Comment fonctionne le logiciel espion Pegasus ?

Les moyens modernes de traque des terroristes ont été utilisés par les autorités des pays autoritaires pour espionner les journalistes et les opposants.

Des traces du logiciel espion Pegasus ont été retrouvées sur les téléphones de nombreux journalistes et militants à travers le monde. Comment exactement Pegasus pénètre dans le téléphone, ce que le programme peut faire et comment les experts en sécurité déterminent sa présence – dans le matériel du Centre pour l’étude de la corruption et du crime organisé (OCCRP, langue originale – anglais), qui a été traduit en russe par les rédacteurs du magazine Vlast. Novaya Gazeta le publie également.

L’enquête sensationnelle d’Edward Snowden sur la surveillance massive par le gouvernement américain a fait s’inquiéter le monde entier au sujet de la sécurité numérique. Le cryptage de bout en bout, auparavant utilisé principalement par les espions et les passionnés de cybersécurité, est devenu omniprésent après que la communication est passée aux services de messagerie et aux messageries cryptés tels que Whatsapp et Signal.

Ces changements ont laissé les gouvernements sans surveillance – et dans une recherche désespérée de solutions. Pegasus a été créé pour leur donner cette solution.

Pegasus est le produit phare de la société de cyberintelligence israélienne NSO Group, sans doute la plus importante des sociétés de logiciels espions émergents. Les technologies du groupe NSO permettent aux clients – selon l’entreprise, exclusivement aux gouvernements et jamais aux particuliers ou aux entreprises – de cibler des numéros de téléphone spécifiques et d’infecter les appareils Pegasus associés.

Mais au lieu d’essayer d’intercepter les données cryptées transmises d’un appareil à un autre, Pegasus permet à l’utilisateur de contrôler l’appareil lui-même et d’accéder à tout ce qui y est stocké.

Pegasus surveille les frappes sur l’appareil infecté – toutes les communications et recherches écrites, même les mots de passe, et les transmet au client, et donne accès au microphone et à la caméra du téléphone.

en le transformant en un appareil espion mobile que la cible transporte sans hésitation.

« Le piratage d’un téléphone permet à un pirate d’obtenir des droits d’administrateur sur un appareil. Cela permet de faire presque n’importe quoi au téléphone », explique Claudio Guarneri du Security Lab d’Amnesty International, qui a développé une méthodologie pour analyser les appareils infectés.

Les gouvernements du monde entier sont impatients de mettre la main sur ce que Pegasus peut fournir, car il leur donnera un accès gratuit aux communications et aux mouvements des terroristes et des criminels. mais

Le projet Pegasus montre comment le groupe NSO a presque certainement vendu sa technologie à des pays au bilan douteux en matière de droits humains, et comment la technologie a été utilisée pour espionner des journalistes et des militants.

Les preuves compilées par le projet Pegasus suggèrent que les gouvernements de l’Inde à l’Azerbaïdjan et du Rwanda au Mexique ont utilisé avec succès les logiciels espions du groupe NSO.

Pour maintenir sa position, le groupe NSO doit continuellement améliorer sa technologie pour garder une longueur d’avance sur des entreprises telles qu’Apple et Google qui publient des mises à jour pour corriger les vulnérabilités. Au cours des cinq dernières années, Pegasus est passé d’un système relativement simple qui utilisait principalement des attaques socio-techniques à un programme qui n’exige même pas qu’un utilisateur suive un lien pour pirater son téléphone.

Pas d’exploit de clic

Auparavant, les attaques de pirates Pegasus nécessitaient la participation active de la cible elle-même. Les opérateurs du programme ont envoyé un SMS avec un lien malveillant sur le téléphone de la cible. Si une personne suivait le lien, une page malveillante s’ouvrait dans le navigateur, téléchargeant et exécutant un code malveillant sur l’appareil. Le groupe NSO a utilisé diverses tactiques pour augmenter la probabilité de clics.

« Les clients ont envoyé des messages de spam pour faire chier la cible, puis ont envoyé un autre message avec un lien sur lequel cliquer pour arrêter de recevoir du spam » –

dit Guarneri. Des techniques sociotechniques ont été utilisées pour augmenter la probabilité d’un clic en insérant des liens malveillants dans des messages destinés à intéresser ou à intimider les cibles de logiciels espions.

