Pourquoi l'affaire Pegasus doit-elle tous nous inquiéter?
Le logiciel espion Pegasus permettait aux gouvernements de mettre sur écoute les smartphones des journalistes, des militants des droits de l'homme et des hommes politiques. Selon Will Cathcart, le PDG de WhatsApp, lui aussi victime de Pegasus, cette affaire "nous affecte tous" et représenterait une menace bien plus large. NextPit a interviewé des experts en cybersécurité pour savoir dans quelle mesure l'affaire Pegasus nous concerne vraiment.
Un logiciel, qui était censé servir à la lutte contre le terrorisme, est ainsi devenu un outil d'espionnage pour les agences gouvernementales.
Mais la plupart d'entre nous ne sont pas des militants ni des journalistes qui cherchent à révéler des affaires d'Etat. Néanmoins, Will Cathcart, PDG de WhatsApp, a prévenu que le danger représenté par Pegasus ne devait pas se limiter aux entitées nommément ciblées. Une déclaration avec laquelle de nombreux lecteurs de NextPit sont d'accord.
Mais pourquoi devrais-je m'inquiéter alors que je ne suis ni un journaliste d'investigation, ni un homme politique, ni un militant des droits de l'homme? Pour cela, j'ai interrogé des experts en cybersécurité pour découvrir l'ampleur du danger que représente Pegasus pour nous, utilisateurs lambda.
Mais pour comprendre le véritable danger qui se cache derrière Pegasus, nous devons d'abord découvrir comment NSO Group et Pegasus fonctionnent eux-mêmes. Après tout, nos smartphones sont sécurisés, n'est-ce pas?
Comment fonctionne Pegasus et à quoi sert le logiciel espion
Pegasus est un cheval de Troie qui a été découvert par un militant des droits de l'homme en 2016. Ce faisant, sa découverte illustrait très bien la manière dont le logiciel espion s'infiltrait dans les nouveaux appareils. Selon le Citizen Lab, Ahmed Mansoor a reçu en 2016 un SMS qui lui promettait de nouvelles informations sur les violations des droits de l'homme. Pour accéder à ces indices, il devait suivre un lien vers un site web qu'il ne connaissait pas.
Au lieu de le faire, il a transmis le SMS aux chercheurs du Citizen Lab. Ainsi, ils ont pu faire correspondre ce cas individuel à des cas antérieurs qui se référaient au même domaine. Ainsi, comme dans le cas d'un mail de phishing ou dans les cas de smishing, le groupe NSO déployait son logiciel espion par le biais de SMS. L'avantage de cette méthode était que tout ce qui était nécessaire, c'était d'avoir le numéro de téléphone de la cible et un appât intéressant.
La visite du site web, qu'Ahmed Mansoor avait évitée en 2016, aurait alors déclenché une série de "ZETA" (zero day exploit attack). Il s'agit d'attaques sur des vulnérabilités de type "zero-day", c'est-à-dire des attaques qui ciblent une faille de sécurité encore non corrigée.
À proprement parler, les vulnérabilités zero-day décrivent des vulnérabilités qui sont exploitées le jour même de leur découverte. Toutefois, comme nous le découvrirons plus tard, les vulnérables exploitées par Pegasus restaient non résolues pendant une période plus longue.
En 2016, Pegasus a exploité pas moins de trois vulnérabilités zero-day (détails exacts dans les sources) qui ont finalement permis un jailbreak. Dans iOS, un jailbreak permet d'accéder sans restriction à la plupart des fonctions d'un iPhone ou d'un iPad. Ce "jailbreak caché" pouvait difficilement être détecté par l'utilisateur. Il suffisait que Safari s'ouvre brièvement, pour que "Pegasus" soit installé.
Vidéo: Les iPhones ont-ils été plus vulnérables à Pegasus?
Cette installation avait une autre conséquence plutôt insidieuse: Pegasus désactivait les mises à jour automatiques d'iOS. Cela signifie qu'une mise à jour ne pouvait plus corriger les failles de sécurité exploitées et l'appareil hacké restait donc vulnérable.
Il s'établissait ensuite une connexion chiffrée avec un serveur de NSO Group et un mécanisme d'autodestruction pouvait s'activer pour éviter d'être repéré.
