frayé un chemin sur votre téléphone, sans que vous vous en rendiez compte, il peut le transformer en un dispositif de surveillance 24 heures sur 24. Il peut copier les messages que vous envoyez ou recevez, récolter vos photos et enregistrer vos appels. Il peut vous filmer secrètement à travers la caméra de votre téléphone ou activer le microphone pour enregistrer vos conversations. Il peut potentiellement identifier où vous êtes, où vous avez été et qui vous avez rencontré.

Pegasus est le logiciel de piratage – ou logiciel espion – qui est développé, commercialisé et autorisé aux gouvernements du monde entier par la société israélienne NSO Group. Il a la capacité d’infecter des milliards de téléphones fonctionnant sous les systèmes d’exploitation iOS ou Android.

La première version de Pegasus découverte, qui a été capturée par des chercheurs en 2016, a infecté des téléphones via ce qu’on appelle le spear-phishing – des messages texte ou des e-mails qui incitent une cible à cliquer sur un lien malveillant.

Depuis lors, cependant, les capacités d’attaque de NSO sont devenues plus avancées. Les infections à Pegasus peuvent être obtenues par le biais d’attaques dites « zéro clic », qui ne nécessitent aucune interaction de la part du propriétaire du téléphone pour réussir. Ceux-ci exploiteront souvent des vulnérabilités « zero-day », qui sont des failles ou des bugs dans un système d’exploitation que le fabricant du téléphone mobile ne connaît pas encore et n’a donc pas été en mesure de corriger.

En 2019, WhatsApp a révélé que le logiciel de NSO avait été utilisé pour envoyer des logiciels malveillants à plus de 1 400 téléphones en exploitant une vulnérabilité zero-day. En passant simplement un appel WhatsApp à un appareil cible, un code Pegasus malveillant pourrait être installé sur le téléphone, même si la cible n’a jamais répondu à l’appel. Plus récemment, NSO a commencé à exploiter les vulnérabilités du logiciel iMessage d’Apple, lui donnant un accès backdoor à des centaines de millions d’iPhones. Apple dit qu’il met continuellement à jour son logiciel pour empêcher de telles attaques.

La compréhension technique de Pegasus et la façon de trouver les miettes de pain probantes qu’il laisse sur un téléphone après une infection réussie ont été améliorées par les recherches menées par Claudio Guarnieri, qui dirige le laboratoire de sécurité d’Amnesty International à Berlin.

« Les choses deviennent beaucoup plus compliquées à remarquer pour les cibles », a déclaré Guarnieri, qui a expliqué que les clients de NSO avaient largement abandonné les messages SMS suspects pour des attaques plus subtiles sans clic.

Imessage

Pour des entreprises telles que NSO, l’exploitation de logiciels installés par défaut sur les appareils, tels que iMessage, ou très largement utilisés, tels que WhatsApp, est particulièrement attrayante, car elle augmente considérablement le nombre de téléphones mobiles que Pegasus peut attaquer avec succès.

En tant que partenaire technique du projet Pegasus, un consortium international d’organisations médiatiques dont le Guardian, le laboratoire d’Amnesty a découvert des traces d’attaques réussies par des clients Pegasus sur des iPhones exécutant des versions à jour d’iOS d’Apple. Les attentats ont été perpétrés pas plus tard qu’en juillet 2021.

L’analyse médico-légale des téléphones des victimes a également identifié des preuves suggérant que la recherche constante de faiblesses par NSO pourrait s’être étendue à d’autres applications courantes. Dans certains des cas analysés par Guarnieri et son équipe, un trafic réseau particulier lié aux applications Photos et Musique d’Apple peut être observé au moment des infections, suggérant que NSO a peut-être commencé à exploiter de nouvelles vulnérabilités.

Là où ni le spear-phishing ni les attaques sans clic ne réussissent, Pegasus peut également être installé sur un émetteur-récepteur sans fil situé à proximité d’une cible, ou, selon une brochure NSO, simplement installé manuellement si un agent peut voler le téléphone de la cible.

Une fois installé sur un téléphone, Pegasus peut récolter plus ou moins n’importe quelle information ou extraire n’importe quel fichier. Les messages SMS, les carnets d’adresses, l’historique des appels, les calendriers, les e-mails et les historiques de navigation sur Internet peuvent tous être exfiltrés.

Pegasus peut récolter plus ou moins n’importe quelle information ou extraire n’importe quel fichier

« Lorsqu’un iPhone est compromis, cela se fait de manière à permettre à l’attaquant d’obtenir des privilèges dits root, ou privilèges administratifs, sur l’appareil », a déclaré Guarnieri. « Pegasus peut faire plus que ce que le propriétaire de l’appareil peut faire.« 

Les avocats de NSO ont affirmé que le rapport technique d’Amnesty International était une conjecture, le décrivant comme « une compilation d’hypothèses spéculatives et sans fondement ». Cependant, ils n’ont contesté aucune de ses constatations ou conclusions spécifiques.

