Le 18 juillet 2021 des médias révèlent qu’un logiciel malveillant sur mobile, nommé Pegasus, cible plusieurs personnalités politiques, des journalistes et des avocats. Présenté souvent par les médias et les éditeurs en sécurité comme un logiciel espion, Pegasus est en fait un cheval de Troie informatique, logiciel malveillant bien plus dangereux qu’un spyware, comme vous allez le voir.
Je ne parlerai pas de l’aspect géopolitique de cette affaire de services secrets multinationaux pour deux raisons évidentes. Je m’attacherai uniquement à l’aspect technique tel qu’il est publié par de multiples sources. Mais commençons par les faits révélés au public.
La révélation de Pegasus le 18 juillet 2021
Tout commence le dimanche 18 juillet 2021 par une révélation d’une coalition de 17 médias internationaux. L’association Forbidden Stories, qui poursuit le travail de journalistes persécutés dans le monde, dirige cette coalition. Amnisty International, une ONG défenseuse des droits humains, les épaule sur cette affaire.
Ils ont trouvé un fichier de 50 000 numéros de téléphones mobiles ciblés par Pegasus dans de nombreux pays. Leur enquête longue a permis d’établir que des smartphones avaient été compromis pour espionner profondément les appareils et leurs propriétaires.
La société israélienne NSO Group a réalisé ce cheval de Troie informatique. Officiellement société de sécurité informatique, elle s’est spécialisée en espionnage avec comme seuls clients officiels des services gouvernementaux sur presque toute la planète.
Parmi les cibles de Pegasus figurent Emmanuel Macron, ainsi qu’un ancien premier ministre et quatorze ministres français. D’ailleurs l’exécutif français est inquiet comme le montre cette vidéo de 2 minutes : le logiciel espion Pegasus angoisse Emmanuel Macron.
Le porte-parole du gouvernement français fait le point sur la situation qualifiée de grave. On peut s’étonner que les services secrets marocains soient incriminés publiquement alors que Pegasus est édité par une société israélienne d’espionnage 😉
En réalité cette menace existe depuis des années, la société de sécurité informatique Lockout publiait une première analyse de ce cheval de Troie en 2016.
Passons à l’aspect technique en rappelant un peu de vocabulaire.
Présenté comme un spyware …
Les médias traditionnels et la plupart des médias spécialisés sur le Web présentent à tord Pegasus comme un logiciel espion. Même si ce mot est parlant pour tout le monde, son sens premier a été déformé depuis l’origine mais cette fois-ci c’est encore plus violent.
Un logiciel espion ou spyware espionne à votre insu votre navigation sur le Web pour déterminer vos centres d’intérêt. Et vous proposer ensuite des publicités ciblées sur ces sujets. Parfois en vous demandant vos coordonnées personnelles ou votre email pour vous spammer ou constituer un fichier de prospects. Rien d’autre.
Ainsi un logiciel espion enfreint votre vie privée dans un périmètre limité, mais n’effectue aucun vol ni destruction de fichier, écoute indiscrète ou interception d’information confidentielle.
C’est pourquoi Pegasus est bien plus intrusif et agressif qu’un spyware, comme vous allez le voir maintenant.
… Pegasus est en fait un cheval de Troie
D’après les sources publiées, la qualification de cette malveillance ne fait aucun doute. Pegasus est en fait un cheval de Troie informatique de type « administration à distance », c’est à dire un logiciel malveillant qui s’exécute discrètement sur un ordi ou un smartphone pour y lancer tout un tas de « services » à la carte, plus ou moins malveillants. En effet il enregistre tout ce que vous tapez au clavier ( visant vos mots de passe notamment ), accède à tous vos fichiers personnels et confidentiels, emails, messages, favoris. Il peut aussi les télécharger, désactiver vos logiciels de sécurité, etc.
D’ailleurs son nom, Pegasus, Pégase en français, fait référence au cheval ailé blanc de la mythologie grecque. Cette créature fantastique était capable de nombreux exploits. Et l’image de Pégase vient de cet article de 2017 : Pegasus: The ultimate spyware for iOS and Android.
Ses « exploits » sur mobile sont encore plus étendus que sur ordi. Parce que ce cheval de Troie peut déclencher le micro et la caméra de votre smartphone à votre insu. Ils peuvent ainsi espionner toute votre vie, jour et nuit ! En plus ils ont accès à vos photos, vidéos, carnet d’adresses, etc. Avec la géolocalisation du mobile, ils peuvent savoir où vous êtes à chaque instant. Enfin ils écoutent vos conversations téléphoniques et lisent vos messages écrits et audios cryptés.
Ainsi un smartphone infecté par un cheval de Troie de type « administration à distance » devient un outil d’espionnage redoutable et incomparable.
Est-il possible d’éviter de se faire pirater ? Vous allez voir dans les modes d’infection que …
3 modes d’infection des mobiles iPhone et Android
Pour commencer ce cheval de Troie infecte aussi bien les mobiles Android que les iPhone, soit la totalité du marché des smartphone aujourd’hui. Maintenant voyons les trois mode d’infection des mobile Android et iPhone que Pegasus a utilisé avec le temps.
Le lien malveillant
Au début Pegasus utilisait une technique bien connue. Une étape préalable consistait à envoyer à la cible un sms contenant un lien malveillant. Si la victime cliquait sur le lien, elle était redirigée vers une page Web piégée par un logiciel malveillant qui tentait d’installer le cheval de Troie sur son mobile iPhone ou Android.
Maintenant on passe à une manœuvre bien plus difficile à détecter.
L’injection réseau
Ici pas besoin d’envoyer de sms piégé. Il suffit que la victime consulte un site Web non chiffré, c’est à dire accessible en HTTP et non en HTTPS. ( Ça n’arriverait pas sur ce site : regardez dans la barre d’adresse ). Sur le parcours physique du réseau mobile, le pirate intercepte la requête et la redirige vers la page Web piégée qui tente d’installer Pegasus sur le mobile de la victime.
« Sur le parcours physique du réseau mobile » ça veut dire quoi ?
- Soit en installant une ou plusieurs stations de base proximité de la cible avec une puissance suffisamment forte pour que le smartphone privilégie ces antennes plutôt que celles de son opérateur.
- Soit en agissant directement auprès de l’opérateur, ce qui suppose l’intervention d’un service d’État.
En savoir plus sur l’injection réseau.
Le troisième mode d’infection est très difficile à détecter aussi.
Les attaques zéro-clic
Ces attaques zéro-clic permettent de s’introduire dans le mobile sans intervention de l’utilisateur. Elles exploitent des failles de sécurité dans les OS mobiles ( iOS et Android ) ou certaines applications ( Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, etc ). Les cheval de Troie Pegasus utilise des vulnérabilités zero day à un niveau très avancé.
Suivez ce lien à propos des attaques zéro-clic chez Apple.
Infos complémentaires
- Technical Analysis of Pegasus Spyware by Lockout in 2016.
- Amnesty International a mis au point un outil avancé de détection de Pegasus pour savoir si votre iPhone ou mobile Android est infecté. Cet outil fonctionne en ligne de commande sous Linux ou MacOS sur une sauvegarde du smatphone.