Le malware d’espionnage Pegasus est toujours plus efficace et utilisé

Nicolas Furno |

En partenariat avec des journalistes du monde entier, Forbidden Stories et Amnesty International ont publié une longue étude sur Pegasus. Ce malware d’espionnage n’est pas nouveau, on le connaît depuis 2016, mais son créateur, une entreprise israélienne nommée NSO Group, opère depuis 2010. Son rôle est d’offrir un accès complet à un smartphone, pour suivre la position de son propriétaire, accéder à l’intégralité du contenu stocké en local et même activer microphone et caméras.

Un scénario digne d’un film d’espionnage, qui fonctionne autant sur Android que sur iOS. Le NSO Group exploite aussi discrètement que possible les failles de sécurité présentes dans les systèmes d’exploitation et même si Apple et Google les ferment au fil des mises à jour, il en reste toujours qui sont encore actives. La preuve, cette nouvelle étude met en avant une nouvelle méthode d’attaque encore plus redoutable, puisqu’elle ne nécessite aucune intervention manuelle.

Photo duncan c (CC BY-NC 2.0)

Les premières attaques connues reposaient sur un lien qui devait être ouvert par l’utilisateur pour installer et activer le malware. Depuis 2019 au moins, le NSO Group a mis au point une nouvelle génération d’attaque, dite « zero-click » parce qu’elle ne nécessite aucune intervention. La dernière attaque connue date de ce mois-ci et elle passe par l’app Messages des iPhone, y compris avec iOS 14.6, la dernière version stable du système d’Apple.

Cette information est particulièrement importante, car Apple était censée avoir justement renforcé la sécurité de l’app Messages avec iOS 14. Le dispositif « BlastDoor » introduit avec cette mise à jour devait protéger contre ce type d’attaques, avec un système de bac à sable renforcé qui isole davantage l’app de messagerie instantanée. Les dernières révélations d’Amnesty International, confirmées par d’autres chercheurs en sécurité, prouvent bien que le NSO Group a trouvé la parade et que Pegasus continue d’agir malgré ces mesures de sécurité supplémentaires.

Grâce à ces failles, il suffit qu’un message reçu dans l’app d’Apple contienne un lien pour que le malware s’installe sur l’iPhone. Mais ce n’est pas le seul vecteur d’attaque pour Pegasus, qui exploite toutes les failles connues. Les nouvelles recherches dévoilées hier montrent qu’il y a eu de multiples biais d’attaque, y compris via des apps qui sembleraient impossibles à utiliser pour un hack, comme Photos ou Musique. NSO Group exploite toutes les failles à sa portée et utilise pour cela un réseau de plusieurs centaines de serveurs, majoritairement en Europe et principalement en Allemagne, pour diffuser son malware à l’insu de ses cibles.

Des journalistes visés dans le monde entier

À propos de cibles, l’entreprise israélienne vante ses techniques uniquement pour lutter contre le terrorisme ou des criminels. Forbiden Stories et Amnesty International confirment à nouveau que Pegasus est vendu au plus offrant et sert à des régimes politiques peu scrupuleux, pour espionner contre la presse ou leurs propres citoyens. Le Monde, partenaire de l’enquête, a publié plusieurs articles où le quotidien évoque notamment le rôle du gouvernement marocain, qui utilise activement le malware du NSO Group.

Pegasus a servi pour le compte du gouvernement marocain à espionner des journalistes locaux, ainsi qu’une trentaine de journalistes français, dont Edwy Plenel de Mediapart et des membres des rédactions du Monde, du Canard enchaîné, du Figaro, de l’AFP ou encore de France Télévisions. Mais le Maroc est loin d’être un cas isolé : la Hongrie est aussi un client du NSO Group, le gouvernement de Viktor Orban l’a utilisé pour espionner des journalistes hostiles à sa politique, ainsi que leur conjoint. Plus loin, on évoque aussi l’Arabie saoudite, le Mexique, l’Inde ou encore l’Azerbaïdjan et ce ne sont que les pays identifiés par cette nouvelle analyse.

Contactée par les journalistes qui ont travaillé sur cette enquête, le NSO Group a donné sa réponse habituelle : l’usage de Pegasus est strictement interdit pour de l’espionnage politique et l’entreprise sanctionne tous ses clients qui le feraient. L’entreprise israélienne a par ailleurs dénoncé l’enquête, qui serait basée selon elle sur des « théories non corroborées » et sur des « sources [qui] ont fourni des informations ne s’appuyant sur aucune base factuelle ». Les gouvernements concernés ont aussi tous nié les accusations.