À ce stade, il est important de mentionner que dans les cas connus, les appareils sous iOS n'étaient pas les seuls à être affectés. Les smartphones Android ont également pu être hacké par Pegasus et au lieu d'un jailbreak, l'accès root était accordé via des vulnérabilités zero-day. Ce qui est plus intéressant, cependant, c'est le large éventail de données qui pouvaient être lues avec Pegasus.
Quelles données Pegasus pouvait-il collecter via un smartphone?
Si vous connaissez un peu iOS et Android, les termes "root" et "jailbreak" ont donc certainement déjà déclenché une alerte sécurité dans votre tête. Car en principe, presque aucune porte ne reste fermée à un pirate. Ce qui vous permet d'avoir des fonctionnalités plutôt cool peut aussi vous conduire à votre perte en cas d'attaque d'un cyber-criminel.
Car en plus de l'enregistrement des conversations, de la copie du carnet d'adresses et de l'accès aux documents et aux photos, c'est surtout l'accès à des applications de messageries comme WhatsApp, Telegram, Signal et autres, qui a fait les gros titres en juillet 2021. Même les fonctions de protection telles que le chiffrement de bout en bout n'ont pas pu empêcher les pirates d'extraire les données de l'appareil final avec des droits d'administrateur.
En un mot: Si Pegasus réussissait à s'installer sur votre appareil, vous étiez "foutu". Bien entendu, cela était particulièrement grave si le carnet d'adresses contenait des informations sur des sources secrètes, des témoins ou d'autres personnes importantes ou si on vous avait envoyé des informations importantes.
Mais l'espionnage avec des logiciels comme Pegasus a d'autres conséquences beaucoup moins évidentes.
Voici pourquoi l'affaire Pegasus nous concerne tous
Peu d'entre nous sont susceptibles d'être des cibles directes de Pegasus. En tant que journaliste tech, je suis totalement inintéressant pour le gouvernement de tel ou ou tel pays, et ce pour une raison autre que l'inutilité de mon existence: Pegasus coûte très cher. Le logiciel n'est donc pas adapté à la surveillance de masse entières de populations.
Mais des entreprises comme NSO Group ont réussi à attirer des États et des gouvernements dans leur clientèle, plaçant ainsi des acteurs très puissants sur un terrain de jeu qui serait autrement dominé par les cybercriminels, les entreprises de sécurité et les développeurs.
Je souligne ci-dessous deux éléments clés qui sont ressortis de mes interviews avec deux experts en cybersécurité comme ayant des conséquences pour tous les utilisateurs d'internet et de smartphones. NextPit étant un magazine tech, je n'aborderai délibérément pas la dimension politique, qui a été très commentée depuis les révélations de juillet.
Le business des vulnérabilités présente de grands dangers
Les gouvernements et les États n'ont pas seulement un très grand intérêt pour certaines informations. Ils ont aussi beaucoup d'argent. Selon la société de sécurité Lookout, surveiller une personne avec Pegasus coûte en moyenne 25.000 dollars américains. Dans un cas précis, NSO Group aurait même vendu 300 licences pour la somme astronomique de 8 millions de dollars américains.
L'entreprise dispose donc d'un budget de plusieurs millions pour acheter les vulnérabilités zero-day déjà mentionnées sur le marché noir. Comme Bodgan "Bob" Botezatu, directeur de la recherche sur les menaces chez Bitdefender, me l'a appris au cours de notre conversation, ce commerce est appelé "exploit-brokering". Et les courtiers comme NSO Group causent plusieurs problèmes dans ce business.
D'une part, ces derniers réduisent la probabilité qu'une société de sécurité, voire un développeur lui-même, mette la main sur des informations relatives à des failles de sécurité critiques. Après tout, "ce n'est pas toujours l'éthique qui pousse les pirates informatiques et les découvreurs de ces failles sur le net", dit Bob avec un certain cynisme.
D'un autre côté, les entreprises comme NSO Group profitent du fait que ces failles restent ouvertes aussi longtemps que possible. Après tout, elles souhaitent les exploiter. Et même si NSO Group ne rend pas ces informations publiques, les failles de sécurité restent ouvertes. Cela signifie qu'elles restent non seulement exploitables, mais aussi découvrables par d'autres pirates, ce qui reste un risque majeur pour la sécurité.
