Rechercher
Une femme israélienne utilise son téléphone devant un bâtiment à Herzliya qui héberge la société de renseignement du groupe NSO, le 28 août 2016. (Jack Guez/AFP/Fichier)
Une femme israélienne utilise son téléphone devant un bâtiment à Herzliya qui héberge la société de renseignement du groupe NSO, le 28 août 2016. (Jack Guez/AFP/Fichier)

Les experts parlent de Pegasus, cette arme « contre laquelle il n’y a pas de défense »

Les prouesses du NSO Group sont « incroyables » et « terrifiantes », selon les analystes ; les victimes du logiciel sont « passives », « sans aucun contrôle »

Ricky Ben-David est journaliste au Times of Israël

La technologie de logiciel-espion qui a été développée par le NSO offre une cyber-arme « contre laquelle il n’y a pas de défense » et elle s’apparente à « un travail formidable du point de vue de l’ingénierie », ont déclaré des experts en cyber-sécurité et des chercheurs, cette semaine.

Le logiciel-phare de la firme privée israélienne, Pegasus, est considéré comme l’un des outils de cyber-surveillance les plus puissants sur le marché, donnant la capacité à son utilisateur de prendre le contrôle du téléphone d’une cible, de télécharger toutes les données figurant dans son appareil et d’activer sa caméra ou son micro à distance sans que le propriétaire du téléphone en soit conscient. La firme israélienne, de son côté, a fait les gros titres une fois encore, ces dernières semaines, sur fond de révélations sur l’usage préjudiciable qui a été fait de son logiciel et sur les conséquences dramatiques de cette utilisation abusive.

Les chercheurs en cyber-sécurité Ian Beer et Samuel Groß, commentant la prouesse technique que représente le logiciel, déclarent que NS0 a développé des capacités utilisant « l’un des exploits technologiques les plus sophistiqués de toute l’Histoire », ajoutant qu’eux-mêmes avaient pensé qu’un tel outil « ne serait accessible qu’à quelques rares États-nations ».

Beer et Groß sont spécialistes en sécurité informatique au sein de Google Project Zero, l’équipe d’analystes employés par l’entreprise pour déceler les vulnérabilités zero-day, les potentielles brèches, dans les logiciels, qui peuvent ne pas avoir été identifiées par les développeurs et qui n’ont pas été corrigées. Ces défaillances en termes de sécurité sont susceptibles d’être exploitées par les pirates au cours d’une cyber-attaque.

Logo de la multinationale américaine Google (AFP PHOTO / LOIC VENANCE)

Leur analyse a porté spécifiquement sur les capacités de NSO concernant les iPhones – Apple a par ailleurs porté plainte contre cette entreprise basée à Herzliya. Mais le NSO Groupe a également des capacités dites « zéro-clic » qui peuvent aussi s’en prendre aux appareils de type Android, expliquent les chercheurs.

NSO a offert à ses clients une « technologie d’exploit zéro clic » où les cibles, mêmes celles dont la sécurité était assurée techniquement, ignoraient absolument qu’elles étaient visées, disent Beer et Groß. Pegasus est ainsi « une arme contre laquelle il n’y a aucune défense possible », ajoutent-ils.

« Dans un scénario zéro-clic, aucune interaction d’utilisateur est nécessaire – ce qui signifie que le pirate n’a même pas besoin d’envoyer des messages de hameçonnage, l’outil se contente de travailler en silence à l’arrière-plan », écrivent Beer et Groß.

La brèche sécuritaire a lieu au moment où une cible reçoit un texto, qu’elle le lise ou non – un exploit « vraiment incroyable et, en même temps, réellement terrifiant », selon Beer et Groß.

Un logo orne un mur sur une branche de la société israélienne NSO Group, près de la ville de Sapir, dans le sud d’Israël, le 24 août 2021. (Crédit : AP/Sebastian Scheiner)

Avec cet exploit zéro-clic initial, « l’utilisateur est totalement passif : cliquer sur quoi que ce soit n’est pas nécessaire, l’usager n’a aucun contrôle sur ce qui se passe », explique Gili Moller, manager général en Israël de la multinationale de cybersécurité Acronis, dont le siège se trouve en Suisse. La compagnie a récemment ouvert un centre d’innovation au sein de l’État juif – l’industrie locale en termes d’innovation est arrivée dans les trois premiers du classement mondial en termes des investissements technologiques, cette année.

