Logiciel espion Pegasus de NSO : voici ce que nous savons

0
174

Au cours de la semaine dernière, nous avons vu histoire après histoire au sujet d'une entreprise appelée NSO Group et d'un logiciel espion appelé Pegasus. Certaines des histoires ont été choquantes, avec des allégations selon lesquelles des smartphones entièrement mis à jour peuvent être piratés avec un seul message texte, et des rapports selon lesquels deux femmes proches du journaliste assassiné Jamal Khashoggi faisaient partie des personnes ciblées par une agence gouvernementale utilisant l'outil d'espionnage.

Une coalition de médias, dont The Washington Post, Le Monde et The Guardian, est à l'origine du reportage, et ils l'appellent le Projet Pegasus. Le projet a été dirigé par Forbidden Stories, une organisation de journalistes qui travaille sur des histoires après que les reporters d'origine aient été réduits au silence d'une manière ou d'une autre. Amnesty International a effectué des analyses médico-légales détaillées sur 67 smartphones pour rechercher des preuves qu'ils étaient ciblés par le logiciel espion Pegasus – et 37 de ces téléphones ont été testés positifs. Mais de nombreux détails cruciaux ne sont toujours pas clairs.

Voici ce que nous savons jusqu'à présent sur le groupe NSO et Pegasus.

Qu'est-ce que Pegasus, et qui ou qu'est-ce que NSO Group ?

Pegasus est un logiciel espion développé par un entrepreneur privé pour être utilisé par les agences gouvernementales. Le programme infecte le téléphone d'une cible et renvoie des données, y compris des photos, des messages et des enregistrements audio/vidéo. Le développeur de Pegasus, une société israélienne appelée NSO Group, affirme que le logiciel ne peut pas être retracé jusqu'au gouvernement qui l'utilise – une caractéristique cruciale pour les opérations clandestines.

En bref, NSO Group fabrique des produits qui permettent aux gouvernements d'espionner les citoyens. La société décrit le rôle de ses produits sur son site Web comme aidant « les agences de renseignement et d'application de la loi à utiliser la technologie pour relever les défis du cryptage » lors d'enquêtes terroristes et criminelles. Mais comme vous pouvez l'imaginer, les groupes de défense des libertés civiles ne sont pas satisfaits de l'activité de location de logiciels espions, et restreindre l'activité aux clients gouvernementaux ne fait pas grand-chose pour apaiser leurs inquiétudes.

La société a déclaré au Washington Post qu'elle ne travaillait qu'avec des agences gouvernementales et qu'elle couperait l'accès d'une agence à Pegasus si elle découvrait des preuves d'abus. Dans son rapport de transparence publié fin juin, la société a affirmé l'avoir déjà fait. Pourtant, une déclaration d'Amnesty International a soulevé des inquiétudes quant au fait que l'entreprise fournisse des logiciels espions à des gouvernements oppressifs, où les agences gouvernementales ne peuvent pas faire confiance à leurs citoyens.

L'organisation Forbidden Stories, qui a aidé à diriger les efforts du projet Pegasus, a un compte rendu des exploits et des controverses de l'entreprise au cours de la dernière décennie, dont certains ont inspiré des poursuites judiciaires de journalistes et d'activistes faisant valoir que le logiciel de NSO a été utilisé de manière inappropriée. Le Washington Post a également une interview qui couvre la propre histoire de l'entreprise sur la façon dont elle a été fondée et comment elle a commencé dans l'industrie de la surveillance.

Qui était espionné ?

Nous ne savons pas avec certitude. Cependant, une grande partie des rapports s'articule autour d'une liste contenant 50 000 numéros de téléphone, dont le but n'est pas clair. Le projet Pegasus a analysé les numéros de la liste et a lié plus de 1 000 d'entre eux à leurs propriétaires. Quand il l'a fait, il a trouvé des personnes qui auraient dû être interdites à l'espionnage gouvernemental (sur la base des normes que NSO dit tenir à ses clients): des centaines de politiciens et de fonctionnaires – dont trois présidents, 10 premiers ministres et un roi — plus 189 journalistes et 85 militants des droits de l'homme.