Ainsi, bien que NSO Group ne cible pas un grand nombre d'utilisateurs avec sa base de clients, il existe certainement des entreprises et des pirates qui font exactement cela. Bob en donne un exemple très imagé: la publication d'une faille critique dans le protocole SMB, un protocole de partage de fichiers en réseau.
Une unité de la NSA a utilisé cette faille pendant cinq ans pour surveiller certaines personnes. La faille, connu sous le nom d'"EternalBlue", a finalement été volée par un groupe appelé "The Shadow Brokers" et publiée petit à petit sur le net. La NSA a été contrainte de signaler la vulnérabilité à Microsoft.
Votre innocence ne vous met pas à l'abri de la surveillance
Bob a soulevé une deuxième question que j'ai trouvée très intéressante en relation avec l'affaire Pegasus. Comme l'a fait remarquer un lecteur dans mon sondage sur les logiciels espions, lorsqu'il est question de vie privée, on entend souvent l'argument suivant: si je n'ai rien à cacher, je n'ai rien à craindre. Cependant, cette attitude est assez dangereuse.
Il suffit de se trouver au mauvais endroit au mauvais moment pour être une cible potentielle des logiciels de surveillance. Et même s'il n'y a aucune information critique sur votre smartphone: Pegasus ne répare pas les problèmes causés après une attaque. Bob prévient donc: "Si votre smartphone a été rooté ou jailbreaké, il le restera."
Ainsi, en plus de ne plus recevoir les mises à jour logicielles, votre smartphone sera largement dépourvu de protection après une attaque d'un logiciel espion. Il est vrai que les gouvernements peuvent vouloir chercher des informations secrètes qu'ils ne pourront pas trouver sur vous. Mais la porte restera également ouverte aux cybercriminels à la recherche de vos coordonnées bancaires et vos mots de passe.
Ainsi, même si vous ne vous considérez pas comme une cible potentielle de Pegasus, il est important de vous protéger contre ce type de logiciel espion.
Comment se protéger de Pegasus et autres
Après tout ce pessimisme, Filip Chytry estime que nous devons faire très attention. L'expert en sécurité met en garde: le tollé que suscite l'affaire Pegasus dans les médias est principalement dû au fait qu'elle implique des personnalités politiques et que de "grands noms" y sont liés.
Le journal allemand Die Zeit a rapporté le 20 juillet 2021 que même des politiciens de haut rang tels qu'Emmanuel Macron ou le président irakien Barham Salih ont pu être espionnés grâce à Pegasus. Les numéros de téléphone d'amis du journaliste assassiné Jamal Khashoggi ont également été trouvés sur les listes des cibles de NSO Group.
Pegasus anime autant l'actualité principalement parce que c'est une bonne histoire. La partie émergée d'un iceberg qui comprend de nombreuses autres entreprises ayant un modèle économique similaire. À cet égard, Filip Chytry a évoqué le logiciel FinFisher, que je ne développerai pas davantage dans cet article pour des raisons de concision. Cependant, FinFisher est vraiment passionnant, alors si vous êtes intéressé, n'hésitez pas à lire l'article de nos confrères de T3N sur le sujet.
Les problèmes que j'ai abordés dans cet article et que les deux experts en sécurité ont mentionnés indépendamment lors d'une interview, indiquent un problème systémique. La protection de nos données personnelles est donc plus importante que jamais.
Les deux experts en sécurité recommandent une astuce très simple: maintenez votre smartphone et les applications qui y sont installées à jour.
C'est précisément pour cette raison qu'ignorer des mises à jour est une mauvaise idée. Mais selon un de nos sondages publiés en juin, très peu d'entre vous le font de toute façon. J'ai établi une petite checklist de contrôle basée sur les autres conseils de Bob Botezatu et Filip Chytry:
Checklist de contrôle de sécurité pour se protéger contre les logiciels espions
- Installer directement les mises à jour lorsqu'elles sont disponibles
- Activez les mises à jour automatiques des applications
- Vérifiez régulièrement les mises à jour des versions APK installées des applications.
