Une importante enquête journalistique a trouvé des preuves de l'utilisation de logiciels malveillants par les gouvernements du monde entier, y compris des allégations d'espionnage de personnalités.

À partir d'une liste de plus de 50 000 numéros de téléphone, les journalistes ont identifié plus de 1 000 personnes dans 50 pays qui auraient été surveillées à l'aide du logiciel espion Pegasus. Le logiciel a été développé par la société israélienne NSO Group et vendu à des clients gouvernementaux.

Parmi les cibles signalées des logiciels espions figurent des journalistes, des politiciens, des responsables gouvernementaux, des chefs d'entreprise et des militants des droits de l'homme.

Jusqu'à présent, les rapports font allusion à un effort de surveillance rappelant un cauchemar orwellien, dans lequel le logiciel espion peut capturer les frappes au clavier, intercepter les communications, suivre l'appareil et utiliser la caméra et le microphone pour espionner l'utilisateur.

Comment ont-ils fait ?

Il n'y a rien de particulièrement compliqué dans la façon dont le logiciel espion Pegasus infecte les téléphones des victimes. Le piratage initial implique un SMS ou un iMessage spécialement conçu qui fournit un lien vers un site Web. Si vous cliquez dessus, ce lien livre un logiciel malveillant qui compromet l'appareil.

L'objectif est de prendre le contrôle total du système d'exploitation de l'appareil mobile, soit en rootant (sur les appareils Android) ou en jailbreakant (sur les appareils Apple iOS).

Habituellement, l'enracinement sur un appareil Android est effectué par l'utilisateur pour installer des applications et des jeux à partir de magasins d'applications non pris en charge, ou pour réactiver une fonctionnalité qui a été désactivée par le fabricant.

De même, un jailbreak peut être déployé sur les appareils Apple pour permettre l'installation d'applications non disponibles sur l'App Store d'Apple, ou pour déverrouiller le téléphone pour une utilisation sur des réseaux cellulaires alternatifs. De nombreuses approches de jailbreak nécessitent que le téléphone soit connecté à un ordinateur à chaque fois qu'il est allumé (appelé "jailbreak connecté").

L'enracinement et le jailbreak suppriment tous les deux les contrôles de sécurité intégrés aux systèmes d'exploitation Android ou iOS. Il s'agit généralement d'une combinaison de modifications de configuration et d'un "piratage" des éléments de base du système d'exploitation pour exécuter du code modifié.

Dans le cas d'un logiciel espion, une fois qu'un appareil est déverrouillé, l'auteur peut déployer d'autres logiciels pour sécuriser l'accès à distance aux données et aux fonctions de l'appareil. Cet utilisateur est susceptible de rester complètement inconscient.

La plupart des reportages des médias sur Pegasus concernent la compromission des appareils Apple. Le logiciel espion infecte également les appareils Android, mais n'est pas aussi efficace car il repose sur une technique d'enracinement qui n'est pas fiable à 100 %. Lorsque la tentative d'infection initiale échoue, le logiciel espion invite soi-disant l'utilisateur à accorder les autorisations appropriées afin qu'il puisse être déployé efficacement.

Comment fonctionne le logiciel espion Pegasus- pic.twitter.com/GbE4RBUTvJ

– Rohan (@rohanreplies) 19 juillet 2021

Mais les appareils Apple ne sont-ils pas plus sûrs ?

Les appareils Apple sont généralement considérés comme plus sûrs que leurs équivalents Android, mais aucun type d'appareil n'est sûr à 100 %.

Apple applique un haut niveau de contrôle sur le code de son système d'exploitation, ainsi que sur les applications proposées via son App Store. Cela crée un système fermé souvent appelé "sécurité par l'obscurité". Apple exerce également un contrôle total sur le moment où les mises à jour sont déployées, qui sont ensuite rapidement adoptées par les utilisateurs.

Les appareils Apple sont fréquemment mis à jour vers la dernière version d'iOS via l'installation automatique de correctifs. Cela contribue à améliorer la sécurité et augmente également la valeur de la recherche d'un compromis viable pour la dernière version d'iOS, car la nouvelle sera utilisée sur une grande partie des appareils dans le monde.

D'autre part, les appareils Android sont basés sur des concepts open source, de sorte que les fabricants de matériel peuvent adapter le système d'exploitation pour ajouter des fonctionnalités supplémentaires ou optimiser les performances. Nous voyons généralement un grand nombre d'appareils Android exécutant diverses versions, ce qui entraîne inévitablement des appareils non corrigés et non sécurisés (ce qui est avantageux pour les cybercriminels).

