Ces derniers jours, des informations sont devenues publiques selon lesquelles au moins neuf employés du Département d’État aux États-Unis se sont fait pirater leur iPhone avec Pegasus, un logiciel utilisé pour espionner les gens du monde entier, principalement via leurs téléphones portables.
Pegasus est un produit qui fait partie de l’industrie effervescente de Spyware et dont la vente n’est pas illégale. Au contraire, son public cible principal sont les entités de sécurité et de défense, telles que les agences de renseignement, les armées et les forces de police, entités ayant pour fonction de faire respecter les lois.
Des organisations comme celles-ci demandent au marché des installations pour recueillir des preuves dans le cyberespace, en particulier des crimes qui ont un grand impact sur la société, comme la pornographie enfantine et le terrorisme.
Mais l’histoire d’internet est fortement marquée par l’abus des bonnes intentions, que ce soit dans la conception des nouvelles technologies, dans son argumentaire commercial ou dans son utilisation. En cybersécurité, aussi abondante que la somme d’argent circulant dans l’industrie est l’ambiguïté dans l’utilisation de ses outils. Pegasus n’est qu’un des nombreux autres produits conçus pour protéger tout en attaquant.
NSO Group, la société israélienne qui a développé Pegasus, est née de la volonté de deux de ses partenaires d’origine, Shalev Hulio et Omri Lavie, de fournir des services d’assistance téléphonique à distance. C’est Niv Carmi, le troisième partenaire, avec une ancienne vie au Mossad – le service de renseignement israélien – qui a indiqué où se trouvait le pot d’or : en piratant les appareils et en vendant l’accès aux gouvernements du monde entier.
L’utilisation de Pegasus a déjà été documentée par des pays comme le Mexique, les Émirats arabes unis, l’Arabie saoudite, le Kazakhstan et Bahreïn, entre autres. Le groupe NSO a même participé à un appel d’offres visant à vendre le Pegasus au Brésil, dans un processus qui, selon le Portail UOL, avait le conseiller de Rio de Janeiro, Carlos Bolsonaro (républicains), agissant comme intermédiaire dans la négociation du produit avec le gouvernement fédéral. Le processus s’est terminé avec l’abandon des négociations par l’entreprise au milieu de désaccords entre le fils “02” du président, l’armée et l’Agence brésilienne de renseignement (ABIN).
Les autorités des pays qui ont acquis Pegasus et sont disposées à commenter l’utilisation de la cyberarme, adoptent des arguments standard, comme le fait qu’elle a été acquise pour lutter contre les trafiquants de drogue, les terroristes ou les pédophiles. Cependant, ce qui a été documenté, c’est l’utilisation de l’outil pour surveiller et persécuter les journalistes, les militants et les opposants aux régimes autoritaires.
À une époque de démocratie en déclin, Pegasus a été une “main dans la roue” pour les régimes qui cherchent à rester au pouvoir. Le cas le plus emblématique concerne le journaliste Jamal Khashoggi, assassiné à la demande du prince saoudien Mohammed bin Salman. Les preuves suggèrent que Khashoggi était surveillé à l’aide de Pegasus, ce qui aurait facilité l’opération qui a abouti à sa mort.
Comment ça fonctionne
Il existe peu d’informations techniques détaillées et à jour sur le fonctionnement de Pegasus. Cependant, un manuel du produit, obtenu et publié en 2019 par la directrice de l’ONG Electronic Frontier Foundation (EFF), Eva Galperin, démontre comment l’outil était dans les versions antérieures à 2019.
Le manuel envisage la perspective de l’opérateur, cette connaissance peut être complétée par des dizaines de rapports du groupe de réflexion Canadian Citizen Lab, dont beaucoup détaillent ce qui se passe sur les téléphones portables des victimes. Autrement dit, la perspective de la cible.
Dans l’ensemble, Pegasus est une plate-forme qui vous permet de lancer des attaques contre les appareils des personnes, qui, en cas de succès, entraînent le contrôle de l’appareil. Autrement dit, l’opérateur Pegasus aurait accès à tout ce qui est stocké sur l’appareil (photos, fichiers, messages, etc.), ainsi qu’à surveiller l’emplacement de la victime, capturer les appels audio et vidéo, collecter tout ce qui est tapé, activer l’écoute du son ambiant et extraire images en activant l’appareil photo. Tout le matériel est envoyé périodiquement et furtivement à ses serveurs.
La manière dont Pegasus mène la première attaque contre la victime peut varier en fonction du système d’exploitation de l’utilisateur (Android, iOS, etc.) et également de l’état de mise à jour de l’appareil.
