Pegasus a encore frappé. Au moins quatre organisations criminelles, à la solde de différents gouvernements du Moyen-Orient, se sont servies de ce puissant spyware (ou logiciel espion) pour espionner les iPhone d’employés de la chaîne de télévision Al Jazeera. Accès au micro, à l’écran, à certaines conversations chiffrées… une fois sur l’appareil, Pegasus s’avère être un puissant mouchard. D’après le laboratoire de recherche canadien Citizen Lab qui a identifié l’opération, les malfaiteurs ont ciblé des journalistes stars de la chaîne, mais aussi des producteurs et des dirigeants. Parmi les attaquants, le Citizen Lab a identifié « Monarchy » qu’il affilie à l’Arabie Saoudite, et « Sneaky Kestrel », qui œuvrerait pour le compte des Émirats arabes unis.
Mais l’attaque ne se serait pas forcément limitée au Moyen-Orient, et le Citizen Lab s’inquiète de sa portée : « étant donné la répartition mondiale des clients de NSO Group [l’éditeur de Pegasus, ndlr] et la vulnérabilité apparente de tous les iPhone avant la mise à jour iOS 14, nous suspectons que les infections que nous avons observées ne sont qu’une minuscule fraction du total des attaques qui ont exploité cette faille. »
Le Citizen Lab a partagé les détails techniques de sa recherche avec Apple, qui a ouvert une enquête;
Zéro-clic, 100% de réussite
Pour installer le logiciel espion, les hackers ont utilisé une vulnérabilité inconnue jusqu’ici, logée dans iMessage. Cette application de messagerie entre iPhone est installée par défaut sur tous les smartphones d’Apple. Elle permet notamment d’avoir une conversation chiffrée de bout en bout (à l’instar de WhatsApp et Signal), un des meilleurs standards de sécurité grand public. Toute personne qui intercepterait la conversation entre l’appareil de l’émetteur et celui du destinataire ne pourrait pas lire son contenu. Mais cette garantie de sécurité n’empêche pas l’application de servir de point d’entrée à certains malfaiteurs. WhatsApp qui propose le même chiffrement, en avait également fait les frais.
Mais ce n’est pas tout : non seulement la vulnérabilité exploitée par les cybercriminels était une « zero day », c’est-à-dire que personne ne la connaissait avant, mais en plus, c’était une « zéro-clic ». Plus précisément, la zéro-clic était un des maillons d’une chaîne d’attaque complexe baptisée « Kismet » par le Citizen Lab.
Les zéro-clic sont les cyberattaques les plus dangereuses, puisqu’elles ne demandent même pas un faux pas des victimes, contrairement aux cyberattaques classiques. Généralement, les malfaiteurs sont contraints de faire appel à des phishings et autres subterfuges complexes. Leur objectif : piéger leurs victimes, afin qu’elles valident le téléchargement d’un logiciel malveillant ou communiquent des identifiants confidentiels.
Cette complexité de mise en place réduit forcément leurs chances de réussite, puisque la cible aura plusieurs opportunités de déceler la manipulation. Avec une zéro clic, les attaquants se débarrassent des risques de ratés. Et puisque dans le cas révélé par le Citizen Lab, l’attaque est aussi une zéro day, elle n’a en théorie aucune parade. On parle donc d’une attaque à 100 % de réussite.
Pour contrer l’attaque, il suffit de mettre à jour vers iOS 14
Exploitée entre juillet et août 2020, la faille a été réparée avec la mise à jour iOS 14, d’après les chercheurs. Elle fonctionnait encore cependant sur le dernier patch de iOS 13, 5.1, et sur le dernier modèle d’iPhone, le 11.Pour contrer l’attaque — même si elle ne vise a priori pas le grand public –, il suffit de mettre à jour son iPhone avec iOS 14, si ce n’est pas déjà fait.
Le logiciel Pegasus, édité par l’entreprise israélienne NSO Group fait régulièrement parler de lui. Célèbre pour son implication dans le meurtre du journaliste Jamal Khashoggi, il est utilisé par plusieurs pays réputés pour leur politique répressive. L’entreprise avance que son outil ne sert qu’à contrer les menaces, notamment terroristes, et nie en bloc son implication dans les affaires d’espionnage de journalistes, activistes et autres dirigeants.
En 2019, NSO Group avait déjà créé une attaque proche d’une zéro-clic, cette fois contre WhatsApp : il suffisait de passer un appel manqué à la victime pour le déployer. Mais elle laissait une trace, celle de l’appel manqué, que pouvait remonter l’entreprise. Dans le cas de Kismet, la victime pourrait ne rien remarquer d’inquiétant sur son iPhone. Une année auparavant, NSO Group s’était déjà illustré avec la démonstration d’une zéro-clic contre un iPhone.
Si le Citizen Lab a découvert l’attaque, c’est parce que Tamer Almisshal, un enquêteur d’Al Jazeera, inquiet d’un éventuel piratage, a installé une application créée sur mesure par les chercheurs pour surveiller les metadonnées de son trafic internet. Ces derniers ont ainsi pu constater que le smartphone du journaliste est allé sur un des serveurs d’installation de Pegasus, tenu par le NSO Group. En remontant les traces, le Citizen Lab a identifié que les hackers avaient abusé d’un sous-domaine de iCloud. Autrement dit, qu’ils étaient passés par les serveurs d’Apple, pour télécharger certaines pièces de l’installateur de Pegasus.
Le spyware revient sans cesse plus fort, et les chercheurs s’inquiète à juste titre de sa montée en complexité. Sans une surveillance en temps réel de l’iPhone de la victime, peut-être que l’attaque n’aurait jamais été découverte…
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !