Actuellement, un téléphone portable peut être piraté avec un simple appel Whatsapp grâce au logiciel israélien Pegasus que le Maroc utilise pour espionner les opposants au régime. The Guardian en parle dans un article publié le 19 mai 2019
L’histoire du logiciel espion pour WhatsApp nous dit que rien n’est sécurisé
John Naughton
L’attaque sur l’application de messagerie nous a montré que l’espionnage est une entreprise florissante
Quand Edward Snowden s’est retrouvé à l’extérieur à l’été 2013 et qu’une équipe de journalistes du Guardian l’a rencontré dans son hôtel de Hong Kong, il a insisté non seulement pour qu’ils éteignent leur téléphone portable, mais aussi pour qu’ils placent les appareils dans un réfrigérateur. Cette précaution laissait supposer que Snowden avait une connaissance particulière des pouvoirs de la NSA en matière de piratage, en particulier du fait que l’agence avait développé des techniques permettant de prendre secrètement le contrôle d’un téléphone mobile et de l’utiliser comme appareil de suivi et d’enregistrement. Cela semblait plausible à quiconque connaissait les capacités d’organismes tels que la NSA ou le GCHQ. Et en fait, quelques années plus tard, de telles capacités ont été explicitement considérées comme nécessaires et autorisées (comme «interférence d’équipement») dans la loi de 2016 sur les pouvoirs d’investigation.
Lorsque Snowden s’est entretenu avec des journalistes à Hong Kong, WhatsApp était une start-up de quatre ans avec un modèle commercial honnête (les gens payaient pour l’application), environ 200 millions d’utilisateurs actifs et une valeur de 1,5 milliard de dollars. En février 2014, Facebook a acheté l’entreprise pour 19 milliards de dollars et tout a changé. WhatsApp a connu une croissance exponentielle dans son omniprésence actuelle: elle compte plus de 1,5 milliard d’utilisateurs et s’est propagée comme une éruption cutanée sur la planète entière.
Parmi ses avantages, il offre aux utilisateurs un cryptage de bout en bout sans effort pour leurs communications, renforçant ainsi leur vie privée. Même Facebook ne peut pas lire leurs messages. (Par coïncidence, cela fournit à Facebook une carte permettant de sortir de prison, car si les utilisateurs envoient toutes sortes de messages illégaux, peu recommandables ou manipulateurs – et certains le sont -, Facebook ne peut en être tenu responsable, ce qui coûte cher ». modération ”sont donc réduites.)
En 2014, WhatsApp a introduit une nouvelle fonctionnalité – les appels vocaux gratuits cryptés – qui donnait à chaque utilisateur une installation jusque-là appréciée uniquement par les dirigeants politiques et militaires d’États sophistiqués. Naturellement, il est devenu très populaire, au point que la plupart des conversations téléphoniques intercontinentales entre membres de familles dispersées dans le monde sont probablement désormais acheminées via WhatsApp.
Tout cela explique les rumeurs sur les révélations de la semaine dernière qui ont été enterrées dans la fonction d’appel vocal était une énorme faille de sécurité. Un méchant féru de technologie pourrait passer un appel WhatsApp à un téléphone cible afin de permettre l’installation secrète de logiciels espions pour transformer le téléphone en un dispositif de surveillance à distance. «Quelques minutes après l’appel manqué», rapporte le Financial Times, «le téléphone commence à révéler son contenu crypté, reflété sur un écran d’ordinateur à l’autre bout du monde. Il retransmet ensuite les détails les plus intimes, tels que les messages privés et l’emplacement, et allume même l’appareil photo et le microphone pour les réunions en direct. »Et ce qui est vraiment impressionnant, c’est que l’appel incriminé n’a même pas besoin d’être répondu: un appel manqué reste permet à l’intrus de laisser tomber sa «charge utile» – un logiciel appelé Pegasus, capable de percer les secrets les plus profonds de tout smartphone.
Propre, hein? En l’occurrence, il s’agit d’une histoire plus ancienne que ce que suggèrent de nombreux médias. Il s’agissait de la dernière mise à niveau d’un produit vieux de dix ans créé par une société secrète israélienne appelée NSO. La technologie serait si puissante que le ministère de la Défense israélien est censé en réglementer la vente aux forces de l’ordre étrangères et aux agences de sécurité de l’État.
Les recherches de Ron Deibart et de ses collègues de l’admirable Citizen Lab de l’Université de Toronto suggèrent toutefois que la supervision israélienne des exportations de la NSO a été, pour le moins, permissive. Le projet suit l’utilisation de Pegasus par le gouvernement mexicain et d’autres organisations depuis 2016.
Les chercheurs ont découvert que les logiciels espions étaient utilisés pour cibler un large éventail de personnes qui ont toutes un point commun: elles sont une épine dans le pied du gouvernement au pouvoir. Parmi les victimes figurent des militants favorables à l’introduction d’une taxe sur les boissons non alcoolisées; législateurs et politiciens indépendants de haut niveau; avocats des familles des femmes assassinées; le directeur d’un groupe mexicain anti-corruption; et des journalistes enquêtant sur des cartels illégaux.
La méthodologie de l’attaque suit un schéma prévisible. En mai 2017, par exemple, un journaliste primé, Javier Valdez Cárdenas, fondateur de RíoDoce, un journal mexicain connu pour ses enquêtes sur les cartels, a été abattu près de son bureau. Deux jours plus tard, un de ses collègues a reçu un message texte nommant les meurtriers et incluant un lien vers une preuve documentaire, qui était bien sûr le lien destiné à installer Pegasus sur son téléphone.
La nouvelle tournure de cette histoire est que le conduit pour l’installation secrète de Pegasus est maintenant un simple appel WhatsApp plutôt qu’un texte de phishing. Après tout, même le journaliste le plus stupide sait ne pas cliquer sur un lien provenant d’une source inconnue. Selon le Financial Times, le nouveau piratage d’appel vocal est présenté par la NSO comme un nouveau « vecteur d’attaque » séduisant, ce qui, j’en suis sûr, s’adresse aux types de régimes autoritaires qui aiment ce genre de chose. Pensez à Bahreïn, au Maroc, à l’Arabie saoudite et aux Émirats arabes unis. Cependant, il est curieux de constater que les OSN prétendent également avoir des contrats avec 21 pays de l’UE. Par conséquent, si vous êtes préoccupé par votre sécurité ou votre vie privée, achetez un Nokia 3310 et conservez l’iPhone au réfrigérateur.
Tags : Whatsapp, espionnage, logiciel espion, Pegasus, NSO,