/world
Navigation

Pegasus, le cyberespion en perpétuelle recherche de failles

Pegasus, le cyberespion en perpétuelle recherche de failles
AFP

Coup d'oeil sur cet article

PARIS, France | Le logiciel Pegasus de la société israélienne NSO, accusé d’avoir servi à espionner des militants, des journalistes et des opposants du monde entier, est un système très sophistiqué qui exploite en permanence de nouvelles vulnérabilités dans les téléphones intelligents.

• À lire aussi — La justice américaine ne pourra plus forcer les médias à révéler leurs sources

• À lire aussi - Espionnage de journalistes: le gouvernement français dénonce des «faits extrêmement choquants»

Comment fonctionne le logiciel espion de NSO? 

Pegasus, une fois introduit dans le téléphone intelligent, exporte les données de celui-ci (courriers électroniques, contenu des messageries comme WhatsApp ou Signal, Photo...) vers des sites internet mis en place par NSO ou ses clients, et constamment renouvelés pour échapper à la détection. 

C’est «comme si vous remettiez votre téléphone entre les mains de quelqu’un d’autre», souligne Alan Woodward, professeur en cybersécurité à l’université du Surrey.

Ces communications secrètes ne sont pas visibles par l’utilisateur. Et il est extrêmement difficile d’en retrouver la trace sur des téléphones intelligents Android, raison pour laquelle l’enquête d’Amnesty International, à l’origine des révélations, se concentre sur les téléphones intelligents d’Apple.

Comment le code malveillant est-il introduit sur le téléphone intelligent de la victime? Dans son histoire, déjà longue et bien documentée, notamment par Amnesty, NSO a utilisé des SMS piégés, des bogues dans WhatsApp, iMessage, Apple Music... 

Au début, un geste de l’utilisateur était requis pour déclencher l’injection du code piégé: cliquer sur un lien, par exemple.

Mais les dernières attaques n’avaient plus besoin d’un geste actif du propriétaire du téléphone intelligent pour réussir. 

Comment NSO trouve-t-elle des failles pour introduire son logiciel? Eh bien, c’est la capacité de NSO à trouver sans relâche de nouvelles portes d’entrée dans les téléphones intelligents et à les exploiter qui fait son savoir-faire.

NSO est une grosse entreprise (un millier d’employés), qui a recruté des pirates d’élite pour rechercher elle-même les failles. 

Selon les experts, elle a aussi certainement recours au «marché gris», sur lequel des chercheurs en cybersécurité au comportement plus ou moins éthique monnayent les failles qu’ils ont trouvées. Les attaquants (qu’il s’agisse d’États, de sociétés privées comme NSO, ou de criminels) payent toujours beaucoup plus que les éditeurs de logiciels pour chaque vulnérabilité découverte. 

Les failles les plus prisées sont les zero days, les failles que personne n’a encore détectées et qui sont donc imparables.

Selon Bastien Bote, directeur technique pour l’Europe du Sud de Lookout, éditeur d’un logiciel de protection des téléphones intelligents, les zero days les plus performants peuvent se monnayer pour plus de deux millions de dollars pour iOS (le système d’exploitation des téléphones intelligents Apple), et pour 2,5 millions de dollars pour Android. Pour des applications comme WhatsApp ou iMessage, la valeur peut atteindre 1,5 million de dollars.

Peut-on se protéger contre ces logiciels espions? Oui et non. 

Certaines précautions simples permettent de limiter les risques, comme tout simplement éteindre son téléphone intelligent au moins une fois par jour: ce simple geste peut suffire à contrecarrer le fonctionnement de bon nombre de programmes-espions.

Ou encore, mettre à jour les logiciels de son téléphone intelligent. Dans le cas contraire, souligne M. Woodward, «certaines des anciennes failles qu’Apple a réparées et que Google a réparées sur Android peuvent toujours être là».

Le marché offre également des solutions de protection des téléphones intelligents, mais celles-ci sont encore peu utilisées, car «les gens se sentent plus en confiance sur leur mobile que sur leur PC», regrette Bastien Bote.

Mais le spécialiste reconnaît aussi qu’il n’est pas possible de garantir une protection totale: «Si quelqu’un veut cibler un téléphone intelligent bien particulier, et qu'il s’en donne les moyens» (qu’il chiffre à «sept ou huit chiffres», donc des millions ou des dizaines de millions de dollars), «il y arrivera».

Pour les personnes gérant des informations très délicates, il peut être utile d’utiliser un appareil non relié à internet — un vieux téléphone portable, ou un téléphone intelligent dont l’accès aux données est coupé.