Dans le même temps, le NSO Group reconnaît aussi qu’elle ne peut pas savoir précisément quand et comment son malware est exploité par ses clients, dont la liste demeure par ailleurs secrète. Face à ces déclarations, les nouvelles analyses montrent bien que Pegasus est toujours plus actif et efficace. Et que le malware est bel et bien exploité contre des journalistes et leurs proches, non pas seulement pour contrer le terrorisme et les crimes comme le prétend son concepteur.


avatar raoolito | 

@huexley

aussi
mais chez google c pareil voire pire ils ont le projet zero qui est tres efficace
comme quoi meme si ca aiderait ce n'est pas la panacée

avatar fredsoo | 

Moralité, retour au 3310 pour les journalistes….

avatar koko256 | 

@fredsoo

Ou un smartphone mais avec aucunes données. Je ne sais pas si on peut désactiver tous les historiques sur Android ou IOS.

avatar r e m y | 

Un smartphone sur lequel on n'enregistre rien, on ne saisit rien dans le calendrier, on ne reçoit et on n'envoie aucun e-mail, aucun sms, on n’utilise aucun service de messagerie, cryptée ou non, un téléphone avec lequel on ne téléphone surtout pas, un téléphone que l'on enfouit sous 3 oreillers pour que son micro et sa caméra (activables à distance) ne captent rien, un smartphone avec lequel on ne prend aucune photo, sur lequel on désactive bluetooth, wifi, gps, 4G pour ne pas être localisable...
Autant le laisser éteint!

avatar koko256 | 

@fredsoo

Ou n'utiliser qu'une clé 5G...

avatar TiTwo102 | 

Y’a plusieurs choses qui me choquent.

La première, c’est que les entreprises les plus riches de la planète, qui vantent la vie privée à longueur de pubs, soient incapables de contrer ce logiciel qui est sur le marché depuis maintenant minimum 5 ans.
Incapable de rattraper le retard, voir même pire, prendre encore plus de retard ! Sérieux, là on parle quand même d’une faille qui infecte l’ensemble du téléphone sans même la moindre action du propriétaire !!!
Incapable même de mettre en place un système qui, à minima, alerterait quand un téléphone est infecté.

La deuxième, c’est comment on en arrive là ?
Le logiciel est en vente libre. Les entreprises les plus riches de la planète ne seraient même capables d’acheter chaque version pour étudier et combler les failles ?
Aussi, et ca a été dit juste au dessus, mais si les géants de la tech n’étaient pas si radin, notamment dans les récompenses de failles, peut-être que ces hackers les refileraient à Apple et Google plutôt qu’NSO group.
Mais c’est clair que voir dans le journal (jusqu’à cet article grand public) que les entreprises qui fabriquent nos téléphones sont en galère et doivent payer très cher pour combler des failles critiques, c’est moins vendeur qu’une grande pub avec un « what’s on your iPhone stays on your iPhone ».

Pour des gens qui, comme ceux de ce site, sont un peu renseignés sur le sujet, ce problème était connu, pour les autres, l’iPhone est un coffre fort inviolable comme c’est dit dans les pubs.
Cet article grand public mettra, je l’espère, un petit coup de pied au cul des Apple, Google, etc.

avatar hirtrey | 

@TiTwo102

Et pourtant il n’y a rien de choquant. Aucun logiciel n’ext exempt de bug, c’est impossible.

avatar vince29 | 

Il y a des logiciels de preuve formelle qui vérifie que le logiciel fait bien ce qu'il dit (coq et consorts)
L'embêtant c'est que ça marche surtout sur des progs triviaux.

avatar Nicolas Furno | 

@TiTwo102

Je pense que je n'ai pas été assez clair, mais il ne s'agit pas d'une seule faille, il s'agit de dizaines de failles exploitées successivement au fil des années. Les failles utilisées en 2016 ont été comblées depuis longtemps, Pegasus repose sur d'autres failles aujourd’hui.

avatar TiTwo102 | 

@Nicolas Furno

Si si, l’article est clair, en tout cas selon moi, et je l’avais bien compris comme ça. C’est pour ca que je parle de « chaque version » dans le deuxième paragraphe.

