Derrière Pegasus ou le mode d’emploi d’un logiciel espion
Thierry Berthier, Université de Limoges
Un consortium de médias, dont Le Monde et la cellule investigation de Radio France, coordonné par l’organisation Forbidden Stories, a eu accès à plus de 50 000 numéros de téléphone potentiellement ciblés et espionnés par une dizaine d’états, via le logiciel israélien Pegasus.
L’affaire fait grand bruit car on y retrouve, pêle-mêle, des journalistes, des chefs d’entreprise, des opposants politiques et autres figures de la vie publique.
Retour sur la technique derrière ce logiciel. Quand est né Pegasus ? Comment l’utilise-t-on ? Pourquoi a-t-il pris une telle ampleur ?
Comment fonctionne Pegasus
Le logiciel Pegasus est développé par l’entreprise israélienne NSO Group. C’est un logiciel espion (spyware) visant les smartphones dont l’objectif est de siphonner l’ensemble de ses données : coordonnées GPS, contenus des messages, écoute des appels, bref tout ce qui passe par votre téléphone est vu, lu et entendu par le logiciel et transmis à son utilisateur (l’attaquant). Ce logiciel espion évolue depuis plusieurs années et s’adapte aux évolutions de niveaux de sécurité des téléphones.
Dans ses précédentes versions, l’attaquant envoyait un message contenant un lien, qui, lorsque l’utilisateur cliquait dessus, déclenchait l’installation de Pegasus. Cette technique, un peu grossière, peut fonctionner avec des personnes peu habituées ou non formées à la cybersécurité. Mais qui, avec des cibles de haut niveau (publiques ou privées) est beaucoup plus hasardeuse. Ainsi NSO a développé une nouvelle version qui est capable d’installer le « mouchard » sans clic, ce que l’on appelle une attaque « zero click ».
Comment installer un logiciel à l’insu du propriétaire du téléphone ? La méthode la plus efficace, version film d’espionnage, est tout simplement de se saisir du téléphone, lors d’un moment d’inattention et de l’intégrer dans la machine.
Il existe également une méthode plus subtile, et plus technologique : utiliser une faille de sécurité de l’appareil pour prendre le contrôle du téléphone pendant un court laps de temps pour y installer le spyware à distance.
L’exploitation des failles de sécurité
Pour prendre le contrôle d’un smartphone à distance, il est indispensable d’exploiter une faille de sécurité. Cette dernière peut provenir du matériel (hardware), par exemple une puce électronique, ou logiciel (software) en passant par les systèmes d’exploitation iOS ou Android. Les clients de NSO, en général des états, n’ont pas à chercher les failles eux-mêmes, ils n’ont besoin que du numéro de téléphone de la cible et Pegasus s’occupe du piratage et de l’exfiltration des données. Pour chaque cible visée, le client paye une licence à NSO de quelques dizaines de milliers d’euros.
On va généralement cibler des failles « zero day » (jour 0), on les appelle comme cela car elles n’ont jamais été publiées ni exploitées. La plupart des logiciels vendus dans le commerce peuvent avoir des failles. D’ailleurs, leurs éditeurs organisent régulièrement des concours ouverts aux hackers pour les débusquer. Si une personne découvre une faille, elle peut la vendre sur des « marchés zero day ». Cela ressemble à une bourse internationale dans laquelle les produits sont des failles. En général, elles sont achetées par les éditeurs eux-mêmes qui ont intérêt à les corriger le plus rapidement possible. Une faille sur un système d’exploitation iOS peut se négocier à plusieurs millions de dollars. Ces marchés sont légaux. Le but est d’éviter qu’un hacker, ayant trouvé une faille aille la vendre à un groupe cybercriminel.
Schéma de l’attaque du téléphone du journaliste Tamer Almisshal par Pegasus. Traduit du rapport « The Great iPwn », CC BY
Un exemple concret a été reporté par The Citizen Lab (le laboratoire d’Amnesty International et de l’université de Toronto qui a travaillé sur le récent scandale) fin 2020. Le journaliste d’investigation travaillant pour Al Jazeera, Tamer Almisshal suspectait que son téléphone ait été piraté. Pour le prouver, le laboratoire a enregistré toutes ses métadonnées pour suivre à quoi il se connectait. Ils ont en effet trouvé des connexions très suspectes : son téléphone a visité plusieurs fois un site connu comme étant un mode d’installation de Pegasus.