« Les messages peuvent inclure des nouvelles qui intéressent une personne ou des publicités pour des articles qu’elle aimerait acheter, comme un abonnement à un gymnase ou des ventes en ligne », explique Guarneri.

Au fil du temps, les utilisateurs ont pris conscience de ces tactiques et ont appris à mieux identifier les spams malveillants. Il fallait quelque chose de plus sophistiqué.

La solution consistait à utiliser des « exploits sans clic ». Ces vulnérabilités ne nécessitent aucune interaction de l’utilisateur pour que Pegasus infecte un appareil. Les gouvernements utilisant le Pegasus ont préféré cette tactique ces dernières années, a déclaré Guarneri.

Les exploits sans clic reposent sur les vulnérabilités des applications populaires telles que iMessage, WhatsApp et Facetime. Ils reçoivent et traitent tous des données – parfois de sources inconnues.

Une fois la vulnérabilité découverte, Pegasus infiltre l’appareil à l’aide du protocole d’application. Pour cela, l’utilisateur n’a pas besoin de suivre un lien, de lire un message ou de répondre à un appel.

« Les exploitations sans clic constituent la majorité des cas que nous avons vus depuis 2019 », explique Guarneri. Son équipe a publié un rapport technique sur la méthodologie du projet Pegasus.

« C’est un programme méchant – un programme particulièrement méchant », a déclaré aux journalistes Timothy Summers, un ancien ingénieur informaticien des services de renseignement américains. – Il pénètre dans la plupart des systèmes de messagerie, notamment Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, les messageries intégrées et la messagerie Apple, entre autres. Avec un tel arsenal, vous pouvez espionner la population du monde entier. De toute évidence, le NSO propose une agence de renseignement en tant que service. »

Réactivité

Malgré sa réputation d’application grand public, iMessage est connu des experts pour être vulnérable aux attaques. Matt Green, cryptographe et expert en sécurité à l’Université Johns Hopkins, a déclaré aux journalistes qu’iMessage est devenu plus vulnérable depuis qu’Apple a compliqué son logiciel, augmentant ainsi par inadvertance le nombre de façons de trouver des erreurs de programmation pouvant être exploitées. Apple publie régulièrement des mises à jour pour remédier à ces vulnérabilités, mais l’industrie des logiciels espions a toujours au moins une longueur d’avance.

« Il ne fait aucun doute que Pegasus est capable d’infecter les dernières versions d’iOS », déclare Guarneri. « Beaucoup plus de temps et d’argent ont été investis pour trouver ces vulnérabilités que, probablement, pour empêcher leur création et s’en débarrasser.

C’est un jeu du chat et de la souris et le chat est toujours en avance à cause de l’incitation économique. »

Un porte-parole d’Apple a nié que les sociétés de logiciels espions les devançaient dans une conversation avec des journalistes du Washington Post.

« Ces attaques contre les iPhones, telles que celles créées par le groupe NSO, sont ciblées, coûtent des millions à développer et sont souvent de courte durée car nous détectons et corrigeons les vulnérabilités. Ce faisant, nous décourageons économiquement les attaques à grande échelle contre les utilisateurs d’iPhone », explique Ivan Krstic, responsable de l’ingénierie de sécurité chez Apple.

L’activité des logiciels espions est néanmoins lucrative. En 2016, le New York Times a rapporté que le logiciel NSO, capable d’espionner dix utilisateurs d’iPhone, coûte 650 000 $ plus des frais d’installation de 500 000 $ – une technologie probablement beaucoup moins avancée que ce qui est disponible aujourd’hui. En 2020, la société a déclaré un bénéfice de 243 millions de dollars.

Prises par surprise en matière de cybersécurité, les entreprises informatiques se défendent désormais devant les tribunaux. En 2019, WhatsApp a déposé une plainte contre le groupe NSO aux États-Unis, affirmant qu’une entreprise israélienne avait profité de la vulnérabilité pour infecter plus de 1 400 appareils. Selon WhatsApp, les attaques visaient des journalistes, des avocats, des chefs religieux et des dissidents politiques. Plusieurs autres sociétés bien connues, dont Microsoft et Google, ont ajouté des preuves corroborantes à l’affaire en cours.

Le procès fait suite à d’autres précédemment déposés par Amnesty International (contre le ministère israélien de la Défense, qui est censé coordonner toutes les ventes du groupe NSO aux gouvernements étrangers), ainsi que des journalistes et des militants prétendument ciblés par les technologies de NSO.

