4 questions sur le logiciel Pegasus, un cyber-espion en perpétuelle recherche de failles
AFP
Le logiciel Pegasus de la société israélienne NSO, accusé d’avoir servi à espionner des militants, journalistes et opposants du monde entier, est un système très sophistiqué, qui exploite en permanence de nouvelles vulnérabilités dans les smartphones.
Comment fonctionne le logiciel espion de NSO?
Pegasus, une fois introduit dans le smartphone, exporte les données de celui-ci (courriers électroniques, contenu des messageries comme WhatsApp ou Signal, photos…) vers des sites internet mis en place par NSO ou ses clients, et constamment renouvelés pour échapper à la détection. C’est « comme si vous mettiez votre téléphone dans les mains de quelqu’un d’autre », souligne Alan Woodward, professeur en cybersécurité à l’université du Surrey. Ces communications secrètes ne sont pas visibles par l’utilisateur. Et il est extrêmement difficile d’en retrouver la trace sur des smartphones Android, raison pour laquelle l’enquête d’Amnesty International, à l’origine des révélations, se concentre sur les smartphones d’Apple.
Comment le code malveillant est-il introduit sur le smartphone de la victime?
Dans son histoire, déjà longue et bien documentée, notamment par Amnesty, NSO a utilisé des SMS piégés, des bugs dans WhatsApp, iMessage, Apple Music… Au début, un geste de l’utilisateur était requis pour déclencher l’injection du code piégé: cliquer sur un lien par exemple. Mais les dernières attaques n’avaient plus besoin d’un geste actif du propriétaire du smartphone pour réussir.
Comment NSO trouve des failles pour introduire son logiciel?
Au moins autant, sinon plus, que le logiciel espion lui-même, c’est la capacité de NSO à trouver sans relâche de nouvelles portes d’entrées dans les smartphones et à les exploiter qui fait son savoir-faire. NSO est une grosse entreprise (un millier d’employés), qui a recruté des hackers d’élite pour rechercher elle-même les failles. Selon les experts, elle a aussi certainement recours au « marché gris », sur lequel des chercheurs en cybersécurité au comportement plus ou moins éthique monnayent les failles qu’ils ont trouvées. Les attaquants – qu’il s’agisse d’Etats, de sociétés privées comme NSO, ou de criminels – payent toujours beaucoup plus que les éditeurs de logiciels pour chaque vulnérabilité découverte.
Les failles les plus prisées sont les « zero days », les failles que personne n’a encore détectées et qui sont donc imparables. Selon Bastien Bobe, directeur technique pour l’Europe du sud de Lookout, éditeur d’un logiciel de protection des smartphones, les « zero days » les plus performants peuvent se monnayer jusqu’à 2 millions de dollars pour iOS (le système d’exploitation des smartphones Apple) et 2,5 millions de dollars pour Android. Pour des applications comme WhatsApp ou iMessage, la valeur peut atteindre 1,5 million de dollars.
Peut-on se protéger contre ces logiciels espion?
Oui, et non. Certaines précautions simples permettent de limiter les risques, comme tout simplement éteindre son smartphone au moins une fois par jour: ce simple geste peut suffire à contrecarrer le fonctionnement de bon nombre de programmes espions. Ou encore conserver les logiciels de son smartphone à jour. Dans le cas contraire, souligne M. Woodward, « certaines des anciennes failles qu’Apple a réparées, et que Google a réparées sur Android – elles peuvent toujours être là ». Le marché offre également des solutions de protection des smartphones, mais celles-ci sont encore peu utilisées car « les gens se sentent plus en confiance sur leur mobile que sur leur PC », regrette Bastien Bobe.
Mais le spécialiste reconnaît aussi qu’il n’est pas possible de garantir une protection totale: « Si quelqu’un veut cibler un smartphone bien particulier, et s’en donne les moyens » -qu’il chiffre à « 7 ou 8 chiffres », donc des millions ou des dizaines de millions de dollars-, « il y arrivera. » Pour les personnes gérant des informations très sensibles, il peut être utile d’utiliser un appareil non relié à Internet -un vieux téléphone portable, ou un smartphone dont l’accès aux données est coupé.
- EDEN AI lève 3 millions d’euros pour démocratiser l’accès à l’IA en entreprise - 21/11/2024
- Plan marketing 2025 : la méthode de Maxime Baumard pour structurer la stratégie B2B de PENNYLANE - 21/11/2024
- Freqens lève 3 millions d’euros pour accompagner les équipes achats dans leurs décisions. - 21/11/2024