La sécurité d’iOS et d’Android dépecée par Pegasus
André Boily
Dans le ciel étoilé, la constellation de Pégase, aussi connue sous le nom latin international de «Pegasus», peut faire rêver, mais l’autre Pegasus, celui qui sert de nom au redoutable logiciel espion de la firme israélienne NSO, donne des cauchemars.
Des cauchemars d’atteinte à la vie privée et professionnelle de journalistes et de politiciens à cause d’un indécrottable logiciel (spyware) qui espionne les communications des téléphones Android et iOS des personnes visées.
50 000 téléphones espionnés
À partir d'une liste de plus de 50 000 numéros de téléphone portable obtenue grâce à l'association journalistique parisienne Forbidden Stories et le groupe de défense des droits de l'homme Amnesty International, et partagée avec 16 organismes de presse, les journalistes ont pu identifier plus de 1000 individus dans 50 pays qui auraient été sélectionnés par des clients de NSO pour une surveillance potentielle.
On ne parle pas ici d’un programme malveillant ou d'un virus qui se propage dans les ordinateurs d’une entreprise ou dans le grand public, mais d’un ciblage précis, par des États voyous ou non, des téléphones intelligents de journalistes, de militants et d'opposants du monde entier. Une licence de Pegasus s’obtient à coup de dizaines, voire de centaines de millions de dollars, d’énormes sommes que seuls des États ou des organes de sécurité et de renseignements peuvent se permettre.
Sur son site web, «NSO Group crée une technologie qui aide les agences gouvernementales à prévenir et à enquêter sur le terrorisme et la criminalité afin de sauver des milliers de vies dans le monde entier».
Le plus redoutable logiciel espion jamais créé
Le pire, c’est que la personne piégée est incapable de savoir si son téléphone est sous écoute ou non, alors que l’infiltration de Pegasus n’exige aucun geste actif du propriétaire. Dans le jargon, on parle d’un exploit «zéro clic».
Sur la page Wiki dédiée à Pegasus, il est écrit que «Pegasus a été découvert en août 2016 après qu'une tentative ratée pour l'installer sur un iPhone appartenant à un militant des droits de l'homme a donné lieu à une enquête révélant des détails sur le logiciel espion, ses capacités et les failles de sécurité qu'il exploitait. En 2016, Pegasus était capable de lire les messages texte, de suivre les appels, de collecter les mots de passe, de suivre la localisation, d'accéder au microphone et à la caméra de l'appareil cible et de récolter des informations à partir des applis». Bref, la totale!
Même si son propriétaire utilise une messagerie chiffrée, comme WhatsApp ou Telegram, Pegasus retransmet aux espions chaque bribe de conversation à l’aide d’un réseau maison de transmission anonyme PATN.
Selon le célèbre lanceur d’alerte Edward Snowden, qui a réagi aujourd’hui même à la nouvelle, «si on ne fait rien pour stopper la vente de cette technologie, ce ne seront pas 50000, mais 50 millions de cibles qui seront espionnées, et cela arrivera plus vite qu’on le pense».
Pegasus parvient à exploiter non pas une, mais plusieurs failles de sécurité informatique dans un système.
Selon The Guardian, en 2019, WhatsApp a révélé que le logiciel de NSO avait été utilisé pour envoyer des logiciels malveillants à plus de 1400 téléphones en exploitant une vulnérabilité de type zero-day. Il suffisait de passer un appel WhatsApp vers un appareil cible pour que du code malveillant Pegasus soit installé sur le téléphone, même si la cible ne répondait jamais à l'appel. Plus récemment, NSO a commencé à exploiter des vulnérabilités dans le logiciel iMessage d'Apple, ce qui lui a permis d'accéder par une porte dérobée à des centaines de millions d'iPhone. Apple affirme qu'elle met continuellement à jour son logiciel pour prévenir de telles attaques.
Capable de se détruire
Le logiciel espion de NSO est également capable, sur commande à distance, de s’effacer dans l’appareil s’il ne parvient pas à communiquer avec son serveur pendant plus de 60 jours, peut-on lire sur sa page Wikipédia.
Les chercheurs en sécurité soupçonnent les versions les plus récentes de Pegasus de n'habiter que la mémoire vive du téléphone, et non son stockage, ce qui signifie qu'une fois le téléphone éteint, pratiquement toute trace du logiciel disparaît. Si c’est le cas, éteindre complètement son téléphone serait une manière simple de faire disparaître Pegasus.
Apple dénonce
Par courriel, le responsable de l’ingénierie et de l’architecture de sécurité Ivan Krstić a écrit ceci: «Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits de l'homme et les autres personnes qui cherchent à rendre le monde meilleur. Depuis plus de 10 ans, Apple est à la pointe de l'innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité s'accordent à dire que l'iPhone est l'appareil mobile grand public le plus sûr du marché. Les attaques comme celles décrites sont très sophistiquées, leur développement coûte des millions de dollars, leur durée de vie est souvent courte et elles sont utilisées pour cibler des personnes spécifiques. Bien que cela ne signifie pas qu'elles constituent une menace pour l'écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données.»
Facebook aussi
Fin 2019, Facebook a engagé une action en justice contre NSO, affirmant que Pegasus avait été utilisé pour intercepter les communications WhatsApp d'un certain nombre de militants, de journalistes et de bureaucrates en Inde, ce qui a conduit à des accusations selon lesquelles le gouvernement indien était impliqué.
À voir, la vidéo (5 min) diffusée aujourd’hui par le journal The Guardian sur la menace que représente Pegasus pour la démocratie.
Et la réaction toute récente d’Edward Snowden sur les abus du logiciel espion Pegasus par les gouvernements.