Les systèmes changent constamment, que ce soit pour intégrer de nouvelles fonctionnalités ou pour corriger des vulnérabilités de sécurité, cela exige que le groupe NSO continue d’adapter Pegasus aux nouveaux développements, en recherchant notamment de nouvelles façons d’attaquer les systèmes dont les vulnérabilités ont été corrigées. Cela peut être fait avec une équipe de recherche et développement interne ou en payant des tiers pour de nouvelles façons de pirater la technologie.
Imaginons qu’un pirate ait découvert une vulnérabilité dans l’iPhone qui est inconnue d’Apple et que cette vulnérabilité soit du type qui permet un contrôle total de l’appareil, sans même que la victime ait à cliquer sur un lien pour être attaquée (l’une des failles les plus difficiles trouver).
Armé de ces connaissances, le pirate a quelques options : il peut utiliser la faille pour mener ses propres attaques ; peut soumettre le problème au programme de primes d’Apple avec une chance de gagner jusqu’à un million de dollars, ainsi que la reconnaissance de la communauté technique et les remerciements des utilisateurs, qui verront leurs appareils réparés ; ou il pourrait vendre des connaissances sur la façon d’exploiter la vulnérabilité jusqu’à deux millions à des entreprises qui utiliseront la tactique pour alimenter des systèmes comme Pegasus. Au fond, tout n’est qu’une question de scrupules.
Il existe aujourd’hui un marché des vulnérabilités en plein essor, dont l’histoire a été récemment documentée par le journaliste cybersécurité de New York TimesNicole Perroth.
Cette industrie fonctionne comme une mine d’or, où une personne avec une pioche peut frapper un rocher et avoir la chance de trouver une pépite, mais il est clair que ceux qui ont des ressources et bien formés sont plus susceptibles de trouver de gros filons d’or et de maîtriser le extraction.
L’ONS en difficulté
Alors que la demande en cyberarmes augmente, NSO Group est actuellement en difficulté.
Une fuite de données de juillet contenant les numéros de téléphone de 50 000 cibles possibles de Pegasus contenait des références à 14 chefs d’État. Parmi eux, le président de la France, Emmanuel Macron. L’incident a créé des complications diplomatiques avec Israël, provoquant un réchauffement de l’atmosphère au sein de l’entreprise.
Ses dirigeants ont tenté de se défendre en utilisant des arguments évasifs, notamment qu’ils ne produisent que l’arme et ne contrôlent pas qui la tire, mais cela n’a convaincu personne au sommet des gouvernements concernés, qui ont perçu en Pegasus un problème typique de grande- armes à l’échelle : sa volatilité peut impacter tout le monde.
L’entreprise a fini par subir un embargo des États-Unis le mois dernier et ne peut aujourd’hui rien acheter d’origine américaine ni vendre à des clients dans le pays. Israël, pour sa part, n’a pas fait grand-chose pour défendre l’entreprise.
Avec les sanctions, les actifs du groupe NSO ont été rétrogradés au statut de toxiques par le marché et l’entreprise est désormais menacée d’insolvabilité, car elle accumule une dette de 500 millions de dollars, résultat d’une gestion financière basée sur une faible liquidité et un fort effet de levier. .
Lors d’un changement de direction, le PDG d’origine du groupe NSO, Shalev Hulio, a rejoint le conseil d’administration et a embauché Isaac Benbenisti, un responsable du marché, pour gérer les activités quotidiennes à sa place. Avec l’embargo, Benbenisti a quitté ses fonctions sans avoir terminé même deux semaines à ce poste.
Les militants de la vie privée ont de quoi se réjouir de ce revers, mais malheureusement ce n’est pas grand-chose. Premièrement, parce que le marché des Spyware il restera ferme avec une éventuelle fermeture du groupe NSO et même si la société se désintègre, il est très important d’être conscient du sort de Pegasus, qui peut continuer à être aussi néfaste qu’il l’est aujourd’hui entre les mains d’une autre société.
Il est difficile de se défendre contre des entreprises avec une telle puissance de feu et qui s’adaptent en fonction des conditions de la cible. Une victime de Pegasus, par exemple, la journaliste mexicaine Carmen Aristegui, a réussi à esquiver les attaques pendant un an, jusqu’à ce que, selon un rapport du Citizen Lab, les opérateurs de cyberarmes attaquent son fils, Emilio, mineur à l’époque, pour atteindre la mère.
Les professionnels de la sécurité sont souvent recherchés pour un produit ou une recette qui empêchera toutes les attaques. Malheureusement, il n’existe pas. Comme la sécurité des personnes et des biens, la cybersécurité est une activité permanente, qui exige des changements dans le comportement d’utilisation de la technologie et une mise à jour constante. Il existe de nombreux guides à cet effet. A mon avis l’un des meilleurs est le EFF, disponible ici.