Moller déclare cette semaine au Times of Israel que le logiciel, tel que NSO l’a développé, est « un travail formidable en matière d’ingénierie ». La faille est liée à la manière dont Apple traite (ou analyse) les GIF – ces petites images animées populaires sur les réseaux sociaux et dans la culture des memes – envoyés et reçus par le biais d’iMessage, la plateforme de messagerie originale des iPhones.

NSO a utilisé une faille à travers à un « faux GIF », le déguisant à partir d’un vrai fichier PDF et injectant ainsi le code permettant d’utiliser la brèche présentée dans le téléphone cellulaire de la cible visée.

Les développeurs, chez Apple, avaient initialement utilisé un code d’analyse des PDF qui avait été écrit par Xerox, une pratique très commune, continue Moller. Le logiciel-espion de Pegasus, pour sa part, est parvenu à « cacher un code au niveau du pixel – ce qui faisait que lors de la réception du texto, le code s’activait et la partie était terminée, en quelque sorte ».

Le logiciel d’espionnage Pegasus (capture d’écran YouTube – The Guardian)

« Ça ressemble un peu à de la science-fiction. La cible n’avait rien fait – elle avait simplement reçu un message et l’attaquant prenait alors le contrôle total de son téléphone », note Moller.

Déceler de telles vulnérabilités est très difficile et implique un travail long et laborieux, ajoute-t-il.

Le logiciel, affirme de son côté Gabriel Avner, consultant en sécurité, commet une attaque « intelligente, rondement menée » qui « sape toutes les précautions qui peuvent être prises par ailleurs ».

« Cela fait des années que les experts en sécurité disent et répètent qu’il ne faut pas cliquer sur des liens suspects même s’ils sont envoyés par des connaissances, et voilà qu’est arrivé NSO » avec son exploit sans clic, dit Avner au Times of Israel.

Un logo orne un mur sur une succursale de la société israélienne NSO Group, près de la ville de Sapir, dans le sud d’Israël, le 24 août 2021. (Crédit : AP/Sebastian Scheiner)

La compagnie israélienne avait, dans le passé, utilisé des exploits dits « à un clic » – où les cibles devaient cliquer sur un lien dans le cadre d’une attaque de type phishing pour activer le logiciel-espion Pegasus et contrôler les fonctions d’un téléphone.

John Scott-Railton, éminent chercheur au sein de Citizen Lab, un groupe de veille à but non-lucratif qui se consacre à la cyber-sécurité et dont le siège se trouve à Toronto, a écrit sur Twitter, cette semaine, que l’analyse faite par Google avait prouvé « le niveau énorme de sophistication » et « la dangerosité » du logiciel-espion.

« Ce degré de capacité n’avait jusqu’à présent été observé que dans les cyber-puissances de premier plan. Cela fait froid dans le dos, », a-t-il écrit.

Un torrent de critiques

Cela fait plusieurs années que Citizen Lab enquête sur NSO et sur d’autres firmes de cybersurveillance, traquant certaines de leurs technologies dans le monde entier.

La plateforme de « Violence numérique : Comment le NSO Group permet le terrorisme d’État » qui détaille les opérations de la firme israélienne du NSO Group dans le cadre d’une enquête révélée en juillet 2021 par Amnesty International et Citizen Lab. (Autorisation)

Mais cet été, Citizen Lab et Amnesty International avaient dévoilé des investigations en profondeur qui avaient révélé que le logiciel Pegasus avait été utilisé par de nombreux pays connus pour leurs violations faites aux droits de l’Homme pour pirater les téléphones de milliers d’activistes des droits de l’Homme, de journalistes et de politiciens, de l’Arabie saoudite au Mexique.

NSO a essuyé un torrent de critiques, dans le monde entier, face à ces accusations. Le problème a eu des répercussions diplomatiques, un grand nombre de pays alliés de l’État juif, comme la France, ayant demandé des comptes après la révélation que le logiciel était utilisé dans leurs pays.