- Avant de voyager à l'étranger: vérifiez à nouveau chez vous s'il existe une nouvelle mise à jour de sécurité. Si vous vous rendez dans un pays suspect, procurez-vous un deuxième smartphone, bon marché que vous pourrez jeter par la suite.
- N'ouvrez jamais de liens provenant de sources auxquelles vous ne faites pas confiance.
Le conseil de Bob de se procurer un "bumper phone", un smartphone jetable semble tout droit sorti d'un film hollywoodien. Mais compte tenu des conséquences d'un logiciel espion comme Pegasus sur la sécurité future de votre smartphone, ce conseil n'est pas si farfelu. En outre, l'installation d'une application de sécurité vous protégera également.
Selon Bob, de nombreuses solutions de sécurité dont son employeur Bitdefender, utilisent l'IA pour détecter les anomalies dans le trafic de données et le comportement de certaines applications. Même si un nouveau logiciel espion n'est pas encore connu et que sa signature ne figure donc pas encore dans les bases de données des sociétés de sécurité, vous recevrez alors un avertissement et pourrez vous protéger.
Conclusion
L'existence d'un logiciel espion comme Pegasus, souvent appelé "cheval de Troie de l'État", révèle une contradiction dans la cybersécurité. Car pour surveiller les communications de certaines personnes, la sécurité d'innombrables utilisateurs de smartphones et de PC est mise en danger.
Il n'y a pas que des conséquences directes, comme le risque d'attraper un cheval de Troie sur son smartphone personnel. Ce sont bien plus les conséquences discrètes, telles que les failles de sécurité comblées trop tard, qui touchent chacun d'entre nous. L'alimentation d'un marché dans lequel les vulnérabilités zero-day sont vendues aux développeurs de logiciels espions crée également plus d'insécurité dans l'utilisation des systèmes d'exploitation et des applications.
Pegasus est un cas extrême à part car la surveillance ne servait pas seulement à protéger la démocratie mais aussi à sécuriser les régimes autoritaires. L'argument selon lequel on n'a rien à cacher en tant que "citoyen innocent" dans un pays démocratique comme la France ou que Pegasus est si cher que seules les personnes vraiment pertinentes sont espionnées ne compte pas.
"Pegasus nous affecte tous", si ce n'est par ses conséquences directes, c'est par l'impact que ce commerce de logiciels espions et de failles de sécurité a sur la cybersécurité dans son ensemble.
L'homme de ce siècle est ainsi fait qu'il a besoin de se créer des inquiétudes de tout, sur tout, en permanence.
Ceux qui ont sombré dans cette phobie chronique n'ont qu'à se débarrasser de leurs smartphones et récupérer des Ericsson GH388, et autres modèles d'époque, qui n'étaient pas "smart".
Ou mieux : ne pas utiliser les réseaux sociaux, et autres applications de messagerie instantanée. Mais en seraient ils capables ???
On connaît la réponse.
Ce n'est pas une phobie mais une réalité comme le démontrent de nombreux articles et témoignages: nos données sont loin d'être confidentielles.
Est-ce un bien ou un mal? C'est une question subjective, par contre on peut dire objectivement que le vol de données et une réalité et non une phobie.
c'est vraiment du n'importe quoi. vous croyez vraiment ce que vous publier ???
Informe-moi par toi-même et tu constateras.
Évite Point de Vue - Images du Monde quand même 😉
@ steve neo : Crois déjà en les règles de grammaire française, et apprends les :)
Si la sécurité avait réellement intéressé nos dirigeants, Blackberry éxisterait encore.
On aurait 4 systêmes, les androïd, les iphones, les microsofts et Blackberry.
Ceci dit, Blackberry existerait toujours s'il avait été capable de proposer des smartphones compétitifs en tarif et en performances avec la concurrence, et si les consommateurs n'avaient pas, par conséquent (du manque de compétitivité de Blackberry), boudé ses produits depuis l'apparition des iPhones et des smartphones sous Android.
Les téléphones des avocats, des juges, des journalistes, des opposants politiques ou des Macron du monde entier qui se savent surveillés, pour moi n'ont pas négligés leur sécurité.