Attendez, qui a fait cette liste ?

À ce stade, c'est clair comme de la boue. NSO affirme que la liste n'a rien à voir avec ses activités et prétend qu'elle provient d'une simple base de données de numéros de téléphone cellulaire qui est une caractéristique du réseau cellulaire mondial. Une déclaration d'un porte-parole d'Amnesty International, publiée sur Twitter par le journaliste en cybersécurité Kim Zetter, indique que la liste indique des nombres marqués comme « d'intérêt » pour les différents clients de NSO. Le Washington Post dit que la liste date de 2016.

Le Washington Post dit que la liste ne contient pas d'informations sur qui y a ajouté des numéros, ou si les personnes liées aux numéros étaient sous surveillance. La liste a-t-elle été organisée par une agence gouvernementale obscure essayant de se mettre du bon côté des autres gouvernements ? A-t-il été maintenu par un groupe Slack d'utilisateurs de Pegasus ? Était-ce simplement une liste de nombres ? C'est une question essentielle qui reste désespérément floue.

La liste est-elle donc importante ?

Il semble. Le Washington Post rapporte que certains des téléphones analysés ont été ciblés peu de temps après avoir été ajoutés à la liste. Dans certains cas, quelques secondes seulement séparent les horodatages indiquant le moment où le numéro de téléphone a été ajouté à la liste et les incidents d'attaques Pegasus sur les téléphones.

Selon The Guardian, Amnesty a effectué son analyse sur 67 téléphones connectés aux numéros. Il a révélé que 37 des téléphones avaient été au moins ciblés par Pegasus, et que 23 de ces téléphones avaient été piratés avec succès. Le Washington Post détaille comment Pegasus a été utilisé pour pirater un téléphone appartenant à la femme d'un militant emprisonné.

Qui d'autre est sur la liste ?

Un rapport du Washington Post détaille certains des plus hauts responsables avec des numéros sur la liste. Selon une analyse effectuée par le Post et d'autres membres du Pegasus Project, les présidents actuels de la France, de l'Irak et de l'Afrique du Sud étaient inclus, ainsi que les actuels premiers ministres du Pakistan, d'Égypte et du Maroc, sept anciens premiers ministres et le roi du Maroc.

Un rapport distinct du Post affirme que le roi marocain n'était pas la seule royauté dont le numéro figurait sur la liste – une princesse de Dubaï a également été ajoutée, ainsi que certains de ses amis, alors qu'elle tentait d'obtenir l'asile politique. Sa tentative a échoué lorsqu'elle aurait été kidnappée par des commandos armés qui sont montés à bord du yacht qu'elle utilisait pour s'échapper.

Également sur la liste figuraient deux femmes proches de Jamal Khashoggi, un journaliste qui a été assassiné en 2018.

Khashoggi lui-même était-il sur la liste ?

Cela ne semble pas (bien que nous aborderons certaines nuances dans un instant), mais les gens ferment pour lui étaient. Le Washington Post a rapporté que l'un de ces téléphones piratés appartenait au fiancé de Khashoggi, et qu'il y aurait des preuves que le téléphone de sa femme était également visé. Le PDG de NSO a fermement nié que la femme de Khashoggi était une cible.

Quant à savoir si NSO a ciblé Khashoggi lui-même, c'est une question sans réponse définitive. NSO nie fermement avoir été impliqué – il l'a fait en 2019, et encore récemment, le Washington Post citant une déclaration de la société selon laquelle sa technologie “n'était associée d'aucune façon au meurtre odieux de Jamal Khashoggi”. Selon le Post, le téléphone de Khashoggi est sous la garde des autorités turques qui mènent une enquête sur l'homicide du journaliste.

Que fait Pegasus ?