Puis, début novembre, le département américain du Commerce a placé NSO sur liste noire, restreignant les liens de l’entreprise avec les compagnies américaines parce que la firme aurait « permis à des gouvernements étrangers de mener des campagnes de répression transnationales ». Candiru, une autre entreprise israélienne, a elle aussi été mise sur liste noire.

Une initiative qui aurait joué un rôle dans la décision finalement prise par Israël de revoir à la baisse, de manière spectaculaire, le nombre de pays auxquels les firmes locales peuvent dorénavant vendre des cyber-technologies, ainsi que la dans la mise en place de nouvelles restrictions sur l’exportation de ce type de produits. Le ministère de la Défense est dans l’obligation préalable d’autoriser la commercialisation à l’étranger des produits développés par les compagnies fabriquant des logiciels-espions.

Des gens tiennent des affiches représentant le journaliste saoudien Jamal Khashoggi et allument des bougies lors d’un rassemblement devant le consulat d’Arabie saoudite à Istanbul, le 25 octobre 2018. (Crédit : Yasin Akgul / AFP)

Les accusations n’ont pourtant pas cessé. Encore cette semaine, le Washington Post a fait savoir que Pegasus avait été installé sur le téléphone de l’épouse du journaliste saoudien Jamal Khashoggi quelques mois avant son meurtre au consulat d’Arabie saoudite à Istanbul, en 2018. Il aurait aussi été utilisé pour espionner des politiciens polonais de l’opposition et un activiste indien.

La firme israélienne, pour sa part, a nié de manière répétée que son logiciel ait pu être utilisé pour viser Khashoggi ou ses proches, insistant sur le fait que l’usage de ses produits ne devait intervenir que dans le cadre précis de la lutte contre le crime et contre le terrorisme. Toutefois, en raison de la définition très large de ce type de délit dans certains de ses pays-clients, Pegasus semble avoir été utilisé contre un important éventail de personnalités.

Les retombées du scandale ont grandement touché l’entreprise, qui pourrait ne plus être en capacité de rembourser environ 500 millions de dollars de dette et dont la notation de crédit a été durement frappée – ce qui a entraîné des problèmes de solvabilité au sein de la firme.

Le NSO group réfléchirait actuellement à stopper ses opérations sur Pegasus et à vendre la compagnie toute entière à un fonds d’investissement américain, a fait savoir Bloomberg la semaine dernière en citant des responsables impliqués dans ces pourparlers.

Shalev Hulio, PDG de NSO Group, parle avec le journal Calcalist, le 20 avril 2020. (Crédit : capture d’écran YouTube)

Pas seulement NSO

Tim Willis, chef de projet au sein du Project Zero de Google, explique pour sa part qu’il existe « de nombreuses firmes qui fournissent des capacités et des services d’exploitation similaires » et que « ne s’en prendre qu’à une seule firme, NSO – même si c’est noble et que cela mérite de lancer le débat – ne permettra pas de faire disparaître le problème ».

« La leçon à tirer ici, c’est que NSO n’est pas un cas isolé – La compagnie NSO s’est faite attraper cette fois-ci et nous avons pu avoir un aperçu de la manière dont on peut attaquer iOS/iMessage, » a écrit Willis sur Twitter, ajoutant que « nous devons continuer à rendre le 0-jour plus dur pour les pirates du point de vue incrémental ».

Moller, d’Acronis, partage le même point de vue, répétant que le NSO Group n’est pas la seule compagnie dotée de capacités offensives en termes de cyber-surveillance mais qu’il y a eu « un effet boule de neige sur NSO ».

Citizen Lab a révélé, la semaine dernière, dans une nouvelle enquête qu’une autre entreprise israélienne, Cytrox, avait aussi développé un logiciel-espion commercial qui a été récemment découvert sur un iPhone appartenant à un dissident égyptien. Le logiciel Predator de Cytrox a visé le système d’opération iOS d’Apple en utilisant un lien à un clic envoyé via WhatsApp (propriété de Facebook/Meta), selon la recherche menée par l’organisation. Facebook avait porté plainte en 2019 contre le NSO Group pour violation présumée de son application de messagerie WhatsApp.

