Pegasus est le produit phare du groupe NSO (illustration Express)
En novembre 2019, un journaliste technique de New York a photographié un dispositif d'interception exposé à Milipol, un salon professionnel sur la sécurité intérieure à Paris. L'exposant, NSO Group, a placé le matériel à l'arrière d'une camionnette, suggérant peut-être la commodité de la portabilité, et a déclaré qu'il ne fonctionnerait pas sur les numéros de téléphone américains, peut-être en raison d'une restriction auto-imposée par l'entreprise.
< p>Depuis la fondation du cyber-géant israélien en 2010, c'était probablement la première fois qu'une station de base d'émetteurs-récepteurs (BTS) portable fabriquée par NSO figurait dans un reportage médiatique.
Un BTS – ou ‘tour cellulaire voyou’ ou ‘IMSI Catcher’ ou ‘raie’ — se fait passer pour des tours cellulaires légitimes et force les téléphones portables dans un rayon à s'y connecter, de sorte que le trafic intercepté puisse être manipulé par un attaquant. Le BTS photographié en 2019 était composé de cartes empilées horizontalement, susceptibles de permettre une interception sur plusieurs bandes de fréquences.
https://images.indianexpress.com/2020/08/1×1.png
L'autre option est pour tirer parti de l'accès à l'opérateur mobile de la cible lui-même. Dans ce scénario, un attaquant n'aurait pas besoin d'une tour cellulaire malveillante mais s'appuierait sur l'infrastructure réseau habituelle pour la manipulation.
Dans tous les cas, la possibilité de lancer des attaques « injection réseau » – effectuées à distance sans l'engagement de la cible (d'où, également < strong>appelé zéro-clic) ou de connaissances — a donné à Pegasus, le produit phare de NSO Group, un avantage unique sur ses concurrents sur le marché mondial des logiciels espions.
Pegasus est maintenant au centre d'un projet d'enquête collaboratif mondial qui a révélé que le logiciel espion était utilisé pour cibler, entre autres, des centaines de téléphones mobiles en Inde.
Lire aussi |2019 & maintenant, le gouvernement se penche sur la question clé : a-t-il acheté Pegasus ?
En quoi Pegasus est-il différent des autres logiciels espions ?
Pegasus alias Q Suite, commercialisé par le groupe NSO alias Q Cyber Technologies comme « une solution de cyber-intelligence de premier plan qui permet aux forces de l'ordre et aux services de renseignement d'extraire à distance et secrètement » des données « à partir de pratiquement tous les appareils mobiles », a été développé par des vétérans de Agences de renseignement israéliennes.
Jusqu'au début de 2018, les clients de NSO Group s'appuyaient principalement sur les messages SMS et WhatsApp pour inciter les cibles à ouvrir un lien malveillant, ce qui conduirait à l'infection de leurs appareils mobiles. Une brochure Pegasus a décrit cela comme un message d'ingénierie sociale amélioré (ESEM). Lorsqu'un lien malveillant empaqueté en tant qu'ESEM est cliqué, le téléphone est dirigé vers un serveur qui vérifie le système d'exploitation et fournit l'exploit à distance approprié.
Project Pegasus |A Quixplained pour vous aider à comprendre le logiciel espion
Dans son rapport d'octobre 2019, Amnesty International a pour la première fois documenté l'utilisation d'« injections réseau » qui permettaient aux attaquants d'installer le logiciel espion « sans nécessiter aucune interaction de la part de la cible ». Pegasus peut réaliser de telles installations sans clic de différentes manières. Une option en direct (OTA) consiste à envoyer secrètement un message push qui oblige l'appareil cible à charger le logiciel espion, sans que la cible ne soit au courant de l'installation sur laquelle elle n'a de toute façon aucun contrôle.
Ceci, une brochure Pegasus se vante, est « l'unicité de NSO, qui différencie considérablement la solution Pegasus » de tout autre logiciel espion disponible sur le marché.
Lisez également |Onze téléphones ciblés : d'une femme qui a accusé l'ex-CJI de harcèlement, un parent
Quels types d'appareils sont vulnérables ?
Tous les appareils, pratiquement. Les iPhones ont été largement ciblés avec Pegasus via l'application iMessage par défaut d'Apple et le protocole Push Notification Service (APNs) sur lequel il est basé. Le logiciel espion peut usurper l'identité d'une application téléchargée sur un iPhone et se transmettre sous forme de notifications push via les serveurs d'Apple.
En août 2016, le Citizen Lab, un laboratoire interdisciplinaire basé à l'Université de Toronto, a signalé l'existence de Pegasus à la société de cybersécurité Lookout, et les deux ont signalé la menace pour Apple. En avril 2017, Lookout et Google ont publié des détails sur une version Android de Pegasus.
En octobre 2019, WhatsApp a reproché au groupe NSO d'avoir exploité une vulnérabilité dans sa fonction d'appel vidéo. « Un utilisateur recevrait ce qui semblait être un appel vidéo, mais ce n'était pas un appel normal. Après que le téléphone a sonné, l'attaquant a secrètement transmis un code malveillant dans le but d'infecter le téléphone de la victime avec un logiciel espion. La personne n'a même pas eu à répondre à l'appel », a déclaré le chef de WhatsApp, Will Cathcart.