Cette visite aurait été provoquée par les pirates en exploitant une faille du système de messagerie de l’iPhone (faille depuis corrigée), le journaliste n’a cliqué sur aucun lien suspect, c’est une attaque « zero click ». Il a aussi été démontré que des données ont été exfiltrées. La société NSO a nié toute participation.
Un tunnel d’exfiltration de données
Une fois que Pegasus est installé, il doit renvoyer les données vers le commanditaire. Comment s’y prend-il ? il va créer un tunnel. Si le « pirate » est physiquement proche de sa cible, il lui est possible de récupérer les données via des techniques « radiofréquence ». Le téléphone va émettre des informations, par exemple via wifi qui seront captées à l’aide d’une antenne.
Les failles de sécurité touchant les cartes SIM peuvent être exploitées par un attaquant pour prendre le contrôle du téléphone ou pour installer un logiciel espion. Par exemple, la faille SIMjacker concerne plus d’un milliard de téléphones. Elle permet à partir d’un simple SMS de prendre le contrôle total d’un smartphone et de collecter des données. Concrètement, l’attaquant envoie un SMS contenant un code spécifique qui ordonne à la carte SIM de prendre les commandes du téléphone et d’exécuter certaines commandes provoquant l’exfiltration de données.
Il est également possible d’utiliser les liaisons classiques 3G ou 4G. Même si le téléphone se trouve dans des zones où le débit est limité, la bande passante sera plus lente, et donc le transfert plus long, mais il sera quand même possible d’exfiltrer des données.
On pourrait se dire que des transferts massifs de données pourraient être détectés par l’utilisateur, en observant ses flux de données. C’est là où Pegasus est très performant, car il peut agir sans être détecté. Les données qu’il envoie à partir du téléphone sont chiffrées, on ne peut donc pas savoir ce qui a été envoyé. De plus il va mélanger ces envois au milieu de vos propres transferts de données, par exemple, vous effectuez un paiement en ligne, vous allez envoyer des données chiffrées à votre banque ou à votre vendeur, et à ce moment-là le logiciel en profite pour envoyer des informations à l’attaquant.
Il est donc très difficile de savoir, réellement, ce qui a été envoyé, une fois que l’on a été victime de l’attaque. D’autant plus qu’une fois que la mission a été remplie Pegasus peut s’autodétruire et ne laisser aucune trace, selon son éditeur.
Cette dernière information est contredite par Amnesty International qui dit avoir détecté des traces du logiciel sur plusieurs téléphones analysés dans les journaux d’évènements qui enregistrent une partie de l’activité du système.
D’une manière générale, la rétro-analyse du fonctionnement d’un tel logiciel espion demeure toujours très complexe à réaliser. De la même façon, l’analyse fine de l’attaque demande d’importants moyens techniques, analytiques incluant de l’expertise humaine de très haut niveau et du temps.
Il convient de rester prudent sur les déclarations des uns et des autres attribuant l’origine d’une attaque ou affirmant qu’un téléphone a été compromis en particulier par un logiciel par nature furtif.
Thierry Berthier, Maitre de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr, Université de Limoges
Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.
À lire aussi
IA: faut-il l’adorer, la détester ou en profiter?
Ils pleuvent, ils pleuvent, les milliards… Trump en promet 500, Macron 109, von der Leyen 200! Puisés on ne sait où mais tout est bon pour la déesse aux mille visages, cette insaisissable intelligence artificielle. Et nous, pauvres ignares, devons-nous y toucher? Jusqu’à quel point? Expérience.
Le gendarme qui sait parler aux jeunes
Face à l’imagination sans limite des escrocs du net, le préposé à la prévention de la gendarmerie vaudoise propose, sous le pseudonyme eCop François, une utilisation exemplaire des réseaux sociaux, somme toute parfois bien utiles.
«Les pires amis», ce faux roman plombé par la réalité
Usant (et abusant peut-être) d’un procédé d’identification à la Houellebecq, l’ancien espion du KGB Sergueï Jirnov, publié par Istya & Co (Slatkine) nous plonge dans les enfers des meilleurs ennemis que seraient Vladimir Poutine et Kyrill le patriarche de toutes les Russies. Mortellement captivant…
«Ils ont failli avoir accès à 90% des ordinateurs du monde»
En avril dernier a été découverte la tentative d’installation d’une «porte dérobée» dans un programme informatique largement utilisé. La plupart des comptes-rendus de cette histoire indiquaient que de telles vulnérabilités sont dues d’une part aux défaillances du monde du développement open-source, et de l’autre à la malveillance de certains Etats. (...)
