Ce que vous devez savoir sur le logiciel espion Pegasus infectant les smartphones

Le logiciel espion Pegasus de NSO Group fait à nouveau la une des journaux après qu'il a été signalé qu'un certain nombre de gouvernements autour le monde l'a utilisé pour pirater les smartphones d'activistes, de politiciens, de journalistes et d'autres personnes.

Une liste de cibles potentielles de surveillance, qui comprend plus de 50 000 numéros de téléphone, a été divulguée et obtenu par un certain nombre de médias au cours du week-end, ravivant les inquiétudes concernant la surveillance du gouvernement.

Alors, qu'est-ce que Pégase exactement? Et qui pourrait être une cible potentielle d'une attaque? Comment savoir si votre iPhone a déjà été victime d'un logiciel espion? Nous avons rassemblé tout ce que vous devez savoir sur Pegasus.

Qu'est-ce que Pégase ?

Pegasus est un logiciel espion sophistiqué développé par la société israélienne NSO Group, également connue sous le nom de Q Cyber ​​Technologies. Il a été découvert pour la première fois sur iOS en 2016 lorsque le défenseur des droits humains arabe Ahmed Mansoor a reçu un SMS promettant des « secrets » sur les prisons des Émirats arabes unis.

Cependant, la société de cybersécurité Lookout, la première à enquêter sur le logiciel espion, pense que Pegasus existe depuis bien plus longtemps que cela. "Nous croyons cela ce logiciel espion a été à l'état sauvage pendant une période de temps importante en fonction de certains des indicateurs du code », a déclaré le rapport de Lookout à l'époque.

Une table de mappage du noyau découverte dans le logiciel espion incluait des valeurs remontant à iOS 7, qu'Apple a déployées fin 2013. Et un certain nombre de rapports, dont un de Le New York Times, affirment que les fuites d'e-mails confirment les Émirats arabes unis utilise Pegasus depuis 2013.

Apple a bien sûr déployé des mises à jour iOS qui corrigent les vulnérabilités exploitées par diverses versions de Pegasus depuis lors. Cependant, il semble que NSO Group continue de trouver de nouvelles voies dans le firmware d'Apple. Et il le fait, prétend-il, pour aider les gouvernements à enquêter sur le crime et à lutter contre le terrorisme.

Mais ce n'est pas strictement ainsi que Pegasus a été utilisé jusqu'à présent. Dans son rapport de 2016, Lookout a qualifié Pegasus d'"attaque la plus sophistiquée que nous ayons vue sur n'importe quel point de terminaison". Lookout a également dit le logiciel espion était utilisé pour « attaquer des cibles de grande valeur à des fins multiples, y compris des entreprises de haut niveau espionnage."

Comment Pegasus est-il distribué ?

Ce qui rend Pegasus particulièrement spécial, et contrairement à la plupart des logiciels espions que nous voyons généralement sur iPhone et autres smartphones, c'est qu'il utilise une attaque "zéro clic". Cela signifie qu'il n'est pas nécessaire que l'utilisateur du smartphone installe une application malveillante ou clique sur un lien malveillant. Il ne nécessite en fait aucune intervention de l'utilisateur.

Au lieu de cela, Pegasus peut être injecté sur le réseau du smartphone, soit en utilisant une tour cellulaire malveillante, soit avec un accès à une infrastructure réseau réelle. NSO Group l'a démontré en novembre 2019 lorsqu'il a exposé une station de base d'émetteurs-récepteurs portable (une tour cellulaire non autorisée) au salon Milipol à Paris.

Placé à l'arrière d'une camionnette, le BTS a usurpé l'identité d'une tour de téléphonie mobile légitime, forçant les combinés situés dans un certain rayon à s'y connecter automatiquement. Une fois la connexion établie, le trafic de la tour cellulaire pouvait être intercepté et manipulé, permettant à Pegasus d'être injecté dans ces appareils.

Les iPhones ont également été ciblés avec Pegasus via iMessage et le protocole de service de notification push d'Apple. Le logiciel espion peut se déguiser en une autre application - celle que vous avez déjà installée - puis se transmettre sous forme de notification via les serveurs d'Apple.

Il est donc incroyablement difficile d'éviter d'être infecté par le logiciel espion Pegasus. Vous ne pouvez pas faire grand-chose, à part empêcher votre appareil de se connecter aux tours de téléphonie cellulaire, pour éviter une éventuelle interception. Et une fois que le logiciel est installé sur votre appareil, il peut faire des ravages.

Que peut faire Pégase ?

Pegasus peut renvoyer toutes sortes de données sensibles aux serveurs d'un attaquant. Cela inclut les contacts, les messages texte, les événements du calendrier et les mots de passe. Il peut même intercepter les appels vocaux en direct, y compris ceux protégés par un cryptage de bout en bout, permettant à un attaquant d'écouter.

Pegasus permet également à un attaquant de prendre le contrôle de la caméra et du microphone d'un smartphone. De plus, il peut utiliser le GPS d'un smartphone pour suivre une cible, le tout à l'insu du propriétaire. Il est conçu pour échapper à la détection par un logiciel antivirus. Et un attaquant peut supprimer Pegasus à distance si nécessaire.

Qui est à risque ?

Comme expliqué dans le rapport Lookout, les attaques de Pegasus semblent viser principalement des « cibles de grande valeur » telles que des militants, des PDG, des journalistes, des avocats et des politiciens. Les attaques seraient distribuées par les gouvernements qui paient pour les logiciels espions, plutôt que par le groupe NSO lui-même.

Fin 2019, il a été signalé qu'au moins 121 personnes en Inde - dont plus de 40 journalistes - avait été touché par une attaque de Pégase. Le ministre indien de la Technologie, Ravi Shankar Prasad, a déclaré qu'environ 1 400 personnes dans le monde avaient été ciblées à la même époque.

Bien qu'il soit possible que l'utilisateur moyen soit victime d'une attaque Pegasus, cela est considéré comme hautement improbable. Le chef de la sécurité d'Apple, Ivan Krstić, a déclaré Le Washington Post cette semaine qui attaque comme Pégase »ne sont pas une menace à l'écrasante majorité de nos utilisateurs.

Comment vous protéger des logiciels espions Pegasus

En dépit d'être incroyablement sophistiqué, ne nécessitant qu'un numéro de téléphone pour accéder à l'appareil d'une cible dans la plupart des cas, Pegasus n'est pas efficace à 100%. Dans certains scénarios, il échoue. Cela signifie que vous pouvez prendre certaines mesures pour éviter d'être la proie d'une attaque de Pégase.

La mesure la plus simple que vous puissiez prendre est de vous assurer de garder votre iPhone à jour. Apple travaille en permanence pour corriger toutes les vulnérabilités utilisées par Pegasus et d'autres menaces. Cela signifie qu'une simple mise à jour logicielle pourrait suffire à empêcher une attaque. Une autre chose que vous pouvez faire est d'éviter d'utiliser le propre navigateur Safari d'Apple sur iPhone.

Selon une brochure sur Pegasus de NSO Group, « l'installation à partir de navigateurs autres que celui par défaut de l'appareil (et également Chrome pour Android basé sur périphériques) n'est pas pris en charge par le système. Lorsque Pegasus se heurte à un navigateur tiers, l'installation est interrompue et une page Web inoffensive est affiché.

Comment savoir si votre iPhone est infecté

Il était presque impossible de détecter une infection à Pegasus. La plupart des individus ciblés n'ont jamais su qu'ils étaient une cible ou que leur appareil était infecté. Mais maintenant, vous pouvez utiliser un outil, développé par des chercheurs d'Amnesty International, qui peut détecter les traces d'une infection potentielle par Pegasus.

Le Mobile Verification Toolkit (MVT) fonctionne à la fois sur les appareils iPhone et Android, mais nécessite un ordinateur Mac ou Linux pour son exécution. Il prend en charge un certain nombre de commandes qui vous permettent de décrypter une sauvegarde iTunes et d'extraire des artefacts. Ensuite, vous pouvez les comparer pour détecter les signes d'une attaque.

Vous pouvez télécharger la boîte à outils de vérification mobile depuis Github, où vous trouverez également une liste d'instructions d'installation et d'utilisation détaillées.