Parce qu’on n’est jamais trop prudent, vous avez installé sur votre Smartphone Android ou iPhone des applications de messagerie sécurisées. Vous pensiez cela suffisant pour garantir la confidentialité de votre vie privée ? Le scandale de la surveillance de journalistes et militants par le logiciel espion Pegasus rappelle que ce n’est pas forcément le cas.
Grâce à une fuite, le réseau de journalistes Forbidden Stories a en effet eu accès à 50 000 numéros de téléphones ciblés par ce spyware. Dont 180 journalistes de vingt pays.
Pegasus, utilisé par 40 États dans le monde, est l’un des produits phares de NSO Group. Une société israélienne spécialisée dans le renseignement cyber.
En analysant 67 Smartphones ciblés, le laboratoire de sécurité informatique d’Amnesty international a réussi à comprendre comment Pegasus s’incruste en toute discrétion sur nos téléphones portables.
Que peut faire Pegasus ?
Si, au départ, ce logiciel espion nécessitait une action de la part de la victime, comme cliquer sur un lien vérolé envoyé par SMS, les chercheurs d’Amnesty international ont observé un changement majeur depuis 2018. Désormais, Pegasus s’infiltre sans avoir besoin d’interaction avec la cible.
Comment ? Le cheval de Troie exploite des failles informatiques d’applications. Des “zéro days”, ces très onéreuses vulnérabilités informatiques non connues des éditeurs. Ou attaque par injection réseau, un piratage invisible particulièrement sophistiqué. Par exemple en aiguillant la cible à son insu lors de sa navigation web vers un faux site piégé qui va diffuser le maliciel.
“Une fois installé, Pegasus peut à peu près tout faire, car il s’installe au plus haut niveau de privilèges du Smartphone, analyse Étienne Maymier, technologiste à Amnesty international. Il peut donc vous écouter, lire vos messages. Y compris dans les applications sécurisées, déclencher votre micro. Ou vous géolocaliser.”
« Il peut vous écouter, lire vos messages, y compris dans les applications sécurisées, déclencher votre micro, ou vous géolocaliser.”
Qui est menacé ?
Cependant, il y a peu de chance que vous soyez directement concerné. “Les outils de NSO Group ne ciblent pas tout le monde, mais plutôt des avocats, des journalistes ou des militants qui posent problème à des États », ajoute ce spécialiste de la sécurité informatique.
Amnesty international estime ainsi que Pegasus a été utilisé pour cibler la famille du journaliste Jamal Khashoggi, assassiné en 2018. Une affirmation démentie par la sulfureuse firme. Cette utilisation repose, pour l’association de défense des droits humains, la question de l’encadrement international de cette industrie de la cybersurveillance.
L’entreprise israélienne, qui a dénoncé les “fausses allégations” et les “hypothèses erronées” de Forbidden Stories, assure pourtant que son logiciel est destiné à lutter contre le terrorisme ou la criminalité organisée. Sans convaincre.
« Quand vous cherchez une zéro day sur le dernier iPhone, c’est rarement pour attaquer le téléphone du dealer du coin ou un terroriste qui est déjà très vigilant sur ses moyens de communication”, pointe Baptiste Robert, un hacker éthique.
À lire aussi : Cybercrime : qui attaque l’informatique des hôpitaux français ?
Comment contrer Pegasus ?
Si ce type de logiciel de surveillance n’a rien de nouveau, la sensibilité des failles exploitées et les cibles visées donnent à cette affaire d’espionnage une autre dimension. “NSO propose de manière décomplexée des outils d’intrusion très puissants. Leur recherche et développement sur ce créneau très demandé est probablement comparable à celle d’États de premier rang”, analyse Renaud Feil, le président de Synacktiv, une société française spécialisée dans la sécurité informatique offensive.
Une firme tellement en pointe qu’il y a malheureusement peu de choses à faire pour contrer sa surveillance. “Pour les cibles de Pegasus, nous sommes malheureusement un peu démunis. La plupart des recommandations que nous faisons d’habitude ne s’appliquent pas contre ce spyware”, regrette Étienne Maymier. Quelques palliatifs existent : utiliser un réseau privé virtuel, désactiver iMessage, l’application d’iPhone jugée peu sécurisée. Ou encore cloisonner fortement ses activités, par exemple en utilisant un téléphone jetable dédié aux conversations avec une tierce personne.
Et si vous ne pensez pas être ciblé par ce logiciel espion sophistiqué, le respect de quelques règles d’hygiène numérique sera de toutes façons un bon début. Mettre à jour vos applications, utiliser des messageries sécurisées et l’authentification à double facteur permettent déjà d’éviter de mauvaises surprises.
À lire aussi : Cybersécurité : ils piègent tous les malwares du monde
