Des milliers de smartphones pourraient avoir été infectés par les outils d’une société israélienne. Le logiciel était utilisé par des Etats autoritaires pour surveiller des opposants, journalistes, avocats et politiques, y compris en France.
Depuis ce dimanche 18 juillet, les révélations sur le Projet Pegasus s’enchaînent. Une coalition internationale de 17 médias menée par le consortium Forbidden Stories et Amnesty International égrène les scoops tirés d’une fuite massive de données impliquant le logiciel espion Pegasus.
A l’origine, ils ont mis la main sur un fichier contenant 50 000 numéros de téléphone, cibles potentielles du logiciel espion. Après six mois d’enquête, ils ont pu en tirer de nombreuses conclusions et constater notamment que des smartphones avaient été effectivement compromis pour surveiller leurs propriétaires. Nous revenons sur les informations dévoilées tout au long de la semaine.
A quoi sert Pegasus ?
Pegasus est un logiciel malveillant édité par la société NSO. Il permet d’accéder à tout le contenu d’un smartphone à l’insu de son propriétaire : photos, vidéos, SMS, mails, carnets d’adresse, conversations via des messageries chiffrées, navigation Web, ou encore géolocalisation.
Il est même capable de déclencher le micro et la caméra de l’appareil à distance. Son éditeur NSO ne le commercialise qu’auprès de clients gouvernementaux. C’est un outil d’espionnage dont plusieurs cas d’abus avaient déjà été documentés ces dernières années. Il a été mis en cause dès 2016 par le CitizenLab.
Quelle est cette société, NSO ?
NSO est donc l’éditeur de Pegasus. C’est une société israélienne privée, créée en 2009, par Niv Carmi, Shalev Hulio et Omri Lavie. Le premier a quitté le navire lorsque l’entreprise s’est réorientée vers la surveillance numérique. A l’origine, elle avait développé un outil permettant aux opérateurs de se connecter à distance sur les téléphones de leurs clients avec leur accord.
Le produit a ensuite été adapté pour faire du renseignement. Shalev Hulio et Omri Lavie recrutent des anciens du Mossad et des vétérans de l’armée israélienne, notamment de la fameuse unité 8200 qui s’apparente à la NSA américaine dans ses prérogatives et a donné à la cybersécurité un grand nombre d’experts. NSO ne pouvait ignorer l’usage que feraient les Etats de son logiciel.
Qui était ciblé ?
Il faut distinguer les personnes dont le numéro apparaît dans la liste qui a fuité, de celles dont les smartphones ont été contaminés. Les noms qui apparaissent dans le fichier sont essentiellement des membres de la société civile : journalistes, activistes, hommes d’affaires et avocats dans une cinquantaine de pays.
Mais, il y a aussi des chefs d’Etat, ministres, diplomates ou des hauts responsables du renseignement. La France est particulièrement touchée avec un millier de personne ciblées. Des numéros du président Emmanuel Macron, de l’ancien Premier ministre Edouard Philippe, d’anciens membres du gouvernement et de deux journalistes de Mediapart, dont Edwy Plenel sont concernés.
Qui a été espionné ?
Pour le moment, impossible de savoir si tous les numéros de la liste ont été infectés. Les preuves sont particulièrement difficiles à trouver, en particulier sur les smartphones Android.
L’enquête a permis de le certifier pour seulement 37 des appareils. Claude Mangin, épouse d’un opposant emprisonné au Maroc, ou encore Hatice Cengiz, fiancée du saoudien Jamal Khashoggi, assassiné, font partie des victimes.
Des individus qui sont loin des profils censés être traqués par Pegasus. D’après NSO, le logiciel ne collecte des données que sur des personnes soupçonnées de crime ou de terrorisme. En réalité, il a bien été utilisé à des fins d’espionnage politique et de répression intérieure.
Qui a exploité Pegasus ?
Concernant la France, ce sont les services de renseignement marocains qui seraient à l’origine de l’espionnage. Les donneurs d’ordre sont essentiellement des Etats répressifs. Citons l’Inde, le Mexique, l’Azerbaïdjan, l’Arabie saoudite, le Togo, les Émirats arabes unis, le Bahreïn, le Kazakhstan, le Rwanda ou encore la Hongrie.
Sachant que Pegasus aurait été utilisé par une quarantaine de pays, il est probable que le nombre de clients impliqués, ainsi que la masse des victimes soient beaucoup plus élevés.
Comment le logiciel infecte-t-il les smartphones ?
Il y a eu trois types d’attaque. Au départ, il s’agissait de liens malveillants envoyés par SMS sur lesquels cliquaient les victimes, ce qui infectait leurs appareils.
Il y a eu ensuite les injections réseau, où l’utilisateur se connectait à un site non chiffré en HTTP et était redirigé vers un site piégé avec un malware.
Enfin, le plus spectaculaire est venu. Ce sont les attaques zéro-click qui se sont multipliées à partir de 2019. Elles exploitent des vulnérabilités dans des applications et permettent de s’infiltrer dans l’appareil sans interaction de l’utilisateur.
Les chercheurs du Security Lab, d’Amnesty International, ont mis à disposition un programme, Mobile Verification Toolkit (MVT) pour trouver des traces de compromission sur les appareils. Il demande un certain savoir-faire, mais pourra rassurer les plus inquiets.
source : 01net