MVT, un outil qui peut détecter la présence de Pegasus sur un smartphone

Nicolas Furno |

Pegasus, le malware d’espionnage de NSO Group, refait parler de lui depuis qu’une grande enquête menée par des journalistes du monde entier et Amnesty International a prouvé qu’il était toujours actif et utilisé à des fins politiques :

Photo Brent Moore (CC BY-NC 2.0)

Ses dernières versions peuvent s’installer sans intervention de l’utilisateur, ce qui le rend d’autant plus dangereux. Il suffit de recevoir un message contenant un lien pour qu’un iPhone sous iOS 14.6 soit infecté par le malware, comme ont réussi à le prouver les chercheurs en sécurité. Même si Pegasus est utilisé surtout contre des profils spécifiques et non pas comme outil de surveillance de masse — c’est d’ailleurs l’un des points avancés dans la ligne de défense d’Apple —, vous pourriez avoir été infecté sans le savoir.

S’assurer que l’on n’a jamais été touché par ce malware est pratiquement impossible, en tout cas très difficile, car Pegasus peut disparaître après un redémarrage et malgré tout avoir fait son œuvre en récupérant des données. Les chercheurs en sécurité qui ont travaillé sur Pegasus ont malgré tout créé un outil qui peut détecter ses traces connues et alerter, s’il est toujours en place. Cet outil nommé Mobile Verification Toolkit, ou MVT, est distribué sur GitHub et vous pouvez l’utiliser sur votre appareil.

MVT peut fonctionner de deux manières : la plus complète nécessite un accès complet au système de fichiers, ce qui implique un jailbreak pour les iPhone. La plus simple passe par une sauvegarde du smartphone, même s’il peut manquer des informations et notamment les caches de l’appareil qui ne seront pas présents et qui peuvent contenir des indices précieux. Précisons aussi que l’outil gère Android comme iOS, mais l’analyse est plus complexe et moins exhaustive avec le système de Google.

Pour tester sur votre iPhone, le plus simple est de faire une sauvegarde locale chiffrée de votre iPhone. Cela se fait dans le Finder de macOS ou dans iTunes sur Windows. Chiffrer la sauvegarde est important pour obtenir le maximum de données, MVT sera capable de la déchiffrer avant son analyse en utilisant le mot de passe saisi lors de sa création.

Le Finder de macOS permet de créer une sauvegarde locale d’un appareil iOS en utilisant le bouton « Sauvegarder maintenant… ».

Cette procédure est longue et nécessite beaucoup d’espace de stockage sur l’ordinateur, surtout si vous analysez un appareil iOS bien rempli. Rien que la sauvegarde locale demandera plusieurs dizaines de minutes et son déchiffrement en nécessitera tout autant, si ce n’est plus. Autre mise en garde, MVT est un outil codé en Python, à utiliser en ligne de commande dans un terminal. L’installation avec les dépendances nécessaires sur un Mac sont détaillées à cette adresse.

L’analyse des fichiers de la sauvegarde permet de vérifier si Pegasus a laissé une trace quelque part. Puisque le travail se fait sur une sauvegarde, il manque des ressources importantes, notamment des caches, mais cela peut suffire. Si le malware est détecté, le terminal affichera un message pendant l’analyse et l’outil va générer un fichier spécifique pour en savoir plus.

Pendant la procédure d’analyse, réalisée avec MVT dans le terminal de macOS.