Logo WhatsApp sur un téléphone. (Crédit : AP Photo/Patrick Sison, File)

Mais la plus grande découverte faite dans le cadre d’une enquête conjointe entre Citizen Lab et Facebook/Meta a été que Cytrox comptait, en plus de l’Égypte, des clients tels que l’Arménie, la Grèce, l’Indonésie, Madagascar, Oman, l’Arabie saoudite et la Serbie.

Meta a annoncé, jeudi dernier, avoir supprimé de nombreux comptes affiliés à des firmes spécialisées dans la surveillance – notamment Cytrox et quatre autres entreprises israéliennes – et informé environ 50 000 personnes dans plus de dix pays, des journalistes, des dissidents, des personnalités religieuses, qu’elles avaient été potentiellement prises pour cible. Le géant des réseaux sociaux a fait savoir qu’il avait supprimé environ 300 comptes Facebook et Instagram liés à Cytrox, qui semblaient être exploités depuis la Macédoine du nord.

Le logiciel de Cytrox semble utiliser les mêmes ruses que Pegasus, selon un chercheur de Citizen Lab – et, en particulier, il est en mesure de transformer un smartphone en dispositif d’écoute clandestine et de siphonner les données contenues dans l’appareil. Il serait ainsi capable d’enregistrer toute une conversation en direct.

Cytrox fait partie d’une alliance de firmes technologiques spécialisées dans la surveillance connue sous le nom d’Intellexa, une alliance formée pour concurrencer le NSO Group. Formée en 2019 par un ancien officier de Tsahal appelé Tal Dilian, Intellexa comprend des compagnies qui ont eu maille à partir avec des pays variés pour des abus présumés.

Logo de la firme Cytrox

Sur son site internet, Intellexa se présente comme une firme « basée et réglementée au sein de l’Union européenne avec six sites et laboratoires de recherche et développement dans toute l’Europe », sans pour autant mentionner d’adresse précise. La page web reste vague sur ce que l’entreprise offre – même si elle a écrit, au mois d’octobre, fournir des systèmes « permettant d’accéder à des dispositifs et autres réseaux cibles » via Wi-Fi ou par le biais de réseaux sans fil. Intellexa note que ses outils sont utilisés par les polices ou par les agences de renseignement contre le terrorisme et les crimes, notamment dans la lutte contre la fraude financière.

Cyberdéfense

Au niveau individuel, la majorité des gens « ne doivent pas se préoccuper d’exploits zéro-clic », explique Avner, le consultant en sécurité. « Ils doivent simplement adopter de meilleurs pratiques – comme contrôler avec soin les URL et utiliser de seconds canaux de communication pour vérifier tous les messages suspects qui peuvent provenir d’une connaissance », ajoute-t-il.

« La plus grande partie des cyber-attaques peuvent être prévenues grâce à une authentification à deux facteurs » ou 2fa, une méthode qui rajoute une protection sécuritaire susceptible de garantir la sécurité des comptes en ligne en plus d’un nom d’utilisateur et d’un mot de passe.

Si une agence de sécurité « veut s’introduire dans votre téléphone, elle y parviendra probablement », dit Moller. « La protection à 100 %, cela n’existe pas ».

Logo de la firme Intellexa

Les entreprises et les corporations peuvent se protéger en déployant des services de cybersécurité qui réduisent la surface des attaques – le nombre de tous les points possibles qui restent accessibles à un utilisateur non-autorisé – en testant leurs systèmes et en éduquant les salariés au mieux sur la question de l’ingénierie sociale, explique Moller.

L’ingénierie sociale est une technique de manipulation qui est utilisée par les firmes de cyber-renseignement et de cyber-surveillance pour amener les personnes à divulguer des informations privées ou confidentielles ou à commettre des erreurs liées à la sécurité.

Pour les utilisateurs individuels, ce sont les gouvernements et les régulateurs qui doivent assurer cette protection, ajoute Moller.

« Tout comme nous avons la police, l’armée et le Shabak [l’agence de sécurité intérieure du Shin Bet], il doit y avoir des cyber-défenseurs. Les autorités doivent prendre leurs responsabilités et superviser davantage les pratiques des entreprises », conclut-il.

L’équipe du Times of Israel a contribué à cet article.

read more:
comments