MVT, un outil qui peut détecter la présence de Pegasus sur un smartphone
Pegasus, le malware d’espionnage de NSO Group, refait parler de lui depuis qu’une grande enquête menée par des journalistes du monde entier et Amnesty International a prouvé qu’il était toujours actif et utilisé à des fins politiques :
Ses dernières versions peuvent s’installer sans intervention de l’utilisateur, ce qui le rend d’autant plus dangereux. Il suffit de recevoir un message contenant un lien pour qu’un iPhone sous iOS 14.6 soit infecté par le malware, comme ont réussi à le prouver les chercheurs en sécurité. Même si Pegasus est utilisé surtout contre des profils spécifiques et non pas comme outil de surveillance de masse — c’est d’ailleurs l’un des points avancés dans la ligne de défense d’Apple —, vous pourriez avoir été infecté sans le savoir.
S’assurer que l’on n’a jamais été touché par ce malware est pratiquement impossible, en tout cas très difficile, car Pegasus peut disparaître après un redémarrage et malgré tout avoir fait son œuvre en récupérant des données. Les chercheurs en sécurité qui ont travaillé sur Pegasus ont malgré tout créé un outil qui peut détecter ses traces connues et alerter, s’il est toujours en place. Cet outil nommé Mobile Verification Toolkit, ou MVT, est distribué sur GitHub et vous pouvez l’utiliser sur votre appareil.
MVT peut fonctionner de deux manières : la plus complète nécessite un accès complet au système de fichiers, ce qui implique un jailbreak pour les iPhone. La plus simple passe par une sauvegarde du smartphone, même s’il peut manquer des informations et notamment les caches de l’appareil qui ne seront pas présents et qui peuvent contenir des indices précieux. Précisons aussi que l’outil gère Android comme iOS, mais l’analyse est plus complexe et moins exhaustive avec le système de Google.
Pour tester sur votre iPhone, le plus simple est de faire une sauvegarde locale chiffrée de votre iPhone. Cela se fait dans le Finder de macOS ou dans iTunes sur Windows. Chiffrer la sauvegarde est important pour obtenir le maximum de données, MVT sera capable de la déchiffrer avant son analyse en utilisant le mot de passe saisi lors de sa création.
Cette procédure est longue et nécessite beaucoup d’espace de stockage sur l’ordinateur, surtout si vous analysez un appareil iOS bien rempli. Rien que la sauvegarde locale demandera plusieurs dizaines de minutes et son déchiffrement en nécessitera tout autant, si ce n’est plus. Autre mise en garde, MVT est un outil codé en Python, à utiliser en ligne de commande dans un terminal. L’installation avec les dépendances nécessaires sur un Mac sont détaillées à cette adresse.
L’analyse des fichiers de la sauvegarde permet de vérifier si Pegasus a laissé une trace quelque part. Puisque le travail se fait sur une sauvegarde, il manque des ressources importantes, notamment des caches, mais cela peut suffire. Si le malware est détecté, le terminal affichera un message pendant l’analyse et l’outil va générer un fichier spécifique pour en savoir plus.
MVT est un outil intéressant à des fins de recherche, pas vraiment une app clé en mains destinée au grand public. Détecter Pegasus n’a rien d’évident, surtout après les faits. Et puis c’est un malware qui évolue constamment, si bien que l’analyse sera vite dépassée. Comme pour Apple et Google qui passent leur temps à combler les failles de sécurité, c’est un jeu du chat et de la souris et NSO Group a probablement quelques coups d’avance.
[Hors sujet. Modéré. MB]
Autant dire que 0.001% des iPhone vont être testés…
@julien74
Autant dire que 0.001% des iPhones sont visés par pegasus de toutes façons.
perso je dedierais ce soft aux It d’entreprises sensibles ou de redactions qui voudraient verifier si par hasard...
J'ai donné l'info sur cet outil à 14h09 et à 17h20 MacG publie une news. Coincidence ? ;)
@powergeek
Oui, je suis dessus depuis ce matin.
@nicolasf
Au cas où vous ne seriez pas déjà au courant 🙂 :
https://www.developpez.com/actu/316909/-Projet-Pegasus-Amazon-debranche-les-serveurs-de-l-entreprise-de-surveillance-NSO-Group-alors-que-l-enquete-continue-sur-le-role-joue-par-la-societe-dans-la-surveillance-de-milliers-de-personnes/
@dodomu
Amazon ne veut pas de concurrents sur la surveillance 🧐
@dodomu
Alors, si, mais on n’en a pas parlé c’est vrai.
@dodomu
Oh wow, Amazon arrive une fois tous les dix ans à faire quelque chose de positif et presque courageux ! Merci pour l’info
@nicolasf
Parfait 👍🏻
@powergeek
"J'ai donné l'info sur cet outil à 14h09 et à 17h20 MacG publie une news. Coincidence ? ;)"
On s’en fout de ta vie, l’important c’est que MacG en parle !
@Amaczing
Mange des clown flakes au petit déjeuner, ça te fera du bien ! 🥳
Tout effacer et réinstaller iOS c’est pas suffisant ?!
@IRONMAN65
Poses toi la question, as tu des raisons pour te faire espionner ? Si c’est oui, c’est trop tard, si c’est non pas besoin de réinstaller ton système
@hirtrey
Ben vouiiii je sur un VIP 😆
@hirtrey
Houlà. Ce raisonnement est un piège. L'espionnage et ses conséquences ne partent pas d'un besoin.