MVT est un outil intéressant à des fins de recherche, pas vraiment une app clé en mains destinée au grand public. Détecter Pegasus n’a rien d’évident, surtout après les faits. Et puis c’est un malware qui évolue constamment, si bien que l’analyse sera vite dépassée. Comme pour Apple et Google qui passent leur temps à combler les failles de sécurité, c’est un jeu du chat et de la souris et NSO Group a probablement quelques coups d’avance.


avatar volcomito | 

[Hors sujet. Modéré. MB]

avatar julien74 | 

Autant dire que 0.001% des iPhone vont être testés…

avatar raoolito | 

@julien74

Autant dire que 0.001% des iPhones sont visés par pegasus de toutes façons.
perso je dedierais ce soft aux It d’entreprises sensibles ou de redactions qui voudraient verifier si par hasard...

avatar powergeek | 

J'ai donné l'info sur cet outil à 14h09 et à 17h20 MacG publie une news. Coincidence ? ;)

avatar Nicolas Furno | 

@powergeek

Oui, je suis dessus depuis ce matin.

avatar powergeek | 

@dodomu

Amazon ne veut pas de concurrents sur la surveillance 🧐

avatar Nicolas Furno | 

@dodomu

Alors, si, mais on n’en a pas parlé c’est vrai.

avatar Lu Canneberges | 

@dodomu

Oh wow, Amazon arrive une fois tous les dix ans à faire quelque chose de positif et presque courageux ! Merci pour l’info

avatar powergeek | 

@nicolasf

Parfait 👍🏻

avatar Amaczing | 

@powergeek

"J'ai donné l'info sur cet outil à 14h09 et à 17h20 MacG publie une news. Coincidence ? ;)"

On s’en fout de ta vie, l’important c’est que MacG en parle !

avatar powergeek | 

@Amaczing

Mange des clown flakes au petit déjeuner, ça te fera du bien ! 🥳

avatar IRONMAN65 | 

Tout effacer et réinstaller iOS c’est pas suffisant ?!

avatar hirtrey | 

@IRONMAN65

Poses toi la question, as tu des raisons pour te faire espionner ? Si c’est oui, c’est trop tard, si c’est non pas besoin de réinstaller ton système

avatar IRONMAN65 | 

@hirtrey

Ben vouiiii je sur un VIP 😆

avatar Spinaker | 

@hirtrey

Houlà. Ce raisonnement est un piège. L'espionnage et ses conséquences ne partent pas d'un besoin.

avatar Mac-Bain | 

@hirtrey
Ce type de raisonnement est erroné. Il s'agit maintenant d'un commerce fait par une entreprise. Aujourd'hui ce logiciel est venu très cher, demain, tout un chacun (ou presque) pourra en bénéficier car le but est de vendre un produit, pas de savoir qui "doit ou ne doit pas" être espionné.

avatar marenostrum | 

c'est pas ça le sujet, mais voire si on fait partie d'une cible ou pas. si tu trouves la trace dans ton iPhone, c'est que quelqu'un te surveille de près et tu dois faire attention.

bien sûr que refaire une réinstallation rend ton iPhone propre, mais ça ne change en rien au fond. celui qui te surveille, il va trouver un autre moyen de refaire la chose. tu seras pas en sécurité.

avatar IRONMAN65 | 

@marenostrum

J’vais voir ça avec mon copain Snowden 😁

avatar MacMamba | 

Petit hors-sujet : Vous savez comment s’appelle le plugin dans le terminal de macOS qui est utilisé en illustration ?

avatar iValFR | 

@MacMamba

Je dirais iTerm2

avatar MacMamba | 

@iValFR @MartyMcFly

Merci 🙏

avatar MartyMcfly | 

@MacMamba

iTerm2 + OhMyZSH

avatar Thms | 

Plot twist : cet utilitaire est en réalité développé par la même entreprise que Pegasus et infecte vos appareils

avatar oboulot | 

@Thms

En vrai ça m’étonnerai même pas…

Programme Prism tout ça…

avatar jul69 | 

Et comment savoir que MVT est lui même safe ou que la ressource sur github n’est pas vérolée ?

avatar Tabouret3 | 

Par curiosité, à combien est vendu ce virus aux états ?

avatar vincentn | 

@Tabouret3

Plusieurs millions de dollars pour sûr.
Parmi les chiffres qui circulaient à l’époque, le Mexique aurait dépensé 42 millions de dollars en 2016 pour la solution d’un des concurrents de NSO, Ability. Ce pays est aussi client de la solution Pegasus de NSO.

Le New York Times estimait il y a deux ans ce marché très particulier à 12 milliards de dollars au niveau mondial, les entreprises israéliennes en étant les leaders, et NSO le plus gros de tous. C’est aussi lié à l’État d’Israël, qui contrôle les ventes et exportations de ce type de « cyber armes », et sa volonté de pousser cet avantage sur la scène internationale, comme soft power notamment, et donc à ce que ces entreprises, très liées aux services secrets, vendent à certains pays.

avatar IceWizard | 

@vincentn

« Le New York Times estimait il y a deux ans ce marché très particulier à 12 milliards de dollars au niveau mondial, les entreprises israéliennes en étant les leaders, et NSO le plus gros de tous. »

Impressionnant ! Cela explique bien des choses..

avatar anonx | 

[Modéré. MB]

avatar TrollMan06 | 

@anonx

T’inquiète pas qu’ils s’en branlent de toi :D

avatar anonx | 

@TrollMan06

C’est justement le but non? 😂

avatar Jacalbert | 

Logo Pegasus = logo Mobiloil
https://logos-marques.com/mobil-logo/

Dans le domaine informatique
“Le nom ASUS vient des quatre dernières lettres du nom Pegasus (Pégase), le célèbre cheval ailé de la mythologie grecque. ASUS s'inspire de la force, de la pureté et de l'esprit aventureux de cette créature fantastique pour toujours relever de nouveaux défis en matière d'innovations et de produits.”

avatar Manuko | 

Et la vidéo de Defend Intelligence, ça évoque la prochaine version ?
https://youtu.be/JALWR0Hu3BQ
Bon après, ça doit pas être encore au point, depuis le 30 juin la vidéo n'a toujours pas été supprimée 😄

avatar ys320 | 

Un bon Nokia 3310 ou peut être un Ericson, un bon vieux Blackberry ils étaient réputés tres sécurisés. Sinon 2 iPhone aves un RAZ tous les deux jours en alternance.

avatar onclebobby | 

L'ancien logo de Mobil1 :D

avatar Mike Mac | 
avatar sully_ | 

Mince… ça va être vachement compliqué pour le prochain césar du meilleur acteur… Autant de personne / pays qui jouent les étonnés ? Bonne chance au jury !

avatar Bigdidou | 

C’est tout un pan du discours centré sur la sécurité d’Apple qui s’effondre de façon claire et publique.
A se demander si le verrouillage de l’accès à l’OS ne facilite pas encore d’une certaine façon le travail de ces outils sophistiqués en compliquant leur détection….
Peut être faudrait-il songer à rendre possible un accès root ponctuel pour certaines situations exceptionnelle (comme sur n’importe quelle machine) tout en décourageant naturellement l’usage quotidien avec un tel accès.

J’ai bien conscience que ça pourrait créer d’autres failles (mais aussi permettre l’installation de dispositifs de sécurité plus poussés si on en a besoin, dans une sorte de course à l’armement), donc, je ne sais pas.

avatar Krysten2001 | 

@Bigdidou

« C’est tout un pan du discours centré sur la sécurité d’Apple qui s’effondre de façon claire et publique. »

??? Apple n’a jamais dit être infaillible mais le smartphone le plus sécurisé. Rien de plus.

avatar Bigdidou | 

@Krysten2001

« mais le smartphone le plus sécurisé. »

Oui, c’est bien ça.
Ce discours s’effondre donc.

avatar Krysten2001 | 

@Bigdidou

Justement non. L’iPhone est toujours le smartphone le plus sécurisé et on n’a jamais dit qu’il était infaillible.

avatar Bigdidou | 

@Krysten2001

« L’iPhone est toujours le smartphone le plus sécurisé »

C’est une déclaration gratuite et qui n’a pas beaucoup de sens.

Il ne protège manifestement pas mieux contre des outils sophistiqués comme pegasus…

CONNEXION UTILISATEUR