Ouvrir le menu principal

iGeneration

Recherche

MVT, un outil qui peut détecter la présence de Pegasus sur un smartphone

Nicolas Furno

mardi 20 juillet 2021 à 17:20 • 44

Ailleurs

Pegasus, le malware d’espionnage de NSO Group, refait parler de lui depuis qu’une grande enquête menée par des journalistes du monde entier et Amnesty International a prouvé qu’il était toujours actif et utilisé à des fins politiques :

Photo Brent Moore (CC BY-NC 2.0)

Ses dernières versions peuvent s’installer sans intervention de l’utilisateur, ce qui le rend d’autant plus dangereux. Il suffit de recevoir un message contenant un lien pour qu’un iPhone sous iOS 14.6 soit infecté par le malware, comme ont réussi à le prouver les chercheurs en sécurité. Même si Pegasus est utilisé surtout contre des profils spécifiques et non pas comme outil de surveillance de masse — c’est d’ailleurs l’un des points avancés dans la ligne de défense d’Apple —, vous pourriez avoir été infecté sans le savoir.

S’assurer que l’on n’a jamais été touché par ce malware est pratiquement impossible, en tout cas très difficile, car Pegasus peut disparaître après un redémarrage et malgré tout avoir fait son œuvre en récupérant des données. Les chercheurs en sécurité qui ont travaillé sur Pegasus ont malgré tout créé un outil qui peut détecter ses traces connues et alerter, s’il est toujours en place. Cet outil nommé Mobile Verification Toolkit, ou MVT, est distribué sur GitHub et vous pouvez l’utiliser sur votre appareil.

MVT peut fonctionner de deux manières : la plus complète nécessite un accès complet au système de fichiers, ce qui implique un jailbreak pour les iPhone. La plus simple passe par une sauvegarde du smartphone, même s’il peut manquer des informations et notamment les caches de l’appareil qui ne seront pas présents et qui peuvent contenir des indices précieux. Précisons aussi que l’outil gère Android comme iOS, mais l’analyse est plus complexe et moins exhaustive avec le système de Google.

Pour tester sur votre iPhone, le plus simple est de faire une sauvegarde locale chiffrée de votre iPhone. Cela se fait dans le Finder de macOS ou dans iTunes sur Windows. Chiffrer la sauvegarde est important pour obtenir le maximum de données, MVT sera capable de la déchiffrer avant son analyse en utilisant le mot de passe saisi lors de sa création.

Le Finder de macOS permet de créer une sauvegarde locale d’un appareil iOS en utilisant le bouton « Sauvegarder maintenant… ».

Cette procédure est longue et nécessite beaucoup d’espace de stockage sur l’ordinateur, surtout si vous analysez un appareil iOS bien rempli. Rien que la sauvegarde locale demandera plusieurs dizaines de minutes et son déchiffrement en nécessitera tout autant, si ce n’est plus. Autre mise en garde, MVT est un outil codé en Python, à utiliser en ligne de commande dans un terminal. L’installation avec les dépendances nécessaires sur un Mac sont détaillées à cette adresse.

L’analyse des fichiers de la sauvegarde permet de vérifier si Pegasus a laissé une trace quelque part. Puisque le travail se fait sur une sauvegarde, il manque des ressources importantes, notamment des caches, mais cela peut suffire. Si le malware est détecté, le terminal affichera un message pendant l’analyse et l’outil va générer un fichier spécifique pour en savoir plus.

Pendant la procédure d’analyse, réalisée avec MVT dans le terminal de macOS.

MVT est un outil intéressant à des fins de recherche, pas vraiment une app clé en mains destinée au grand public. Détecter Pegasus n’a rien d’évident, surtout après les faits. Et puis c’est un malware qui évolue constamment, si bien que l’analyse sera vite dépassée. Comme pour Apple et Google qui passent leur temps à combler les failles de sécurité, c’est un jeu du chat et de la souris et NSO Group a probablement quelques coups d’avance.

Source :

Soutenez MacGeneration sur Tipeee

MacGeneration a besoin de vous

Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire

Soutenez MacGeneration sur Tipeee

Astuce : créer une sonnerie personnalisée sur iOS 26

10:33

• 4


Le sens du détail d’Apple ralentit l’aiguille de l’app Horloge quand le mode économie d’énergie est actif sous iOS 26.1 🆕

10:16

• 20


Utilisez-vous Apple Invitations ?

09:37

• 21


HomePod en panne ou capricieux ? Voici comment le réparer !

09:19

• 0


Free Mobile pourra continuer à reposer sur les réseaux 2G et 3G d’Orange jusqu’en 2028

08:33

• 12


Les iPad Pro M5 en précommande à partir de 1 119 €

06:49

• 6


Où trouver un iPhone 17, 17 Pro et 17 Pro Max en stock ? 🆕

16/10/2025 à 19:44

• 133


Le nouveau Fire TV Stick 4K Select s'alimente en Micro USB

16/10/2025 à 18:40

• 11


iPad mini 7 : la petite tablette d’Apple s’offre une rare baisse de prix à 549 € (-10 %)

16/10/2025 à 16:57

• 7


iPadOS 26.1 : l’app dédiée au Vision Pro arrive bientôt sur tablettes

16/10/2025 à 14:17

• 9


Amazon va plus loin qu’Apple : l’iPad Air M3 dès 599 €, un prix record

16/10/2025 à 13:07

• 12


S25 Edge : face aux ventes décevantes, Samsung n'aurait pas prévu de successeur à son smartphone ultra-fin

16/10/2025 à 12:40

• 33


PayByPhone veut vous indiquer les places de parking libres en temps réel

16/10/2025 à 10:43

• 19


Pour la première fois, l'iPhone 16e (neuf) passe sous les 500 € ! 🆕

16/10/2025 à 10:01

• 27


Les nouveaux iPad Pro M5 gèrent les écrans 120 Hz… un signe qu’Apple va en lancer un ?

16/10/2025 à 08:05

• 3


L’US Mint a révélé la pièce à l’effigie de Steve Jobs qui sera frappée en 2026

16/10/2025 à 07:12

• 31