avatar iPadProM1 | 

@TiTwo102

« Incapable même de mettre en place un système qui, à minima, alerterait quand un téléphone est infecté. »
C’est un peu le but des logiciels espion non 🤦‍♂️

avatar Yves SG | 

Ce qui est à mes yeux révoltant c’est qu’une telle société puisse avoir pignon sur rue… avec des serveurs en Europe qui plus est !

avatar r e m y | 

Officiellement cette société travaille et fournit aux meilleures démocraties au Monde des outils de lutte anti terroriste. C'est donc des "gentils" dont les outils sont indispensables à nos agences de sécurité gouvernementales.

avatar iPadProM1 | 

@Yves SG

Apple comme toute autre entreprise faisant du soft n’est invulnérable. Ca reste du code et les failles sont dites normal a la conception.
En vouloir a un constructeur qui est par la même occasion victime…
Si demain tu te fais cambrioler tu ne diras pas que c’est inadmissible que ta fenêtre a été fracturée, et t’en prendre a son fabricant. 🤷‍♂️

avatar Loloche | 

Ça dépends si le fabricant t'as vendu une fenêtre anti-effraction ;)

avatar amonbophis | 

Si on avait un utilitaire du type little snitch sur iOS, est ce que cet espionnage serait à découvert?

avatar r e m y | 

Si c'etait possible, j'ose espérer qu'Apple et Google feraient en sorte de bloquer ces échanges de données non autorisees

avatar Bozzo | 

Comment on fait pour savoir si notre iPhone est atteint ?

avatar vincentn | 

@Bozzo

Tu es avocat, journaliste, dirigeant ou opposant politique, patron d’une boîte stratégique pouvant intéresser un État ? Non ? Et bien vous ne risquez rien et personne n’a utilisé Pegasus ou système similaire contre toi.

avatar r e m y | 

Sauf si dans ton malheur, tu as hérité de l'ancien 06 d'Eric Zemmour (qui figure dans la liste des numéros surveillés par le gouvernement marocain, mais n'est plus son numéro de portable actuel...)🥺

avatar vincentn | 

@r e m y

Oui, c’est la seule possibilité. Bon je ne suis pas dans son carnet d’adresse ni échangé de mail ou SMS avec lui. ;)

Certaines des victimes visées par Pegasus et un État n’étant pas pour leur activité directe mais par les contacts et échanges qu’elles auraient pu avoir avec une personne directement plus concernée.

avatar r e m y | 

Non ce que je veux dire c'est que Zemmour ayant changé de numéro de téléphone, quelqu'un s'est probablement déjà vu réaffecter ce numéro en 06.... du coup cette personne risque d'être surveillée "par erreur" par le Maroc (pensant que c'est Zemmour)

avatar vincentn | 

@r e m y

Vous pensez sérieusement que le Maroc ou tout autre État ne sait pas que Zemmour a changé de numéro de tel depuis ?

Les révélations actuelles sur Pegasus (on connaît cette solution de NSO depuis 2016) sont liées à la récupération et l’analyse d’un fichier de 50 000 numéros de téléphone et de noms, datant d’autour de 2019-2020 il me semble.
Depuis ce fichier a probablement été mis à jour, tout comme de nouvelles failles trouvées doivent être actuellement exploitées par NSO et ses clients étatiques.

avatar TiTwo102 | 

@ vincentn

L’argument du « on a rien à craindre si on a rien à cacher » ne vaut absolument rien.

Premièrement parce que d’un point de vue éthique, Apple vend son smartphone comme un coffre fort inviolable et s’en vente même dans les pubs, alors qu’ils savent très bien que c’est totalement faux.

Deuxièmement parce que vu l’ampleur et le nombre de failles qu’ils y a, les gains potentiels étants énormes, ca finira bien par toucher Mr et Mme Michou un jour ou l’autre.

avatar vincentn | 

@TiTwo102

Je n’ai absolument pas exploité cet argument. Juste celui de la personne d’intérêt, qui est quelque chose de bien différent.

Oui Apple fait sa pub sur la privacy/vie privée, la sécurité du consommateur lambda, avec les excès de toute campagne de pub. Vous n’êtes pas obligé de croire sur parole. Elle n’argumente en revanche jamais sur le fait qu’Apple, avec ses produits, vous protège de l’espionnage industriel ou étatique, que si vous êtes opposants politiques, journalistes, avocats, dirigeant/cadre dans une entreprise stratégique… vous êtes totalement protégés.