En décembre 2020, un rapport de Citizen Lab a signalé comment des agents du gouvernement ont utilisé Pegasus pour pirater 37 téléphones appartenant à des journalistes, des producteurs, des présentateurs et des dirigeants d'Al Jazeera et d'Al Araby TV basée à Londres en juillet-août 2020, exploitant un jour zéro ( une vulnérabilité inconnue des développeurs) contre au moins iOS 13.5.1 qui pourrait pirater le dernier iPhone 11 d'Apple. Bien que l'attaque n'ait pas fonctionné contre iOS 14 et versions ultérieures, le rapport indique que les infections observées représentent probablement une infime fraction du total attaques, compte tenu de la propagation mondiale de la clientèle du groupe NSO et de la vulnérabilité apparente de presque tous les appareils iPhone avant la mise à jour iOS 14.
Explication du coronavirus
Cliquez ici pour en savoir plus
Le logiciel espion pénètre-t-il toujours dans n'importe quel appareil qu'il cible ?
Habituellement, un attaquant doit fournir au système Pegasus uniquement le numéro de téléphone cible pour une injection réseau. « Le reste est fait automatiquement par le système », explique une brochure Pegasus, et le logiciel espion est installé dans la plupart des cas.
Dans certains cas, cependant, les injections réseau peuvent ne pas fonctionner. Par exemple, l'installation à distance échoue lorsque le périphérique cible n'est pas pris en charge par le système NSO ou que son système d'exploitation est mis à niveau avec de nouvelles protections de sécurité.
Apparemment, une façon d'esquiver Pegasus est de changer le navigateur par défaut de son téléphone. Selon une brochure Pegasus, “l'installation à partir de navigateurs autres que ceux par défaut de l'appareil (et également Chrome pour les appareils basés sur Android) n'est pas prise en charge par le système”.
Dans tous ces cas, l'installation sera interrompue et le navigateur de l'appareil cible affichera une page Web inoffensive prédéterminée afin que la cible n'ait pas la moindre idée de l'échec de la tentative. Ensuite, un attaquant est susceptible de se rabattre sur les appâts de clic ESEM. Tout le reste échouant, indique la brochure, Pegasus peut être « injecté manuellement et installé en moins de cinq minutes » si un attaquant obtient un accès physique à l'appareil cible.
Quelles informations peuvent être compromises ?< /strong>
Une fois infecté, un téléphone devient un espion numérique sous le contrôle total de l'attaquant.
Lors de l'installation, Pegasus contacte les serveurs de commande et de contrôle (C&C) de l'attaquant pour recevoir et exécuter des instructions et les renvoyer les données privées de la cible, y compris les mots de passe, les listes de contacts, les événements du calendrier, les messages texte et les appels vocaux en direct (même ceux via des applications de messagerie cryptées de bout en bout). L'attaquant peut contrôler la caméra et le microphone du téléphone et utiliser la fonction GPS pour suivre une cible.
Pour éviter une consommation excessive de bande passante susceptible d'alerter une cible, Pegasus n'envoie que des mises à jour planifiées à un serveur C&C. Le logiciel espion est conçu pour échapper à l'analyse médico-légale, éviter la détection par un logiciel antivirus, et peut être désactivé et supprimé par l'attaquant, quand et si nécessaire.
Quelles précautions peut-on prendre ?
Théoriquement, une cyber-hygiène astucieuse peut se prémunir contre les appâts ESEM. Mais lorsque Pegasus exploite une vulnérabilité dans le système d'exploitation de son téléphone, il n'y a rien que l'on puisse faire pour arrêter une injection réseau. Pire encore, on ne s'en rendra même pas compte à moins que l'appareil ne soit scanné dans un laboratoire de sécurité numérique.
Le passage à un combiné archaïque qui n'autorise que les appels et les messages de base limitera certainement l'exposition des données, mais ne réduira peut-être pas de manière significative le risque d'infection. De plus, tous les appareils alternatifs utilisés pour les e-mails et les applications resteront vulnérables à moins que l'on ne renonce complètement à utiliser ces services essentiels.
Par conséquent, le mieux que l'on puisse faire est de rester à jour avec chaque mise à jour du système d'exploitation et correctif de sécurité. publié par les fabricants d'appareils, et espérons que les attaques zero-day se feront plus rares. Et si l'on a le budget, changer périodiquement de combiné est peut-être le remède le plus efficace, bien que coûteux.
Étant donné que le logiciel espion réside dans le matériel, l'attaquant devra réussir à infecter le nouveau périphérique à chaque fois qu'il change. Cela peut poser des défis à la fois logistiques (coûts) et techniques (mise à niveau de la sécurité). À moins que l'on soit confronté à des ressources illimitées, généralement associées au pouvoir de l'État.
- Le site Web d'Indian Express a été classé GREEN pour sa crédibilité et sa fiabilité par Newsguard, un service mondial qui évalue les sources d'information en fonction de leurs normes journalistiques.
