Révélation des cibles potentielles de Pegasus

Dans le cadre d'une enquête conjointe au sein d’une liste piratée de plus de 50 000 numéros de téléphone, 17 organes de presse ont découvert une forte concentration d'individus issus de pays connus pour pratiquer une surveillance active de leurs citoyens. Ces pays sont également connus pour avoir été clients du NSO Group, une société basée en Israël à l'origine du développement de Pegasus et leader reconnu dans l’industrie des logiciels espions non réglementés.

Même si votre numéro de téléphone ne figure pas sur la liste, cette révélation montre que les tablettes et les smartphones ne sont pas à l'abri des cyber attaques et que les logiciels espions ne ciblent pas uniquement les personnes travaillant dans des organisations gouvernementales.

Les mobiles sous Android et iOS font désormais partie intégrante de notre vie quotidienne, à la fois professionnelle et personnelle. Ceci veut dire que les cyber attaquants peuvent s’approprier une multitude de données sensibles sur ces appareils, y compris des informations personnelles sensibles et des données d'entreprise exclusives.

Qu'est-ce que Pegasus ?

Autrefois considéré comme le logiciel espion mobile le plus avancé au monde, Pegasus peut être déployé sur les terminaux iOS et Android. Depuis sa découverte, le logiciel espion n'a cessé d'évoluer. Ce qui rend Pegasus très sophistiqué, c'est le contrôle qu'il donne à l'acteur malveillant sur le terminal de la victime, les données qu'il peut extraire et son évolution en tant que logiciel ‘zero click’.

Pegasus peut extraire des coordonnées GPS très précises, des photos, des fichiers de messagerie et des messages chiffrés à partir d'applications telles que WhatsApp et Signal. Il peut également activer le microphone des terminaux pour écouter des conversations privées ou des appels téléphoniques, et activer la caméra pour enregistrer des vidéos.

Pendant des années, le groupe NSO a nié que Pegasus était utilisé par des acteurs malveillants. L'entreprise affirme qu'elle ne vend Pegasus qu'à des services de renseignement et des forces de l’ordre dans une quarantaine de pays et que les antécédents de tous ses clients en matière de respect des droits de l’homme sont rigoureusement vérifiés.

L'assassinat en 2018 du journaliste Jamal Khashoggi a largement semé le doute à ce sujet, car il était couramment admis que le gouvernement saoudien avait espionné Khashoggi en piratant son téléphone portable avec Pegasus.

Les citoyens comme les gouvernements doivent s'inquiéter

Cette révélation de l'ampleur de l'utilisation du logiciel espion Pegasus devrait alarmer tous les citoyens, et pas seulement les entités gouvernementales. La commercialisation des logiciels espions, à l'instar des outils de phishing, met tout le monde en danger.

Les terminaux mobiles peuvent accéder aux mêmes données qu'un PC, où qu'ils soient. Cela augmente considérablement la surface d'attaque et le risque pour les organisations, car les appareils mobiles sont généralement utilisés en dehors du périmètre de sécurité. Cela fait de tout cadre ou employé ayant accès à des données, des recherches technologiques ou des infrastructures sensibles, une cible lucrative pour les cyber criminels.

Si les développeurs de systèmes d'exploitation et d'applications mobiles améliorent constamment la sécurité de leurs produits, ces plates-formes deviennent également plus complexes. Ceci veut dire qu'il y aura toujours de la place pour des vulnérabilités à exploiter et pour que des logiciels espions comme Pegasus puissent prospérer.

Les attaques de phishing sur mobile demeurent à la racine du problème

Même si les choses changent, le phishing sur mobile reste le point d’entrée le plus efficace pour les cyber attaquants. Tout comme les autres logiciels malveillants sur mobile, Pegasus est généralement transmis à ses victimes par un lien de phishing. L'ingénierie sociale est le moyen le plus efficace de transmettre ces liens.

Par exemple, Pegasus a été porté à notre attention par un journaliste qui a reçu un lien d'un numéro de téléphone mobile anonyme lui promettant des informations sur un reportage sur les droits de l'homme sur lequel il travaillait.

Bien que Pegasus ait évolué vers un modèle de livraison ‘zero touch’ - ce qui signifie que la victime n'a pas besoin d'interagir avec le logiciel espion pour que son terminal soit compromis - le lien hébergeant le logiciel espion doit toujours être reçu par le terminal. Compte tenu du nombre incalculable d'applications iOS et Android dotées d'une fonction de messagerie, cela peut se faire par le biais de SMS, d'e-mails, de médias sociaux, de messageries tierces, de jeux ou même d'applications de rencontres.

Par Bastien Bobe, Security Sales Engineer Europe du Sud chez Lookout