Le malware Pegasus qui siphonne les données de l'iPhone en vente pour 50 millions de dollars

Mickaël Bazoge |

NSO Group est une société discrète dont le métier est de développer et vendre des solutions permettant d’accéder à distance et en toute discrétion aux données des smartphones. Les clients de cette entreprise basée en Israël sont habituellement des gouvernements peu regardants sur le respect de la vie privée.

Un des faits d’armes connus de NSO est la mise au point de Pegasus, un malware qui jailbreake un iPhone puis installe des logiciels espion sur l’appareil. Il suffit de pousser la victime à toucher un simple lien pour que Pegasus en siphonne toutes les données (lire : Cyberspionnage : derrière les failles Trident d'iOS, le redoutable malware Pegasus).

Pegasus est en mesure de voler toutes sortes de données : historique web, photos, audio, courriels, SMS, infos de localisation, agenda…

Apple a bouché les failles qui permettaient à Pegasus d’infecter l’iPhone avec iOS 9.3.5, puis sur Mac via macOS 10.11. Malgré tout, ce logiciel continue d’avoir de la valeur, ce d’autant que NSO l’a sans aucun doute mis à jour. C’est pourquoi le fait que Pegasus se soit retrouvé sur le marché noir l’an dernier est particulièrement inquiétant, comme le relate Motherboard qui reprend des articles de la presse israélienne.

Cette fuite a été orchestrée par un ex-informaticien haut placé de NSO, embauché en 2017, qui n’a finalement pas fait l’affaire au sein de l’entreprise. De par sa position, il avait accès au code source des logiciels de NSO. Après avoir appris qu’il serait licencié, cet employé a subtilisé un cache de données contenant le code de Pegasus, malgré les protections contre le vol mises en place au sein de la société.

Le malandrin a tenté d’écouler ce code pour l’équivalent de 50 millions de dollars en cryptomonnaies. Le voleur aurait tout simplement utilisé Google pour découvrir comment et à qui vendre ce cache… Un client potentiel s’est présenté, qui indique aujourd’hui être un hacker ayant voulu pénétrer dans les systèmes de NSO (il n’en a pas moins prévenu l’entreprise de la tentative de vente de son code). C’est avec son aide que la police a mis la main sur le brigand.

Pour l’aigrefin, les conséquences risquent d’être fâcheuses : la police estime en effet que les actions délictueuses du voleur ont fragilisé la sécurité d’Israël en causant « l’effondrement de NSO ». Plus prosaïquement, cette affaire tombe au plus mal pour l’entreprise qui était en discussion pour une acquisition par Verint. Cette société américaine de surveillance se disait prête à mettre un milliard de dollars sur la table, mais la révélation de cette fuite pourrait remettre en cause le deal.

Pour ce qui concerne l’utilisateur de smartphone, l’histoire est encore plus inquiétante. Il n’y a rien de rassurant à savoir que du code permettant de « craquer » en douce les protections d’Apple pourrait être entre les mains de gens peu recommandables (encore moins recommandables que les agences de sécurité des gouvernements).

avatar vache folle | 

Ouais, c’est pas cool.
Mais quand on lit « Il suffit de pousser la victime à toucher un simple lien pour que Pegasus en siphonne toutes les données », je ne me guère d’inquiétude pour ma pomme.

Je n’ouvre jamais les liens ou fichiers dont je ne connais pas l’expéditeur, et me gaffe quand je connais mais qu’il s’agit de PDF ou autres joyeusetés supposées humoristiques.

En résumé, si on fait un minimum attention... comme pour tout ce qui touche à l’informatique en ligne...

avatar adixya | 

Ben je comprends pas, tu vas jamais sur internet ? Tu cliques jamais aucun lien sur aucune page web ?

avatar huexley | 

Il ne va que sur Macgé et tape soigneuement toutes ses URL à la main.

avatar stefhan | 

@huexley

Lettre par lettre.
Et vérifie l’état des caractères un à un.

😁

avatar RedMak | 

« la police estime en effet que les actions délictueuses du voleur ont fragilisé la sécurité d’Israël en causant « l’effondrement de NSO ». »

LOL

avatar hish | 

@RedMak
+1

avatar niclet | 

@RedMak

++1!!!!

avatar iBaby | 

On se perd dans cet article entre tous ces ripoux. Même la police collabore.

avatar frankm | 

On a l'impression que la faille est bouchée mais qu'il est toujours possible d'implanter le malware !!

avatar ovea | 

Bon … j'dis ça, j'dis rien … et en plus j'en rajoute !

Je suis un voleur qui se fait voler, par un voleur qui se serait fait voler … mais qui suis-je ????

