Le logiciel espion Pegasus fait la une de nos actualités. Mettant en cause Israel, le Maroc et l’Elysée… Lookout nous aide à faire un petit d’horizon sur ce sujet palpitant. 

En 2016, Lookout*et Citizen Lab découvrent le logiciel espion (spyware) mobile Pegasus. Ultra sophistiqué, il a récemment été utilisé pour cibler des dirigeants d’entreprise, des militants des droits de l’homme, des journalistes, des universitaires et des représentants du gouvernement. Emmanuel Macron et son gouvernement notamment. Qui est menacée par ce spyware et que risque-t-on ? Faisons le point, sérieusement, avec Bastien Bobe, Security Sales Engineer Europe du Sud chez Lookout

C'est quoi Pegasus ?

Autrefois considéré comme le logiciel espion mobile le plus avancé au monde, Pegasus peut être déployé sur les terminaux iOS et Android. Depuis sa découverte, le logiciel espion n’a cessé d’évoluer. Ce qui rend Pegasus très sophistiqué, c’est le contrôle qu’il donne à l’acteur malveillant sur le terminal de la victime, les données qu’il peut extraire et son évolution en tant que logiciel ‘zero click’. En effet, sa dernière version est capable d’installer le mouchard sans click ! Pegasus peut extraire des coordonnées GPS très précises, des photos, des fichiers de messagerie et des messages chiffrés à partir d’applications telles que WhatsApp et Signal. Il peut également activer le microphone des terminaux pour écouter des conversations privées ou des appels téléphoniques, et activer la caméra pour enregistrer des vidéos. Et tout cela sas que la personne piratée ne s’en rende compte évidemment !

Des origines troubles

Pendant des années, le groupe NSO a nié que Pegasus était utilisé par des acteurs malveillants. L’entreprise affirme qu’elle ne vend Pegasus qu’à des services de renseignement et des forces de l’ordre dans une quarantaine de pays. NSO soutient également  que les antécédents de tous ses clients en matière de respect des droits de l’homme sont rigoureusement vérifiés. L’assassinat en 2018 du journaliste Jamal Khashoggi a largement semé le doute à ce sujet. Il était couramment admis que le gouvernement saoudien avait espionné Khashoggi en piratant son téléphone portable avec Pegasus

Révélation des cibles potentielles de Pegasus

Dans le cadre d’une enquête conjointe au sein d’une liste piratée de plus de 50 000 numéros de téléphone, 17 organes de presse ont découvert une forte concentration d’individus issus de pays connus pour pratiquer une surveillance active de leurs citoyens. Ces pays sont également connus pour avoir été clients du NSO Group, une société basée en Israël à l’origine du développement de Pegasus et leader reconnu dans l’industrie des logiciels espions non réglementés.
Même si votre numéro de téléphone ne figure pas sur la liste, cette révélation montre que les tablettes et les smartphones ne sont pas à l’abri des cyber attaques et que les logiciels espions ne ciblent pas uniquement les personnes travaillant dans des organisations gouvernementales. Les mobiles sous Android et iOS font désormais partie intégrante de notre vie quotidienne, à la fois professionnelle et personnelle. Ceci veut dire que les cyber attaquants peuvent s’approprier une multitude de données sensibles sur ces appareils, y compris des informations personnelles sensibles et des données d’entreprise exclusives.

Citoyens et gouvernements : tous ciblés

Cette révélation de l’ampleur de l’utilisation du logiciel espion Pegasus devrait tous nous alarmer. La commercialisation des logiciels espions, à l’instar des outils de phishing, met tout le monde en danger. Les terminaux mobiles peuvent accéder aux mêmes données qu’un PC, où qu’ils soient. Cela augmente considérablement la surface d’attaque et le risque pour les organisations. Tout cela parce que les appareils mobiles sont généralement utilisés en dehors du périmètre de sécurité. Cela fait de tout cadre ou employé ayant accès à des données, des recherches technologiques ou des infrastructures sensibles, une cible lucrative pour les cyber criminels. Si les développeurs de systèmes d’exploitation et d’applications mobiles améliorent constamment la sécurité de leurs produits, ces plates-formes deviennent également plus complexes. Ceci veut dire qu’il y aura toujours de la place pour des vulnérabilités à exploiter et pour que des logiciels espions comme Pegasus puissent prospérer.

Attention aux attaques de phishing sur mobile

Même si les choses changent, le phishing sur mobile reste le point d’entrée le plus efficace pour les cyber attaquants. Tout comme les autres logiciels malveillants sur mobile, Pegasus est généralement transmis à ses victimes par un lien de phishing. L’ingénierie sociale est le moyen le plus efficace de transmettre ces liens. Par exemple, Pegasus a été porté à notre attention par un journaliste qui a reçu un lien d’un numéro de téléphone mobile anonyme lui promettant des informations sur un reportage sur les droits de l’homme sur lequel il travaillait.

Rebel logiciel espion

Bien que Pegasus ait évolué vers un modèle de livraison ‘zero touch’ – ce qui signifie que la victime n’a pas besoin d’interagir avec le logiciel espion pour que son terminal soit compromis – le lien hébergeant le logiciel espion doit toujours être reçu par le terminal. Compte tenu du nombre incalculable d’applications iOS et Android dotées d’une fonction de messagerie, cela peut se faire par le biais de SMS, d’e-mails, de médias sociaux, de messageries tierces, de jeux ou même d’applications de rencontres.

*Lookout : société de sécurité informatique privée dont le siège est à San Francisco, en Californie. Elle développe et commercialise des logiciels de sécurité basés sur le cloud pour les appareils mobiles.
**Citizen Lab : CitizenLab est une société de technologie civique basée à Bruxelles qui travaille avec plus de 200 gouvernements locaux dans neuf pays à travers le monde qui vise à numériser la gouvernance et à rendre la prise de décision plus efficace, transparente, collaborative et basée sur les données.