Injection réseau

En plus des exploits sans clic, les clients du groupe NSO peuvent également utiliser des « injections réseau » pour accéder au téléphone sans se faire remarquer. La navigation sur le Web peut exposer un appareil à une attaque sans cliquer sur un lien conçu de manière malveillante. Avec cette approche, l’utilisateur doit se rendre sur un site Web non sécurisé au cours de ses activités en ligne normales. Une fois qu’il se rend sur un site non sécurisé, le logiciel du groupe NSO peut accéder au téléphone et l’infecter.

« Vous ne pouvez rien y faire », dit Guarneri. « Le délai [entre la navigation vers un site Web non sécurisé et l’infection de Pegasus] peut être de quelques millisecondes. »

Cependant, utiliser cette méthode est plus difficile que d’attaquer un téléphone avec un lien malveillant ou un exploit sans clic, car cela nécessite de surveiller l’utilisation du téléphone mobile jusqu’à ce que le trafic Internet ne soit plus protégé.

Cela se fait généralement par l’intermédiaire d’un opérateur mobile auquel certains gouvernements ont accès. Mais la dépendance vis-à-vis des opérateurs téléphoniques rend difficile, voire impossible, pour les gouvernements de pirater les appareils de personnes en dehors de leur juridiction. Les exploits sans clic peuvent surmonter ces limitations, ce qui les rend populaires.

Du patient zéro à la chaîne de preuves

L’équipe technologique d’Amnesty International a analysé les données de dizaines de téléphones portables susceptibles d’être attaqués par des clients du groupe NSO.

Pour détecter Pegasus sur un appareil, l’équipe recherche d’abord le signe le plus évident – la présence de liens malveillants dans les messages texte. Ces liens mènent à l’un des nombreux domaines utilisés par le groupe NSO pour télécharger des logiciels espions sur votre téléphone — il s’agit de l’infrastructure de l’entreprise.

« NSO a commis des erreurs opérationnelles dans la construction de l’infrastructure qu’il utilise pour lancer des attaques », a déclaré Garnieri. Dans le premier cas signalé – le patient zéro – cette infrastructure de réseau « contenait une référence à l’infrastructure [NSO] » ».

NSO Group a également initialement utilisé plusieurs faux comptes de messagerie pour construire une grande partie de son infrastructure. L’un de ces comptes est lié à un domaine – cela confirme qu’il appartient au groupe NSO.

Patient Zero était un défenseur des droits humains des Émirats arabes unis nommé Ahmed Mansour.

En 2016, Citizen Lab a découvert que le téléphone de Mansour avait été piraté à l’aide de liens malveillants offrant de « nouveaux secrets » sur la torture par les autorités des Émirats arabes unis. Citizen Lab a pu prouver que les messages provenaient de Pegasus.

«Il y aura toujours une chaîne de preuves qui nous reliera au tout premier patient zéro», explique Guarneri.

En plus de découvrir des liens vers l’infrastructure réseau du NSO, l’équipe d’Amnesty a constaté des similitudes dans les processus malveillants exécutés par l’appareil infecté. Il n’y en a que quelques dizaines, et l’un d’entre eux, appelé Bridgehead, ou BH, apparaît à plusieurs reprises dans tous les logiciels malveillants, jusqu’au téléphone de Mansur.

Guarneri dit avoir téléchargé toutes les versions iOS publiées depuis 2016 pour vérifier si les processus qu’il a trouvés sur les appareils infectés étaient légitimes. Aucun des processus trouvés par son équipe n’a été publié par Apple.

« Nous savons que ces processus sont illégitimes – ils sont nocifs. Nous savons qu’il s’agit de processus Pegasus car ils sont liés à l’infrastructure réseau que nous avons vue », explique Guarneri. Sur les appareils infectés, l’équipe d’Amnesty a observé une séquence claire :

-« Le site Web a été visité,

-l’application a planté,

-certains fichiers ont été modifiés,

et tous ces processus ont été achevés en quelques secondes voire millisecondes. Les processus que nous voyons dans tous les cas analysés sont constants et uniques. Je n’ai aucun doute que nous avons affaire à Pegasus. « 

Novaya Gazeta, 24/07/2021

Etiquettes : Espionnage, NSO Group, Logiciels Espions, Pegasus,