On se'l'demande !

avatar Bigdidou | 

Ceci devrait confirmer à tous les politiciens qu'une backdoor se retournera toujours contre soi d'une façon ou d'une autre.
Ceux qui sont de bonne foi devraient arrêter une fois pour toute de les demander, aussi louable soit l'intention de départ.

avatar Serdinant | 

@Bigdidou

Les « bien pensants » c’est la plaie de notre société.

avatar Serdinant | 

Hahaha vive le jailbreak (mais pas pour moi)

avatar AllanZ | 

@Serdinant

Mais là le problème c’est que ça concerne tout le monde. C’est en se rendant sur ce simple lien que ton iPhone se jailbreak sans que tu t’en aperçoives !

avatar Serdinant | 

@AllanZ

J’en doute

avatar AllanZ | 

@Serdinant

« un malware qui jailbreake un iPhone puis installe des logiciels espion sur l’appareil »

C’est le malware qui jailbreak l’iPhone, et non pas le malware qui s’installe sur l’iPhone déjà jailbreaké...

avatar SyMich | 

C'est pourtant bien le cas (peut-être devrait-on dire "c'était" car ça concernait iOS 9.3.5 et on ne sait pas si Pegasus a été mis à jour pour contourner les correctifs de sécurité d'Apple)

Ce malware exploitait trois vulnérabilités d'iOS:

La première (CVE-2016-4657) concerne la bibliothèque WebKit de Safari. Elle permet d’exécuter du code arbitraire via une page Web (d’où le lien à cliquer sur l'iPhone de la cible ).
La seconde (CVE-2016-4655) permet d'accéder aux zones mémoire du kernel, pour récupérer les informations nécessaires à la suite de l’attaque.
La 3ème (CVE-2016-4656) permet de modifier ces zones mémoires et de supprimer les protections applicatives de l’iPhone. Il est alors possible de jailbreaker l’iPhone ciblé à distance et de façon transparente pour l'utilsateur.
Le piratage se termine alors en téléchargeant et en installant Pegasus, le spyware développé NSO Group, qui va siphoner et envoyer en continu les infos disponibles sur l'iPhone.

avatar adixya | 

Quand je vois iexplorer ou imazing galerer pour scanner un iphone, peut-être que ces logiciels pourraient aussi exploiter les failles et gagner en efficacités 😁

avatar adixya | 

" la police estime en effet que les actions délictueuses du voleur ont fragilisé la sécurité d’Israël en causant « l’effondrement de NSO » "

La sécurité d'Israel, carrément ? Cette sécurité serait basée et adossée à la vente d'une société privée de hacking ?

avatar hish | 

@adixya

Les lois en Israël en font un paradis non pas fiscal mais de hacking. Nombres de sociétés en sécu (plutôt en attaque) y sont domiciliés, et la plupart des braqueurs et autres y vont (comme redoine faid ou ceux qui ont monté l'arnaque au président ou celle à la taxe carbone) car y être extradé c'est assez difficile, donc tout bénef.

avatar niclet | 

@hish

C’est absolument ignoble! Alors, comment ne pas voir Israël comme un état voyous si même ses lois protègent de tels pirates?

Éclairez-moi, parce que je suis sidéré par ce que je viens de lire!

(Je pose la question là!!)

avatar hish | 

@niclet

Parce-que au niveau sécurité la défense (sécu traditionnel) est l'autre face de l'attaque (hacking).
Concernant l'extradition Israël est un pays jeune, indépendant, qu'il faut ménager car il fait rempart dans une zone géo politique instable

avatar en ballade | 

@hish

"il fait rempart dans une zone géo politique instable"

Ou est la source de l’instabilité....

avatar hish | 

@en ballade

On est d’accord.... 🙄😉

avatar marsnet | 

@en ballade @hish

C’est bien sûr évident (clin d’œil ) que les problèmes du Yémen de la Syrie de l’Irak de l’Egypte etc .. n’auraient pas existé sans eux, ainsi que la trilatérale, le complot Illuminati et la défaite de Méluche et de Marine au second tour ( re clin d’œil).

A part ça , j’ai bien l’impression que la culture russe du hacking a bien pris là bas ...

avatar hish | 

@marsnet

Imagine que A persecute "i" et s'attaquera bientôt à €.
€ et A se font finalement la guerre.
€ gagne, A perd (les gentils ont gagné).
€ décide de donner à "i", comme lot de consolation, un terrain appartenant à P (qui n'a rien avoir dans l'histoire).
Désormais "i" vit sur le terrain de P et le persécute pour y rester avec le regard bienveillant de € qui y trouve sont intérêt.

