Un seul clic sur un lien envoyé par le Prince saoudien Mohammed bin Salman sur WhatsApp aurait suffi. L’iPhone X du patron d’Amazon Jeff Bezos serait ensuite devenu une porte ouverte aux services secrets saoudiens. Voici la principale théorie des enquêteurs de l’ONU, basée sur un rapport technique effectué par l’entreprise de cybersécurité FTI, rendu public par Vice.
Ce rapport d’expertise a été rédigé à la suite de la publication de neuf SMS personnels du milliardaire par le tabloïd National Enquirer, qui ont permis de révéler l’existence de sa relation extra-conjugale. Forcément, Jeff Bezos a voulu savoir comment ces messages s’étaient échappés de son smartphone.
Si l’opération dont le milliardaire a été la cible revêt un caractère exceptionnel, elle rappelle que personne n’est à l’abri d’un hacking. Pas même un des hommes les plus puissants du monde ; car en cybersécurité, le risque zéro n’existe pas. En revanche, même si des assaillants pourraient utiliser contre vous les mêmes ficelles qui ont servi à hacker le téléphone du patron d’Amazon, ils n’utiliseraient vraisemblablement pas un logiciel espion aussi élaboré.
Un hack hors de prix
Le rapport du FTI conclut que le smartphone de Jeff Bezos a été infecté par un logiciel espion de pointe. Les experts suspectent deux outils connus : Pegasus-3, développé par la société israélienne NSO Group, ainsi que Galileo, vendu par les Italiens de Hacking Team. La piste Pegasus est privilégiée, car il aurait déjà été utilisé par l’État saoudien, tandis que l’implication passée d’un proche du prince dans le capital de Hacking Team mène à la piste Galileo. Mais les experts envisagent tous les scénarios, jusqu’à l’existence d’un logiciel inconnu. Dans tous les cas, il s’agit d’un outil informatique extrêmement cher.
Par exemple, Pegasus a construit sa réputation sur sa capacité à outrepasser les défenses de l’iPhone. Dans une précédente version du logiciel israélien, ses créateurs se vantaient de sa facilité de mise en place. Il suffisait de passer un appel sans que la victime ne décroche pour déployer l’outil d’espionnage. La version potentiellement utilisée contre Jeff Bezos requiert quant à elle une simple action (un clic) de la part de la cible. Ensuite, la prise de contrôle est discrète, mais totale. Le hacker peut activer le micro ou la caméra de l’appareil, fouiller dans les SMS et les boîtes email, extraire la position GPS, accéder aux détails techniques du smartphone… En bref : Pegasus ouvre un véritable puits d’extraction de données, sans que l’utilisateur ne s’en doute.
Plus de 360 000 dollars par personne espionnée avec Pegasus
Le groupe israélien vendrait son logiciel dans plus de 45 pays, d’après le laboratoire de recherche canadien Citizen Lab. Dans ses actions marketing, NSO présente un usage vertueux de Pegasus : il servirait à la lutte antiterroriste, au démantèlement de cartels de drogue et au sauvetage d’enfants… Mais il est principalement mentionné dans des affaires de surveillance de journalistes ou d’activistes.
Le Financial Times dévoilait dans un article de mai 2019 que NSO réalisait la moitié de ses 251 millions de dollars de chiffre d’affaires au Moyen-Orient. Un ancien commercial de l’entreprise estimait que le gouvernement saoudien payait, en 2017, 55 millions de dollars pour suivre simultanément les smartphones de 150 cibles. Soit plus de 366 000 dollars par tête. En 2014, le gouvernement mexicain déboursait quant à lui 32 millions pour exploiter la précédente version du logiciel.
Autant dire qu’à un tel prix, ce genre de logiciel n’est pas utilisé contre des citoyens lambda. En revanche, des gouvernements ou des organisations de grande ampleur peuvent se l’offrir. Car si l’objectif est de déstabiliser un des hommes les plus puissants du monde, comme Jeff Bezos, le retour sur investissement peut être intéressant.
Jeff Bezos aurait fait 2 erreurs que vous pouvez faire
D’après le rapport de FTI, le patron d’Amazon a commis deux erreurs qui lui ont coûté cher. Première erreur : le milliardaire a cliqué sur un lien vidéo envoyé par le Prince saoudien Mohammed bin Salman. Pourtant, faire attention aux liens sur lesquels on clique fait partie du b.a.-ba de la cybersécurité. C’est ainsi que se déploie la majeure partie des malwares, car l’action de l’utilisateur leur donne un accès suffisant pour s’infiltrer.
Les malwares zéro-clic, qui peuvent infecter l’appareil sans action de la victime, existent, mais ils sont moins faciles à développer et donc moins nombreux. Jeff Bezos a probablement baissé sa garde, car le message infecté provenait d’une connaissance, qui a en plus une image publique à entretenir. À l’époque, en mai 2018, les relations entre les deux hommes paraissent cordiales, et se traduisent en affaires. Le rapport n’offre cependant pas plus de précisions sur le contexte de l’envoi du message.
Deuxième erreur du milliardaire : il n’avait pas parfaitement paramétré WhatsApp. Par défaut, l’application télécharge automatiquement les fichiers vidéos quand l’utilisateur clique dessus. C’est ainsi qu’il a automatiquement téléchargé le logiciel espion en un seul clic.
Ces deux petits manques d’hygiène numérique pourraient être exploités pour des hacks de moindre envergure, qui viseraient les utilisateurs de smartphone lambda. Mais en surveillant ces deux points, vous réduirez un peu les risques de vous faire infecter par un malware.
La faille prétendument exploitée a été réparée
Si le rapport a cerné le problème, et que Jeff Bezos a bien été infecté par Pegasus-3, les potentiels hackers ne pourront plus vous viser en passant par la même faille. WhatsApp l’a réparée dans un patch de sécurité en mai 2019. En revanche, nul doute que NSO Group recherche ou a déjà trouvé d’autres moyens de déployer son logiciel espion. Conscient des soupçons autour de son outil, l’entreprise a néanmoins publié un communiqué, titré NSO Group est choqué et horrifié par l’histoire qui a été publiée au sujet du prétendu hacking du téléphone de Jeff Bezos.
« Comme nous l’avons déclaré quand ces histoires ont émergé il y a quelques mois, nous pouvons dire sans équivoque que notre technologie n’a pas été utilisée dans cette affaire », se défend l’entreprise.
Le rapport du FTI a convaincu les deux experts indépendants de l’ONU en charge de l’enquête. Mais il récolte des critiques sur sa méthodologie de la part d’une partie des chercheurs en cybersécurité.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !