Un clic sur un mail frauduleux, l’insertion d’une clé USB vérolée, la consultation d’un site suspect : l’erreur humaine serait en cause dans 90 % des incidents de sécurité informatique, selon une étude réalisée par IBM. La meilleure solution pour contourner le problème ? La maîtrise de quelques bonnes pratiques, comme celles que détaille ici un hacker israélien.
Mais que faire face à un malware capable de s’infiltrer dans un smartphone en toute discrétion, sans que la victime n’ait commis la moindre erreur ?
Ce modus operandi, c’est celui de Pegasus, un logiciel mis au point par la société israélienne NSO Group, qui utilise la technique dite de l’injection réseau. Celle-ci “permet une redirection automatique et invisible des navigateurs et applications de celui-ci vers des sites malveillants, contrôlés par les auteurs de l’attaque et fort probablement inconnus de la victime”, détaille l’ONG Amnesty International dans un rapport publié lundi 22 juin et repris par 16 médias internationaux.
“Les attaques par injection réseau sont difficiles à détecter, car elles ne s’accompagnent que de très peu d’indices visuels.” Une fois installé, Pegasus peut contrôler le téléphone à distance en accédant à toutes ses données (messages, notes, appels, contacts, historique de navigation…) mais aussi en contrôlant à distance ses applications. Autrement dit, allumer l’appareil photo et le micro d’un smartphone pour voir et entendre à tout moment ce qu’il se passe autour, et où il se trouve.
JOURNALIST UNDER SURVEILLANCE: prosecuted for a tweet, the Moroccan journalist @OmarRADI was reportedly monitored for 1 year thanks to spyware made by the company NSO installed on his mobile phone. Findings from @amnesty shared with @FbdnStories : https://t.co/77RFDKNtHS pic.twitter.com/eG1qlcbew6
— Forbidden Stories (@FbdnStories) June 22, 2020
L’ONG publiait déjà en octobre 2019 un premier rapport sur ce logiciel-espion, utilisé depuis 2017 pour mener des attaques informatiques ciblées contre Maati Monjib et Abdessadak El Bouchattaoui, deux défenseurs des droits humains au Maroc. Le nouveau rapport révèle que le militant et journaliste d’investigation Omar Radi aurait aussi fait l’objet d’une surveillance numérique durant l’année 2019.
Autre victime potentielle de Pegasus : Jeff Bezos, patron de la multinationale Amazon, dont l’iPhone X a été hacké en 2018 à partir d’un fichier vidéo envoyé sur WhatsApp par Saud al Qahtani, un ami du prince héritier saoudien Mohammed bin Salman. Un rapport rédigé par l’entreprise de cybersécurité FTI, et publié par Vice en janvier dernier, suspecte l’implication de “logiciels espions avancés” comme Pegasus ou Galileo, un autre logiciel mis au point par la société italienne Hacking Team.
Une méthode quasi indétectable
La véritable révélation n’est pas tant que des gouvernements autoritaires surveillent les journalistes et militants des droits de l’homme, mais le fait qu’ils puissent désormais le faire sans être détectés.
“Dans le cas d’Omar Radi comme de Maati Monjib, toutes les tentatives se sont produites alors qu’ils utilisaient leur connexion mobile 4G”, explique Amnesty. L’incursion se fait soit grâce à de fausse antenne-relais 4G, qui se font passer pour des antennes-relais légitimes et fournissent une porte d’entrée à Pegasus dès que le smartphone de la cible s’y connecte, soit en infiltrant directement le réseau de son opérateur téléphonique.
Il suffit ensuite que la victime visite un site Internet pour que l’auteur de l’attaque intercepte le signal et détourne son navigateur web vers un site malveillant, d’où le logiciel Pegasus sera téléchargé. Le navigateur redirige ensuite vers le site prévu, rendant l’attaque quasi indétectable.
Dans le cas de Jeff Bezos, les enquêteurs du FTI ont découvert que son iPhone avait commencé à transmettre d’énormes quantités de données après avoir reçu le fichier vidéo suspect, passant d’une moyenne de 430 Ko à une moyenne “inhabituellement élevée” de 100 Mo par jour.
Détournement d’un outil antiterroriste
Mis en cause dans l’affaire Bezos et celle des militants marocains, NSO Group publiait, en septembre, un texte dans lequel elle affirme ne pas travailler avec des clients qui utiliseraient sa technologie de surveillance à des fins abusives.
Certes, la société israélienne a élaboré le logiciel pour des États voulant lutter contre la (cyber)criminalité et le terrorisme. Mais si Pegasus est utilisé dans au moins 45 États, certains sont des pays “ayant (…) des antécédents de comportements abusifs de la part de leurs services de sécurité“, pointe un rapport publié en septembre 2018 par le laboratoire canadien CitizenLab.