Ouvrir le menu principal

iGeneration

Recherche

MVT, un outil qui peut détecter la présence de Pegasus sur un smartphone

Nicolas Furno

mardi 20 juillet 2021 à 17:20 • 44

Ailleurs

Pegasus, le malware d’espionnage de NSO Group, refait parler de lui depuis qu’une grande enquête menée par des journalistes du monde entier et Amnesty International a prouvé qu’il était toujours actif et utilisé à des fins politiques :

Photo Brent Moore (CC BY-NC 2.0)

Ses dernières versions peuvent s’installer sans intervention de l’utilisateur, ce qui le rend d’autant plus dangereux. Il suffit de recevoir un message contenant un lien pour qu’un iPhone sous iOS 14.6 soit infecté par le malware, comme ont réussi à le prouver les chercheurs en sécurité. Même si Pegasus est utilisé surtout contre des profils spécifiques et non pas comme outil de surveillance de masse — c’est d’ailleurs l’un des points avancés dans la ligne de défense d’Apple —, vous pourriez avoir été infecté sans le savoir.

S’assurer que l’on n’a jamais été touché par ce malware est pratiquement impossible, en tout cas très difficile, car Pegasus peut disparaître après un redémarrage et malgré tout avoir fait son œuvre en récupérant des données. Les chercheurs en sécurité qui ont travaillé sur Pegasus ont malgré tout créé un outil qui peut détecter ses traces connues et alerter, s’il est toujours en place. Cet outil nommé Mobile Verification Toolkit, ou MVT, est distribué sur GitHub et vous pouvez l’utiliser sur votre appareil.

MVT peut fonctionner de deux manières : la plus complète nécessite un accès complet au système de fichiers, ce qui implique un jailbreak pour les iPhone. La plus simple passe par une sauvegarde du smartphone, même s’il peut manquer des informations et notamment les caches de l’appareil qui ne seront pas présents et qui peuvent contenir des indices précieux. Précisons aussi que l’outil gère Android comme iOS, mais l’analyse est plus complexe et moins exhaustive avec le système de Google.

Pour tester sur votre iPhone, le plus simple est de faire une sauvegarde locale chiffrée de votre iPhone. Cela se fait dans le Finder de macOS ou dans iTunes sur Windows. Chiffrer la sauvegarde est important pour obtenir le maximum de données, MVT sera capable de la déchiffrer avant son analyse en utilisant le mot de passe saisi lors de sa création.

Le Finder de macOS permet de créer une sauvegarde locale d’un appareil iOS en utilisant le bouton « Sauvegarder maintenant… ».

Cette procédure est longue et nécessite beaucoup d’espace de stockage sur l’ordinateur, surtout si vous analysez un appareil iOS bien rempli. Rien que la sauvegarde locale demandera plusieurs dizaines de minutes et son déchiffrement en nécessitera tout autant, si ce n’est plus. Autre mise en garde, MVT est un outil codé en Python, à utiliser en ligne de commande dans un terminal. L’installation avec les dépendances nécessaires sur un Mac sont détaillées à cette adresse.

L’analyse des fichiers de la sauvegarde permet de vérifier si Pegasus a laissé une trace quelque part. Puisque le travail se fait sur une sauvegarde, il manque des ressources importantes, notamment des caches, mais cela peut suffire. Si le malware est détecté, le terminal affichera un message pendant l’analyse et l’outil va générer un fichier spécifique pour en savoir plus.

Pendant la procédure d’analyse, réalisée avec MVT dans le terminal de macOS.

MVT est un outil intéressant à des fins de recherche, pas vraiment une app clé en mains destinée au grand public. Détecter Pegasus n’a rien d’évident, surtout après les faits. Et puis c’est un malware qui évolue constamment, si bien que l’analyse sera vite dépassée. Comme pour Apple et Google qui passent leur temps à combler les failles de sécurité, c’est un jeu du chat et de la souris et NSO Group a probablement quelques coups d’avance.

Source : TechCrunch

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple Intelligence se fait étriller par la BBC

14/12/2024 à 22:30

• 11


Promos : Station de recharge 2 en 1 Belkin à 39 € et disque dur LaCie 4 To à 136 €

14/12/2024 à 13:23

• 11


Nos coups de cœur et nos coups de gueule 2024

14/12/2024 à 11:22


Apple sommée de retirer TikTok aux USA dès janvier

13/12/2024 à 20:45

• 91


Somfy : une mise à jour TaHoma a cassé les scènes HomeKit

13/12/2024 à 18:30

• 33


Promo : le mini chargeur de voyage 3-en-1 d’Anker à 75 € (-25 %)

13/12/2024 à 17:47

• 3


Le service de paiement Wero affiche déjà 8 millions de transactions pour 14 millions d'utilisateurs

13/12/2024 à 17:00

• 26


AirTag : United traquera les bagages perdus avec le partage de position d'iOS 18.2

13/12/2024 à 16:00

• 17


Resident Evil : Capcom supprime la connexion internet obligatoire et lance une série de promos

13/12/2024 à 11:43

• 18


USB-C : Apple va arrêter la vente des iPhone SE et iPhone 14 dans l'Union européenne

13/12/2024 à 10:23

• 45


Apple sortirait des nouvelles versions de l’Apple TV et du HomePod mini en 2025

13/12/2024 à 07:53

• 18


L’Apple TV serait le premier produit à étrenner la puce Wi-Fi de la pomme

12/12/2024 à 21:15

• 46


Avez-vous personnalisé les boutons de l'écran verrouillé d'iOS 18 ?

12/12/2024 à 18:15

• 85


La sortie morcelée d’iOS 18 ralentirait le développement d’iOS 19

12/12/2024 à 17:30

• 51


iPhone 17 : les rumeurs s'alignent sur des capteurs photo en bandeau

12/12/2024 à 16:45

• 43


Plans souligne les itinéraires les plus écologiques

12/12/2024 à 15:15

• 40