Selon le Washington Post, le logiciel espion peut voler des données privées à partir d'un téléphone, en envoyant les messages, mots de passe, contacts, photos, etc. d'une cible à quiconque a initié la surveillance. Il pourrait même allumer les caméras ou les microphones du téléphone pour créer des enregistrements secrets. Un document de NSO décrit les capacités du logiciel plus en détail.

Des versions récentes de celui-ci auraient pu le faire sans avoir à faire quoi que ce soit à l'utilisateur – un lien est envoyé à son téléphone, sans notification, et Pegasus commence à collecter des informations. Dans d'autres cas, Pegasus se serait appuyé sur les utilisateurs pour cliquer sur des liens de phishing qui fournissent ensuite la charge utile Pegasus.

Attendez, comment Pegasus peut-il obtenir toutes ces informations ?

Le Guardian et le Washington Post ont tous deux des articles expliquant comment même les téléphones modernes dotés des dernières mises à jour logicielles peuvent être exploités. (Amnesty a montré que même certaines des versions les plus récentes d'iOS sont vulnérables aux méthodes utilisées par NSO.) Le résumé est qu'aucun logiciel n'est parfait. Là où il y a des logiciels compliqués, comme iMessage ou WhatsApp, il y aura des bogues, et certains de ces bogues donneront aux pirates un accès à bien plus que beaucoup ne le penseraient possible. Et, avec des millions de dollars en jeu, les pirates et les chercheurs en sécurité sont très motivés pour trouver ces bogues, même s'ils ne seront utilisables que pendant une courte période.

Cela peut faire tout ça sur iPhone ? Qu'en est-il de la sécurité et de la confidentialité d'Apple ?

Dans une déclaration au Guardian, Apple n'a pas nié la capacité de NSO à exploiter les iPhones, affirmant plutôt que des attaques comme Pegasus sont “très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques , n'affectant ainsi pas la plupart des clients Apple. Apple a déclaré qu'il continuait à « travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données ».

Pourtant, comme le souligne le Washington Post, le fait que l'iPhone puisse être si complètement compromis par un message apparemment invisible est malheureux pour une entreprise qui se targue de la sécurité et de la confidentialité, une entreprise qui affiche “ce qui se passe sur votre iPhone, reste allumé les panneaux d'affichage de votre iPhone. Les chercheurs en sécurité qui ont parlé au Post accusent principalement iMessage et son logiciel de prévisualisation, malgré les protections qu'Apple aurait récemment mises en place pour tenter de sécuriser iMessage.

Seuls les iPhones sont-ils vulnérables ?

Non. Une grande partie des rapports se concentre sur les iPhones, mais c'est uniquement parce qu'ils se sont avérés plus faciles à analyser pour détecter les signes d'une infection Pegasus que les téléphones Android. Pegasus peut cependant infecter les deux, selon un document d'information de l'ONS. Apple et Google ont tous deux commenté la situation, Apple condamnant les attaques contre les journalistes et les militants, et Google disant qu'il met en garde les utilisateurs contre les tentatives d'infiltration, même celles soutenues par les gouvernements.

Je pense J'ai déjà entendu parler de Pégase ?

Le logiciel espion fait la une des journaux depuis des années, souvent en relation avec des incidents similaires à ce qui est actuellement signalé. En 2017, des rapports ont révélé que le logiciel avait été utilisé dans des attaques contre des journalistes et des militants mexicains. En 2019, WhatsApp a poursuivi NSO Group, alléguant que le développeur du logiciel était impliqué dans le piratage d'environ 1 400 appareils à l'aide d'un exploit trouvé dans le code de WhatsApp. Microsoft, Google, Cisco et d'autres sociétés technologiques ont signalé leur soutien à la poursuite de WhatsApp. (En avril 2021, l'affaire était en cours, selon un rapport de Politico.)