@hirtrey
Ce type de raisonnement est erroné. Il s'agit maintenant d'un commerce fait par une entreprise. Aujourd'hui ce logiciel est venu très cher, demain, tout un chacun (ou presque) pourra en bénéficier car le but est de vendre un produit, pas de savoir qui "doit ou ne doit pas" être espionné.
c'est pas ça le sujet, mais voire si on fait partie d'une cible ou pas. si tu trouves la trace dans ton iPhone, c'est que quelqu'un te surveille de près et tu dois faire attention.
bien sûr que refaire une réinstallation rend ton iPhone propre, mais ça ne change en rien au fond. celui qui te surveille, il va trouver un autre moyen de refaire la chose. tu seras pas en sécurité.
@marenostrum
J’vais voir ça avec mon copain Snowden 😁
Petit hors-sujet : Vous savez comment s’appelle le plugin dans le terminal de macOS qui est utilisé en illustration ?
@MacMamba
Je dirais iTerm2
@iValFR @MartyMcFly
Merci 🙏
@MacMamba
iTerm2 + OhMyZSH
Plot twist : cet utilitaire est en réalité développé par la même entreprise que Pegasus et infecte vos appareils
@Thms
En vrai ça m’étonnerai même pas…
Programme Prism tout ça…
Et comment savoir que MVT est lui même safe ou que la ressource sur github n’est pas vérolée ?
Par curiosité, à combien est vendu ce virus aux états ?
@Tabouret3
Plusieurs millions de dollars pour sûr.
Parmi les chiffres qui circulaient à l’époque, le Mexique aurait dépensé 42 millions de dollars en 2016 pour la solution d’un des concurrents de NSO, Ability. Ce pays est aussi client de la solution Pegasus de NSO.
Le New York Times estimait il y a deux ans ce marché très particulier à 12 milliards de dollars au niveau mondial, les entreprises israéliennes en étant les leaders, et NSO le plus gros de tous. C’est aussi lié à l’État d’Israël, qui contrôle les ventes et exportations de ce type de « cyber armes », et sa volonté de pousser cet avantage sur la scène internationale, comme soft power notamment, et donc à ce que ces entreprises, très liées aux services secrets, vendent à certains pays.
@vincentn
« Le New York Times estimait il y a deux ans ce marché très particulier à 12 milliards de dollars au niveau mondial, les entreprises israéliennes en étant les leaders, et NSO le plus gros de tous. »
Impressionnant ! Cela explique bien des choses..
[Modéré. MB]
@anonx
T’inquiète pas qu’ils s’en branlent de toi :D
@TrollMan06
C’est justement le but non? 😂
Logo Pegasus = logo Mobiloil
https://logos-marques.com/mobil-logo/
Dans le domaine informatique
“Le nom ASUS vient des quatre dernières lettres du nom Pegasus (Pégase), le célèbre cheval ailé de la mythologie grecque. ASUS s'inspire de la force, de la pureté et de l'esprit aventureux de cette créature fantastique pour toujours relever de nouveaux défis en matière d'innovations et de produits.”
Et la vidéo de Defend Intelligence, ça évoque la prochaine version ?
https://youtu.be/JALWR0Hu3BQ
Bon après, ça doit pas être encore au point, depuis le 30 juin la vidéo n'a toujours pas été supprimée 😄
Un bon Nokia 3310 ou peut être un Ericson, un bon vieux Blackberry ils étaient réputés tres sécurisés. Sinon 2 iPhone aves un RAZ tous les deux jours en alternance.
L'ancien logo de Mobil1 :D
"L’iPhone impliqué dans 34 intrusions sur 37"
https://www.courrierinternational.com/article/surveillance-liphone-ne-protege-pas-des-intrusions-de-pegasus
Mince… ça va être vachement compliqué pour le prochain césar du meilleur acteur… Autant de personne / pays qui jouent les étonnés ? Bonne chance au jury !
C’est tout un pan du discours centré sur la sécurité d’Apple qui s’effondre de façon claire et publique.
A se demander si le verrouillage de l’accès à l’OS ne facilite pas encore d’une certaine façon le travail de ces outils sophistiqués en compliquant leur détection….
Peut être faudrait-il songer à rendre possible un accès root ponctuel pour certaines situations exceptionnelle (comme sur n’importe quelle machine) tout en décourageant naturellement l’usage quotidien avec un tel accès.
J’ai bien conscience que ça pourrait créer d’autres failles (mais aussi permettre l’installation de dispositifs de sécurité plus poussés si on en a besoin, dans une sorte de course à l’armement), donc, je ne sais pas.
@Bigdidou
« C’est tout un pan du discours centré sur la sécurité d’Apple qui s’effondre de façon claire et publique. »
??? Apple n’a jamais dit être infaillible mais le smartphone le plus sécurisé. Rien de plus.
@Krysten2001
« mais le smartphone le plus sécurisé. »
Oui, c’est bien ça.
Ce discours s’effondre donc.
@Bigdidou
Justement non. L’iPhone est toujours le smartphone le plus sécurisé et on n’a jamais dit qu’il était infaillible.
@Krysten2001
« L’iPhone est toujours le smartphone le plus sécurisé »
C’est une déclaration gratuite et qui n’a pas beaucoup de sens.
Il ne protège manifestement pas mieux contre des outils sophistiqués comme pegasus…
DYI pour ceux qui se croient infectés dont je doute fort guère.
Mais bon... https://inteltechniques.com/blog/2021/07/22/diy-pegasus-spyware-scan/