Bref "i" reproduit le comportement qu'il avait subit au tout début (mais l'oppréssé devient oppresseur)

Voilà comment je vois ce conflit.

avatar deltiox | 

Je suis d’abord sidéré que telles actions soient possible depuis un « simple » clic sur une URL

Ensuite encore plus sidéré que l’iPhone ne signale pas le jailbreak ou n’ait pas de mécanisme pour remarquer une telle modification

Enfin, chère Apple, en plus d’investir dans la sécurité, pourrais-tu sortir ton carnet de chèques et vraiment récompenser comme il se doit ceux qui découvrent des failles de sécurité (surtout d’une telle ampleur), quitte à payer sur le marché parallèle
Tous les hackers ne sont pas des Mac fans ou des gentils Dev en quête de notoriété, une récompense et un billet gratuit pour la WWDC ou un stage

avatar niclet | 

J’imagine que même si Apple a pu elle aussi acheter ce code, il est déjà obsolète.

avatar R1x_Fr1x | 

« Les clients de cette entreprise basée en Israël sont habituellement des gouvernements peu regardants sur le respect de la vie privée. »

D’où le siège social où l’on est peu regardant sur le respect de la vie tout court, CQFD.

Heureusement que de telles boites ne puissent pas autant se développer en toute impunité chez nous en France

avatar marenostrum | 

Il faut avoir des spécialistes dans ce domaine d’abord.

avatar R1x_Fr1x | 

@marenostrum

Les spécialistes il y en partout. Ce qui définit leur facilité d’accès, c’est la permissivité des états. Pas un hasard si la Chine Israël ou la Russie en comptent à foison.

En revanche, le problème quand vous allez sortir l’artillerie lourde contre un ado qui va télécharger une série a la mode en torrent en criminalisant a tout va, ba même notre DGSE va galerer a recruter... entre être un état dans foi ni loi avec des armées de hackers à disposition, et être une démocratie qui respecte la vie privée (avec ses limites évidemment) il faut trouver le juste milieu et la bonne formule

avatar marenostrum | 

en fait il faut du soleil et une vie pas chère. ce qui explique pourquoi le Silicon Valley s'est crée en Californie et pas côté NewYork. en France c'est impossible pour les mêmes raisons, pas de soleil et une vie chère, il peut pas avoir l'informatique.
dès que le cout de la vie est devenu stratosphérique en Californie, ils embauchent des indiens. y en a plus d'informaticiens aux usa. y en a que des charlatans maintenant.
en Israel pareil, y a du soleil et une vie tranquille (on peut vivre avec très peu d'argent, c'est la base pour avoir une vie sans stress, condition première en informatique, c'est un travail lent qui ne rapporte rien immédiatement, il faut du temps), ce qui explique encore une fois la chose.

avatar Nesus | 

Heu... vous êtes au courant que c’est juste un jailbreak qui installe une app qui siphonne vos données ? Donc il n’y a rien de plus dangereux qu’un jailbreak. C’est juste LA MÊME chose. C’est pour ça qu’Apple s’évertue tellement à bloquer le jailbreak.

avatar marenostrum | 

Jailbreak veut rien dire.

avatar SyMich | 

Ça n'a rien à voir!
C'est l'exploitation de 3 failles de securité 0-day qui permettaient à Pegasus de s'installer à distance pour siphonner les données à l'insu de l'utilisateur. Un iPhone "seulement" jailbreaké" n'est pas suffisant pour une prise de contrôle à distance.

Votre réflexion revient à dire qu'utiliser un Mac ou un PC (qui sont par nature "jailbreackés") c'est se faire automatiquement siphonner ses données.

Si Apple empêche le jailbreak c'est en partie pour des raisons de sécurité mais aussi parce que ça va de pair avec le passage obligé par leur magasin d'applications et le prélèvement de leur quote-part sur toutes les apps payantes!

avatar marenostrum | 

les même failles utilisés par les gens du jailbreak, qui eux le font gratuitement. il te le font pas payer leur jailbreak. après eux ils étaient rémunérés pare le gars de Cydia (l'app store du jailbreak, qui d'ailleurs avait servi de modele aux gens de Cupertino), qui lui avait bâti une boite qui gagnait des millions.

avatar scanmb | 

Que fait le colonel Moutarde ?

avatar ovea | 

@scanmb

C'est pas le gars dans la bibliothèque, non !
Enfin, si seulement …
Serait-ce celui qui en vie ?
Enfin, tant qu'il s'en sort …
C'est pas drôle qu'une société se soit accaparée le nom Moutarde pour monter autant au nez.
Haaa … j'oubliais l'abus exclusif de la particule
— colonel. Et de l'usage de la force brutale … pour vous la fourrer dans le nez, la moutarde.
Franchement ? Sans wazabi, nul vie !

CONNEXION UTILISATEUR