Au contraire, ces personnes ont tout fait pour la renforcer, comme acheter des iPhone, utiliser des messageries cryptées comme Signal ou Telegram, mais comme le PDG de WhatsApp qui a déjà posé plainte contre NSO l'a dit dans un communiqué " les téléphones mobiles sont soit sûrs pour tout le monde, soit ils ne le sont pas pour personne" et ce que l'on peut dire aujourd'hui , c'est qu'il est impossible pour une personnalité importante de communiquer en ligne sans être surveillé lui et sa famille.
C'est inacceptable, car comme l'affirme le PDG de WhatsApp très touché par ce scandale "les cibles de Pegasus n'avaient rien à faire sous surveillance, de quelque manière que ce soit"
Je pense donc que nous avons tous un problème et que cette affaire doit nous inquiéter.
S'il fallait supprimer toutes les "choses inacceptables" dans le monde dans lequel on vit aujourd'hui (ce que chacun individuellement peut souhaiter, évidemment) n'arrivera jamais.
Tout simplement parce que les individus sont méprisés (par ceux qui en tirent avantage) comme jamais. On peut (on doit pour vivre sereinement) être optimiste mais l'être humain est ce qu'il est.
Bien évidemment, c'est juste une opinion, la mienne.
Je passe pour un "affreux conservateur" ici (si ce n'est pire...) parce que je fais ce constat... insupportable, en effet. Et je le concède.
C'est assez mal considéré d'essayer d'être lucide mais je fais avec.
Casser l'ambiance n'est pas le meilleur moyen d'être populaire mais bon on se réinvente pas tous les matins.
Pour autant, nul complot dans ce fait divers juste l'histoire des êtres humains comme ils sont vraiment et non comme ils souhaitent paraître.
Bonne journée quand même.
@ Luna
Entièrement d'accord!
@ Louis
Omo lave plus blanc que blanc et Louis voit plus noir que noir :p
Oui, mais pas H/24 🥳
L'homme peut aussi être capable du meilleur mais il faut le solliciter pour obtenir ce résultat. Cela fait toute la différence.
J'ai bien conscience que les dernières générations ne peuvent pas accepter mon point de vue et heureusement pour elles, d'ailleurs.
Je m'étonne juste qu'elles n'en veuillent pas plus aux plus de 40 ans et dont je fais partie, ou à certains d'entre eux, d'une bonne part des conditions qu'elles subissent aujourd'hui et qu'elles subiront plus encore à l'avenir.
Je suis d'avis qu'il est plus utile de chercher une solution plutôt qu'un coupable quand on a un problème.
Je ne me prononce pas pour mes contemporains mais c'est la raison pour laquelle je ne jette pas la pierre aux générations précédentes.
Ce serait la même chose que de dire qu'il faut boycotter Hergé parce qu'il a écrit Tintin au Congo, autre époque autres mœurs. Chaque génération a fait de son mieux avec les connaissances et les moyens disponibles à un instant T.
Edit: Et ma génération a inventé la "cancel culture" (ou en tout cas l'a grandement démocratisée avec l'aide d'internet), est-ce que tu nous en veux pour avoir inventé cette horreur?
Non, la pratique de l'effacement a été adoptée par toutes les générations, tu as parfaitement raison. En ne voulant ne pas s'opposer directement avec une (fausse) bienveillance, la "cancel culture" aboutit à un résultat d'exclusion... pas folichon 😉
J'apprécie que tu donnes une vision différente de la mienne, ça me permet de progresser mais aussi ceux qui auront la curiosité de suivre.
La confrontation des idées et des opinions dans le respect des autres, évidemment, c'est bien plus enrichissant quand on le souhaite vraiment.
Et je sais que je peux te faire confiance sur ce point 😀
Et grâce à toi Louis j’apprends beaucoup de choses!
La culture de l’effacement est, selon moi, un grand danger… C’est la politique de l’autruche.
L'intelligence collective et l'échange des connaissances, c'est du positif sans conteste.
Ne pas avoir peur de se tromper, à condition d'admettre ses erreurs ou des lacunes ET de rectifier afin de pouvoir progresser, c'est un idéal... que je ne renie pas !
Le doute (et surtout pas les certitudes) est le moteur de la recherche scientifique et donc de l'amélioration des connaissances, j'aimerais qu'il soit appliqué dans un maximum de domaines.
Cela serait bien nécessaire ces temps-ci 😉