Un constructeur automobile vous vantera la sécurité active et passive de son véhicule, permettant dans une certaine mesure de diminuer la gravité de blessures potentielles, jamais qu’avec sa voiture vous n’aurez jamais d’accidents, légers ou gravissime, lié à une panne/défaillance d’une pièce au mauvais moment, à votre faute ou celle d’un tiers. Et bien en informatique grand public, et Apple et Google en font parti, c’est exactement la même chose.

Oui, cela peut toujours finir par toucher Monsieur et madame Michu, enfin d’abord ceux vivant dans des Etats dictatoriaux, totalitaires ou iliberaux par exemple avant les nôtres. NSO et ses camarades se foutent totalement de Monsieur et Madame Michu.

Les failles, et encore plus les zero-day sont de toute façon des gros problèmes, un jeu sans fin du chat et de la souris.

avatar TiTwo102 | 

@vincentn

C’est au contraire exactement la même chose. Les personnes d’intérêt ont quelque chose à cacher (quelque chose d’important, pas pour moi, mais pour Mr X ou Mme Y qui a les moyens), les autres non. C’est la même chose avec des mots différents.

Quand Apple fait de la pub il parle de sécurité des données. Il ne dit pas :

« vos données sont sécurisées sur l’iPhone*

*non pas parce qu’iOS est sécurisé, mais parce que vous faites partie des 99% de la population dont tout le monde se fout. Attention par contre, si vous avez quelque chose qui peut intéresser des gens importants, notre téléphone est une vraie passoire ».

Je ne comprends pas trop le parallèle avec un constructeur de voiture par contre.

avatar iPadProM1 | 

@TiTwo102

Tu as l’air inquiet…
Maintenant bien sur que l’iPhone est sur.
Mais pas contre une attaque d’une boite d’espionnage qui cherche à rentrer sur ios h24 a coup de milliers de devs.
C’est le jeu du chat et la souris, apple est aussi victime dans ce sens.

avatar marc_os | 

Le jour où le NSO Group se fera attaquer façon arroseur arrosé, je serai le dernier à pleurer et le premier à applaudir.

avatar marc_os | 

« le NSO Group a donné sa réponse habituelle : l’usage de Pegasus est strictement interdit pour de l’espionnage politique et l’entreprise sanctionne tous ses clients qui le feraient »

Le NSO Group va-t-il sanctionner des Etats comme le Maroc qui semble-t-il a utilisé / utilise son logiciel contre des opposants politiques ?
J'en doute.

avatar Pmac | 

Lu sur le Guardian : Microsoft, What’s app et Cisco portent plainte contre NSO…. mais pas Apple. Moyen.

« Even as Apple’s peers in the tech industry have begun to cry foul on advances by companies such as NSO, and have claimed they pose a grave threat to cybersecurity, Apple has largely stayed out of the fray. In a recent court submission filed in support of WhatsApp, the messaging app that is suing NSO Group in California, companies from Microsoft to Cisco created a coalition and filed a statement saying NSO made ordinary people less safe. Apple did not join the submission. »

https://www.theguardian.com/news/2021/jul/19/how-does-apple-technology-hold-up-against-nso-spyware

avatar marc_os | 

« Moyen »

Pour info, Apple est victime aussi de ces attaques.
C'est pourtant simple à voir : Il suffit de compter rien qu'iici le nombre de messages critiquant Apple suite à ces attaques qui la discréditent et font un tort clair à son image de marque.

Mais curieusement, ici on ne parle pas d'Android pourtant également touché.
Deux poids, deux mesures, comme d'habitude ici dirais-je.

avatar oboulot | 

Elle est connu cette technologie.

TheShadowBrokers avait d’ailleurs proposé à ce qui voulait ( et pouvait payer ) ce logiciel ainsi que pleins d’autre utilisés par la NSA

avatar Danny Wilde | 

NSO n’est qu’une partie visible de l’iceberg.
Je ne serai pas étonné d’apprendre ce type de révélation pour les bornes relais Huawei ou autres de types de matériel chinois (Xiaomi et consort). On le sait tous, surtout ici ou nous sommes au courant de ces techniques.

De plus, effectivement on connaît plus ou moins le nombre de journalistes, politiques, médias espionnés.
Mais combien d’attentas, de crimes ou meurtres ont été évité par Pegassus ?