En 2020, il a été signalé que NSO faisait l'objet d'une enquête par le FBI, en lien avec le Hack 2018 du téléphone portable de Jeff Bezos. À l'époque, NSO a nié avoir eu connaissance de l'enquête du FBI, selon Reuters, et le FBI a récemment refusé de commenter l'affaire au Washington Post.

Qui se cache derrière le ciblage des militants et des journalistes ?

Nous ne le savons pas pour le moment, mais il ne s'agit probablement pas d'une seule agence gouvernementale ou d'un seul pays. Le Washington Post pointe vers une liste de 10 pays d'où semblent provenir de nombreux numéros de téléphone sur la liste, et dit que ces pays auraient travaillé avec NSO dans le passé. Mais le fait que de nombreux faits de base concernant la liste restent contestés signifie qu'il n'y a vraiment pas assez d'informations pour tirer des conclusions solides.

Combien coûte l'espionnage d'un téléphone ?

On rapporte que NSO propose des remises en gros

En 2016, le New York Times a rapporté que NSO Group avait facturé 500 000 $ pour configurer un client avec le système Pegasus, puis facturé des frais supplémentaires pour infiltrer les téléphones des gens. À l'époque, les coûts auraient été de 650 000 $ pour pirater 10 utilisateurs d'iPhone ou d'Android, ou de 500 000 $ pour infiltrer cinq utilisateurs de BlackBerry. Les clients pourraient alors payer plus pour cibler des utilisateurs supplémentaires, économisant en espionnant avec des remises en gros : 800 000 $ pour 100 téléphones supplémentaires, 500 000 $ pour 50 téléphones supplémentaires, et ainsi de suite. NSO facturerait également 17 pour cent de ce que les clients ont payé au cours d'une année en tant que frais de maintenance annuels. Selon Forbidden Stories, le contrat de NSO avec l'Arabie saoudite vaut à lui seul jusqu'à 55 millions de dollars.

Que dit NSO à propos des rapports ?

Dans une interview avec Calcalist, le PDG et cofondateur de NSO Group, Shalev Hulio, a largement nié les allégations, affirmant que la liste des chiffres n'avait rien à voir avec Pegasus ou NSO. Il a fait valoir qu'une liste de numéros de téléphone ciblés par Pegasus (que NSO dit qu'elle ne garde pas, car elle n'a “aucune idée” des enquêtes menées par ses clients) serait beaucoup plus courte – il a déclaré à Calcalist que les 45 clients en moyenne environ 100 cibles Pegasus par an.

“Quelqu'un doit faire le sale boulot”

Hulio affirme également que NSO a enquêté sur l'utilisation du logiciel par ses clients et n'a trouvé aucune preuve qu'ils ciblaient l'un des numéros de téléphone que NSO avait reçus, y compris celui lié à la femme de Khashoggi. Il dit également que c'est la politique de NSO de couper l'accès des clients à Pegasus s'il découvre qu'ils utilisent le système en dehors de son utilisation prévue.

Hulio a déclaré au Washington Post que les rapports étaient “concernants” et que la société enquêterait. Il a dit à Calcalist que NSO avait effectué des vérifications auprès des clients actuels et passés au cours de la semaine dernière.

Comment NSO saurait-il si ces personnes ont été ciblées ou les empêcherait d'être ciblées, il n'a aucune idée de qui cible ses clients ?

Excellente question. Hulio tente d'y répondre dans son entretien avec Calcalist, évoquant une capacité à analyser les systèmes d'un client, mais ne donne pas vraiment assez de détails pour être rassurant.

De plus, comment Hulio prétend que les clients Pegasus ont en moyenne 100 cibles par an avec les remises en gros que NSO offrirait ?

Encore une fois, excellente question.

Pourquoi créer un logiciel comme celui-ci ?

Selon NSO, il construit Pegasus uniquement à des fins de lutte contre le terrorisme et d'application de la loi. La société ne vendrait le logiciel qu'à des agences gouvernementales spécifiques qui ont été approuvées par le ministère israélien de la Défense.