En fin de compte, les deux plates-formes sont vulnérables aux compromis. Les facteurs clés sont la commodité et la motivation. Bien que le développement d'un outil contre les logiciels malveillants iOS nécessite un investissement plus important en temps, en efforts et en argent, le fait d'avoir de nombreux appareils exécutant un environnement identique signifie qu'il y a plus de chances de succès à une échelle significative.

Bien que de nombreux appareils Android soient susceptibles d'être compromis, la diversité du matériel et des logiciels rend plus difficile le déploiement d'un seul outil malveillant auprès d'une large base d'utilisateurs.

Comment puis-je savoir si je suis surveillé ?

Alors que la fuite de plus de 50 000 numéros de téléphone prétendument surveillés semble beaucoup, il est peu probable que le logiciel espion Pegasus ait été utilisé pour surveiller toute personne qui n'est pas publiquement connue ou politiquement active.

Il est dans la nature même des logiciels espions de rester cachés et non détectés sur un appareil. Cela dit, des mécanismes sont en place pour indiquer si votre appareil a été compromis.

Le moyen (relativement) simple de le déterminer est d'utiliser le Mobile Verification Toolkit (MVT) d'Amnesty International. Cet outil peut fonctionner sous Linux ou MacOS et peut examiner les fichiers et la configuration de votre appareil mobile en analysant une sauvegarde effectuée à partir du téléphone.

Bien que l'analyse ne confirme ni n'infirme si un appareil est compromis, elle détecte des "indicateurs de compromis" qui peuvent fournir des preuves d'infection.

C'est un très bon projet construit par les mêmes chercheurs d'Amnesty qui ont confirmé les infections à Pegasus sur les téléphones des victimes. MVT permet à quiconque de sauvegarder son téléphone et de rechercher des indicateurs de compromission associés à Pegasus. https://t.co/IQ1YDDBCcQ pic.twitter.com/dhoImNvw4P

– Zack Whittaker (@zackwhittaker) 19 juillet 2021

En particulier, l'outil peut détecter la présence de logiciels (processus) spécifiques en cours d'exécution sur l'appareil, ainsi qu'une gamme de domaines utilisés dans le cadre de l'infrastructure mondiale prenant en charge un réseau de logiciels espions.

Que puis-je faire pour être mieux protégé ?

Bien qu'il soit peu probable que la plupart des gens soient ciblés par ce type d'attaque, vous pouvez prendre des mesures simples pour minimiser votre exposition potentielle, non seulement à Pegasus, mais également à d'autres attaques malveillantes.

1. N'ouvrez que des liens provenant de contacts et de sources connus et fiables lorsque vous utilisez votre appareil. Pegasus est déployé sur les appareils Apple via un lien iMessage. Et c'est la même technique utilisée par de nombreux cybercriminels pour la distribution de logiciels malveillants et les escroqueries moins techniques. Le même conseil s'applique aux liens envoyés par e-mail ou autres applications de messagerie.
2. Assurez-vous que votre appareil est mis à jour avec tous les correctifs et mises à niveau pertinents. Bien qu'une version standardisée d'un système d'exploitation crée une base stable à cibler pour les attaquants, cela reste votre meilleure défense.
3. Si vous utilisez Android, ne vous fiez pas aux notifications pour les nouvelles versions du système d'exploitation. Vérifiez vous-même la dernière version, car le fabricant de votre appareil peut ne pas fournir de mises à jour.
4. Bien que cela puisse sembler évident, vous devez limiter l'accès physique à votre téléphone. Pour ce faire, activez le verrouillage par épingle, doigt ou visage sur l'appareil. Le site Web de l'eSafety Commissioner propose une série de vidéos expliquant comment configurer votre appareil en toute sécurité.
5. Évitez les services Wi-Fi publics et gratuits (y compris les hôtels), en particulier lorsque vous accédez à des informations sensibles. L'utilisation d'un VPN est une bonne solution lorsque vous avez besoin d'utiliser de tels réseaux.
6. Chiffrez les données de votre appareil et activez les fonctionnalités d'effacement à distance, le cas échéant. En cas de perte ou de vol de votre appareil, vous serez assuré que vos données resteront en sécurité.