On a entendu récemment que le ministère de l’intérieur (Francais) avait évité 10 attentas l’année dernière. Comment ? Bien sûr le gvt français dément avoir acheté la techno NSO ! Permettez-moi d’en douter.

avatar tempest | 

Comme quoi les Israéliens sont finalement peu regardant sur leurs affaires quand il s’agit de vendre ses trouvailles aux Arabes des Émirats du Golfe Persique. La religion et la politique passent alors au nième plan…
Monde de merde.

avatar webHAL1 | 

C'est étonnant, je ne vois pas dans les commentaires de cet articles les personnes qui expliquaient, il n'y a vraiment pas longtemps de cela, que l'iPhone était nettement plus sécurisé qu'Android, en particulier du fait qu'Apple "maîtrise toute la chaîne", du matériel aux applications en passant par le système d'exploitation. De façon amusante, les iPhone se retrouvent piratés via iMessage, ce qui ne pourrait très probablement pas arriver s'il s'agissait d'une application développée par un éditeur tiers et pas par la Pomme elle-même, qui s'autorise sur son système des passe-droits qu'elle estime les autres comme n'étant pas assez dignes de confiance d'avoir.

Pour toutes les personnes qui s'imaginent être plus en sécurité sur un iPhone que sur un autre appareil, ce passage devrait les faire réfléchir :
« In Amnesty International’s experience there are significantly more forensic traces accessible to investigators on Apple iOS devices than on stock Android devices, therefore our methodology is focused on the former. As a result, most recent cases of confirmed Pegasus infections have involved iPhones. ​»

avatar iPadProM1 | 

@webHAL1

C’est iMessages dans ce cas. Cela pourrait être tout aussi possible dans Notes🤷‍♂️
A ce niveau d’espionnage n’importe quel faille fait l’affaire.
Mais l’iPhone restera toujours plus sécurisé qu’un Androïd car comme tu l’as si bien dit il maîtrise toute la chaîne.
On ne parle pas du suivis publicitaire et de cookies là…
C’est high level qui nous dépasse a tous.
Et iOS est un soft, et le soft n’est jamais invulnérable.

avatar webHAL1 | 

@iPadProM1 :
« Et iOS est un soft, et le soft n’est jamais invulnérable. »

Tout à fait.
L'attitude la plus intelligente à avoir pour une entreprise est donc :
1. De rappeler aux utilisateurs de ses produits cet état de fait, et ne pas leur donner un faux sentiment de sécurité.
2. D'avoir un maximum de spécialistes externes qui ont accès au code des logiciels utilisés pour pouvoir détecter des failles et les signaler, et éviter la culture du secret.
3. De mettre en place une politique de sécurité sérieuse, à tous les niveaux, en récompensant par exemple généreusement et avec honnêteté les découvreurs de failles.
4. D'appliquer à soi-même les mêmes contraintes qu'on exige des autres lorsqu'on est l'éditeur d'un système d'exploitation.

C'est exactement ce qu'Apple ne fait pas. Et qu'elle maîtrise toute la chaîne ne rend absolument pas ses appareils plus sûrs, comme cette affaire le démontre. C'est d'ailleurs peut-être même le contraire, puisqu'il est plus simple de cibler un acteur plutôt que de nombre de fabricants de matériels et logiciels, chacun se concentrant sur son domaine et ne s'arrogeant pas des permissions très vastes.

avatar Krysten2001 | 

@webHAL1

L’iPhone est plus sécurisé que les smartphones android car ils contrôlent toute la chaîne, Secure Enclave,…

avatar marsnet | 

On parle de NSO ici mais tout ça n’est que la partie émergée de l’iceberg ( iceberg , un nom un peu connoté non 🤣) . Routeurs patchés à l’usine par les « services » , IMSI-catcher et analyse massive des données dérivées des fibres optiques …) le marché est large …

avatar IRONMAN65 | 

Vive la démocratie…

avatar Krysten2001 | 

@IRONMAN65

???

avatar debione | 

Et on comprend mieux pourquoi aucun état ne se plaint de ne pas avoir accès aux smartphones ultra-trop sécurisé...
Quelqu'un avait un doute, sérieusement?

avatar Mike Mac | 

@ Krysten2001

"L’iPhone est plus sécurisé que les smartphones android car ils contrôlent toute la chaîne, Secure Enclave…"

Certes, certes...

"L’iPhone impliqué dans 34 intrusions sur 37"

https://www.courrierinternational.com/article/surveillance-liphone-ne-protege-pas-des-intrusions-de-pegasus

avatar cosmoboy34 | 

C’est pas si efficace si Orban était pas au courant pour la partouze 🤣

avatar Croignon | 

´

Pages

CONNEXION UTILISATEUR