NSO semble voir son logiciel comme un élément nécessaire, quoique désagréable, de la surveillance moderne, son PDG déclarant au Washington Post que « quelqu'un doit faire le sale boulot » et que Pegasus est « habitué à gérer littéralement le pire que cette planète doit faire offrir.”

Y a-t-il d'autres entreprises qui fabriquent des outils comme Pegasus ?

Absolument. L'Economic Times a un bon aperçu de certaines des entreprises les plus en vue travaillant dans l'espace, ainsi qu'une explication de la façon dont le modèle d'agents de cyber-espionnage israéliens quittant le service militaire et fondant des startups fait qu'Israël est le foyer de bon nombre de ces entreprises.

Que puis-je faire pour assurer ma sécurité et la confidentialité de mes informations ?

Malgré le rapport d'Amnesty selon lequel les versions d'iOS de juillet sont vulnérables à Pegasus, garder votre téléphone à jour garantira que votre téléphone est susceptible de moins d'exploits, car les mises à jour sont continuellement corrigées par les fabricants de téléphones. Il existe également l'ensemble standard des meilleures pratiques de sécurité : utiliser des mots de passe forts et uniques (de préférence avec un gestionnaire de mots de passe), activer le cryptage, ne pas cliquer sur des liens provenant d'étrangers, etc.

Bien sûr , il a été démontré que Pegasus contourne la plupart de ces mesures de sécurité – une copie divulguée du matériel d'information NSO se vante que l'installation “ne peut pas être empêchée par la cible” – mais elles vous aideront à vous protéger des pirates informatiques moins sophistiqués.

Comment puis-je vérifier si mon téléphone a été compromis ?

Amnesty International a en fait publié un outil qui peut être utilisé pour l'analyse, et vous pouvez lire notre guide sur la façon de l'utiliser ici.

À quel point devrais-je être inquiet ?

En supposant que vous n'êtes pas un journaliste travaillant sur des histoires sensibles, un leader mondial ou dans une position qui pourrait menacer les pouvoirs gouvernementaux, il y a de fortes chances que quelqu'un n'ait pas payé des milliers ou des dizaines de milliers de dollars pour vous cibler avec Pegasus. Cela dit, il est évidemment préoccupant que ces types d'attaques soient possibles et qu'elles puissent potentiellement tomber entre les mains de pirates informatiques cherchant à cibler un public beaucoup plus large.

Comme pour toutes les mesures liées à la sécurité, il est important d'être réaliste quant aux menaces auxquelles vous êtes confronté et à ce que vous devez faire à leur sujet. Pour la plupart des personnes qui ne sont pas susceptibles d'être ciblées par un acteur au niveau d'un État-nation (qui, espérons-le, vous inclut), la plus grande menace pour la vie privée vient des courtiers en données, qui opèrent légalement et à plus grande échelle. D'un autre côté, si vous êtes réellement ciblé par les gouvernements, avec toutes les ressources à leur disposition, il n'y a probablement pas grand-chose que vous puissiez faire pour garder vos données numériques privées.

J'ai entendu dire que le logiciel ne peut pas être utilisé contre des personnes avec des numéros de code de pays +1, comme ceux trouvés aux États-Unis ou au Canada.

NSO a affirmé à plusieurs reprises que le logiciel est techniquement incapable de cibler les téléphones avec des numéros de téléphone américains +1. Ceci, bien sûr, ne protège pas les Américains qui utilisent des numéros de téléphone internationaux, mais c'est aussi quelque chose qui est difficile à prouver pour l'entreprise. Selon le Washington Post, l'enquête n'a trouvé aucune preuve que des numéros américains aient été piratés, mais ils n'ont vérifié que 67 téléphones.

Le reste des pays utilisant le code +1 au début de leurs numéros de téléphone, comme le Canada, la Jamaïque et d'autres, sont largement ignorés dans la nouvelle vague de rapports des ONS, bien que le Canada ait été mentionné dans un rapport de 2018.