Les Etats-Unis aussi enquêtent et légifèrent sur les «agents étrangers»
Les critiques contre la «loi sur les agents étrangers» en Géorgie sont vives, surtout en Occident où l’on estime qu’elle suivrait un modèle russe, entachant la souveraineté de l’Etat du Caucase. Pourtant, les Etats-Unis ont depuis longtemps des pratiques similaires, arguant qu’il est de leur devoir de savoir qui fait (...)
Les espions cubains sont-ils parmi nous?
Le magazine «L’Express» raconte l’étonnante histoire de Victor Manuel Rocha, ancien ambassadeur américain en Bolivie et diplomate chevronné, qui vient d’être arrêté pour espionnage… L’homme était en réalité depuis quarante ans au service de Cuba, et il serait loin d’être le seul.
Predator Files: la malhonnêteté suisse
Depuis quelques années, des scandales liés aux logiciels espions éclatent régulièrement. On se souvient de l’affaire Crypto AG, de Pegasus et, depuis le 5 octobre dernier, d’un nouveau scandale qui n’est pas sans importance: les fichiers Predator. Une alliance internationale de journalistes a mis en lumière le commerce, chiffré en (...)
Quand débute le Jugement dernier
Roman d’espionnage plus atmosphérique qu’à suspense bien qu’il en ait la panoplie, des espions russes au poison, «Le Débutant» est aussi une méditation sur les grandes questions: la science, le bien et le mal, la mort, la morale. Traversés, coupés en deux par la chute de l’URSS, les personnages cherchent (...)
La littérature s’adresse-t-elle (aussi) aux imbéciles? Si oui, qui sont-ils? Et de quelle littérature parle-t-on?
Pays de pommes de terre et de prix Nobel de littérature, la Pologne se secoue du dernier grand scandale littéraire impliquant Olga Tokarczuk, romancière récompensée par l’Académie suédoise en 2018. Il faut reconnaître à l’écrivaine un talent particulier pour se mettre à dos aussi bien le pouvoir populiste que la (...)
Un fantôme dans la machine: quand l’IA effraie ses propres concepteurs
L’intelligence artificielle est un miroir aux alouettes qui se joue de notre capacité à personnifier les choses. Même les ingénieurs de Google s’y laissent prendre. Blake Lemoine est l’un d’entre eux, et a récemment été suspendu par le géant américain après avoir déclaré que son nouveau programme de communication avec (...)
Log4j, une «apocalypse Internet» dont tout le monde se fiche
Le 9 décembre 2021, la plus grande faille de sécurité informatique de tous les temps a été découverte. Un évènement historique et d’une ampleur inédite qui va occuper les spécialistes durant encore de longs mois. Pendant une semaine, cette information a fait l’objet de quelques articles dans les grands journaux. (...)
Darius Rochebin, l’homme qui n’avait pas une sexualité «irréprochable»
Le présent article se base sur les faits rapportés par l’enquête du Temps du 31 octobre révélant des situations de mobbing et de harcèlement sexuel à la RTS. L’ancien présentateur vedette du TJ, aujourd’hui mis en retrait de l’antenne de la chaîne française LCI, y est cité. Nous questionnons ici (...)
Des Russes et des Suisses sont sur un bateau
The Economist révèle un nouveau rebondissement dans une large affaire de fraude et de blanchiment d’argent russe, l’affaire Magnitsky, dans laquelle les banques mais aussi les autorités policières et judiciaires suisses sont impliquées.
Quand l’IA prend la parole : des prouesses aux dangers
La démission forcée d’une cadre de Google, Timnit Gebru, a récemment fait polémique. Elle travaillait sur les risques associés aux capacités de cette catégorie d’intelligences artificielles qui excellent désormais à manipuler le langage, sans le comprendre.
Crypto AG, ce cadavre exquis
Pendant des décennies, une entreprise suisse a trafiqué du matériel de cryptage, espionné sans relâche pour le compte de services secrets étrangers, et s’est même vendue corps et biens à la CIA, et l’on nous dit: Circulez, il n’y a rien à voir!
Les dessous peu reluisants de la RTS/SSR
La Suisse romande a été sous le choc en découvrant «l’affaire Darius» dans l’enquête du Temps samedi dernier. Comme tout le monde, j’ai été sidéré de voir révélés les petits vices cachés de notre star locale. La création de profils fictifs sur Facebook pour séduire de jeunes hommes n’est pas (...)