NSO a investi des efforts considérables pour rendre son logiciel difficile à détecter et les infections Pegasus sont désormais très difficiles à identifier. Les chercheurs en sécurité soupçonnent que les versions les plus récentes de Pegasus n’habitent que la mémoire temporaire du téléphone, plutôt que son disque dur, ce qui signifie qu’une fois le téléphone éteint, pratiquement toute trace du logiciel disparaît.

L’un des défis les plus importants que Pegasus présente aux journalistes et aux défenseurs des droits humains est le fait que le logiciel exploite des vulnérabilités non découvertes, ce qui signifie que même l’utilisateur de téléphone mobile le plus soucieux de la sécurité ne peut empêcher une attaque.

« C’est une question qui m’est posée à peu près chaque fois que nous effectuons des examens médico-légaux avec quelqu’un :« Que puis-je faire pour empêcher que cela ne se reproduise ? » a déclaré Guarnieri. « La vraie réponse honnête est rien. »

De Snowden au scandale Cambridge Analytica

Les enquêtes internationales intrépides sont au cœur du journalisme du Guardian, atteignant des millions de lecteurs à travers le monde, dont la France. Nous croyons en la poursuite de la vérité et en la rapportant avec intégrité et équité, en restant farouchement indépendants et à l’abri de toute influence politique ou commerciale. Et parce que nous croyons en l’égalité de l’information, notre travail est ouvert à tous.

Des révélations de Snowden au scandale Cambridge Analytica et à nos enquêtes Covid en cours, au cours de nos 200 ans d’histoire, nous avons exposé des actes répréhensibles de grande envergure et scruté les puissants. Nous avons rencontré des risques importants en cours de route – des menaces à la sécurité des journalistes aux menaces juridiques. Mais nous persévérons, car le reportage d’investigation de qualité a de la valeur ; il a aidé plus de gens que jamais à comprendre ce qui se passe dans notre monde, pourquoi c’est important et comment, ensemble, nous pouvons exiger le progrès. En collaborant avec d’autres organisations de presse qui partagent nos valeurs, notre voix est plus forte et son impact plus important.

Comme tout appareil il n’est jamais bon de le laisser allumer en permanence, ordinateur, tablette ou smartphone. Ce scandale mondiale va très certainement nous obliger à changer certaines de nos habitudes ou nous ouvrir les yeux sur nos appareils connectés… du moins pouvons nous l’espérer.

Afin de complètement vous rassurer, voici les prix pratiqués par NSO Group

La société israélienne NSO Group facture aux gouvernements des frais élevés pour l’utilisation de son outil de surveillance Pegasus, selon un rapport du New York Times .

Le rapport, publié en 2016, est basé sur une proposition commerciale consultée par la publication.

NSO facture des frais fixes de 500 000 $ (environ Rs 3,7 crore) pour l’installation de Pegasus. Il facture 650 000 $ aux agences gouvernementales  (Rs 4,8 crore) pour espionner 10 iPhones; 650 000 $ pour 10 utilisateurs Android ; 500 000 $ pour cinq utilisateurs de BlackBerry ; ou 300 000 $ pour cinq utilisateurs Symbian, selon le rapport. 

Cent cibles supplémentaires coûteront 800 000 $ (environ Rs 5,9 crore), 50 cibles supplémentaires coûteront 500 000 $, 20 cibles supplémentaires coûteront 250 000 $ (Rs 1,8 crore) et 10 frais supplémentaires 150 000 $ (Rs 1,1 crore).

Le groupe facture également des frais annuels de maintenance du système de 17% du prix total chaque année par la suite, selon le rapport… (Source Money Control)

Cela laisse rêveur

Pegasus, Une détection difficile, outil dédié aux Iphones

La détection de Pegasus  peut s’avérer particulièrement difficile. Pour son enquête, le laboratoire de sécurité d’Amnesty International s’est appuyée sur un outil nomme Mobile Verification Toolkit et s’adresse uniquement aux iPhone. Il fonctionne à l’aide de l’application macOS Terminal, recherche la dernière sauvegarde d’iPhone sur le Mac. Il faudra installer libusb ainsi que Python 3 en utilisant Homebrew. L’utilisation de cet outil n’est donc pas à la portée de tous. (Source le Monde Informatique)

Une chaîne d’attaque sur iOS aura plus d’impact qu’une chaîne d’attaque Android. Comme le parc d’appareils Apple est plus homogène, elle permettra d’accéder d’emblée à un grand nombre de terminaux. À l’inverse, le fractionnement de l’écosystème Android rend le piratage plus fastidieux. Ce qui explique peut-être en partie pourquoi les terminaux iOS apparaissent plus fréquemment dans les analyses forensiques d’attaques Pegasus.

01net.com

Laisser un commentaire