23/07/2021

BLOG | Pegasus : Un cyber-espionnage de masse à travers le monde

Par Adrien Agnel - Consultant Sécurité, Pôle CyberSécurité de Klee Group

Tel Pégase en son temps, Pegasus interpelle la communauté IT qui se pose bon nombre de questions à son sujet.

En effet des dirigeants et des journalistes de différents pays auraient été la cible d’un logiciel espion prénommé Pegasus. Posons notre regard d’expert en cybersécurité afin d’essayer d’expliquer ce phénomène en essayant, tout d’abord, de comprendre comment nous pouvons être infectés par ce virus. Ensuite, intéressons-nous sur les moyens à disposition pour repérer cette attaque pour essayer de nous en prémunir.

 

Depuis quelques jours, je suis sûr que vous avez entendu parler de Pegasus, un programme capable d'espionner tous vos faits et gestes sur votre téléphone portable. Des politiques tels que le Président de la République Emmanuel Macron, 12 autres chefs d'État et plus de 50 000 politiciens, journalistes auraient été infectés également.

 

N'êtes-vous pas, vous aussi, la cible du virus Pegasus ?

  

 

 

1. Qu'est-ce que Pegasus et quel est son fonctionnement, qui sont ses créateurs ?

 

Pegasus est un logiciel espion créé en 2013 par l'entreprise israélienne NSO Group.

Les principales cibles de Pegasus sont les systèmes d’exploitation IOS et Android. S’installant discrètement et de façon transparente sur les téléphones mobiles, il collecte des informations sur sa victime et permet de mettre en place un accès distant sur les appareils touchés.

 

Les premières souches actives de ce virus espion ont été découvertes courant 2016.

 

Qu’est-ce qu’un vecteur d’attaques ?

Il s’agit de la façon dont le virus infecte l’hôte, dans notre cas il existe 3 grands vecteurs d’attaques :

  • Des SMS ou messages comportant un fichier ayant en son sein la charge virale.
  • L’usage de vulnérabilité applicatives : par exemple sur le logiciel de messagerie instantanée WhatsApp
  • L’usage de diverses vulnérabilités présente sur IOS ou Android qui ne sont pas encore corrigées, plus communément appelées vulnérabilité Zero Day.

 

Quelles sont les fonctionnalités de Pegasus ?

Pegasus peut collecter toutes les données disponibles sur votre téléphone portable.

Le plus inquiétant dans ce scandale de cyberespionnage, c’est que Pegasus est également capable de récupérer les messages provenant d'applications chiffrées (Signal, Telegram, …).

Pire encore il peut activer votre micro et votre caméra…

 

Le schéma ci-dessous permet de synthétiser les différents vecteurs d'attaques utilisés par Pegasus ainsi que ses différentes fonctionnalités.

 

 

2. Les dérives de l'usage de Pegasus

 

C'est l'organisation Forbidden Stories qui a coordonné la révélation de cette affaire, avec l'aide de 17 médias. Cette affaire a soulevé de graves problèmes de confidentialité à travers le monde et a révélé à quel point le logiciel de l’entreprise privée NSO avait pu être utilisé à mauvais escient.

 

C'est le plus important scandale de cybersurveillance découvert de nos jours. Il dépasserait même les révélations d'Edward Snowden sur le système d'écoute et de surveillance des Etats-Unis. 

 

Voici une cartographie qui dresse une première liste des différents pays où des personnes ont été infectées par le logiciel espion Pegasus, la liste ne cesse augmenter au fur et à mesure des jours.

 

 

 

 

Pegasus est initialement vendu comme une solution de lutte contre les activités illégales (terrorisme, trafic de drogue …). Son usage a été détourné par de nombreux gouvernements pour espionner des politiques, des journalistes, etc.

 

Ce schéma vous présente la manière dont les données sont récoltées et stockées sur les serveurs de NSO sur IOS.

   

3. Comment savoir si nous sommes infectés ?

 

Pegasus est un virus qui est robuste est bien caché. Il est très difficile de le déceler, très peu d'entreprises en sont capables pour l'instant. Il s'agit d'un outil "zéro clic" exploitant les failles non colmatées présentes au sein d'Android et IOS via des antennes relais, ou encore des vulnérabilités sur des applications installées sur les smartphones (comme les applications de messagerie), etc. Il laisse peu de traces sur les terminaux où il est utilisé.

 

Quelques techniques permettent de découvrir si nous sommes infectés ou non par Pegasus :

 

  • Scanner votre portable avec le scanner :  Tehtris Mobile Threat Defense (Application gratuite, Tehtris est une société française ! 🐓​)
  • Analyser les données réseaux entrantes et sortantes de votre cellulaire, en effet Pegasus émet des traces de communications non conventionnelles.  Le but étant de bloquer les communications entre votre portable et le serveur de récolte de données chez NSO.
  • Vérifier la signature des applications, une application non signée par Apple ou Android peut être un virus.

 

4. Comment ne plus être piraté sur son cellulaire :

 

Si vous voulez être sûr de ne pas être piraté, je vous conseille d'acheter un Nokia3310 ancienne génération.

Grâce à ce téléphone, même si vous n'avez pas la classe, vous diminuez la surface d'éventuelles attaques.

Si vous êtes des amateurs de jeux sur portable, Snake où Tetris seront vos amis sur ce bon vieux Nokia3310

 

 

Blague à part, la sécurité des téléphones portables nécessite de nombreuses améliorations. L'attaque par Zéro clic peut infecter tout le monde, même les plus avertis. L'usage de messageries chiffrées est un plus mais ce n'est hélas pas suffisant. Pegasus est capable de collecter les messages provenant de ce type d'application.

Néanmoins, en adoptant une hygiène sécurité quotidienne, vous devriez limiter le risque d'infection, que ce soient des virus comme Pegasus ou d'autres types d'outils malveillants.

 

Quelques petits exemples/rappels :

  • N’installez pas n'importe quoi sur votre téléphone ;
  • N’ouvrez pas des messages / pièces jointes de personnes inconnues ;
  • Mettez à jour vos smartphones/applications régulièrement ;
  • Ne rechargez pas votre smartphone à l’aide d’un câble USB d’un tiers ou depuis des équipements informatiques inconnus. Ces derniers peuvent être vérolés et contaminer votre appareil propriétaire ;
  • Gardez systématiquement votre smartphone près de vous ou dans un endroit sûr. Même verrouillé, il peut exister des vulnérabilités qui permettent l’installation de logiciels.

 

Loin de moi l’idée de vouloir vous effrayer, mais sachez que la cible de ce type de programme est stratégique. A priori, si vous n'êtes pas un journaliste, un politique ou une personne d'intérêt, il y a une probabilité très faible que vous soyez concernés par ce logiciel !

 

Diverses sources :

 

 

Vous souhaitez aller plus loin ? Assistez en direct à notre session de live hacking !