Après les révélations sur le piratage potentiel de Jeff Bezos par le régime saoudien, le rapport technique d’analyse du smartphone de l’homme d’affaires a été rendu public. Et si tout pointe vers l’Arabie Saoudite, rien ne semble pour l’heure prouver formellement l’implication du régime.
Mais qui a volé les données de Jeff Bezos ? Un article du Guardian, paru le mardi 21 janvier, rapporte que l’iPhone du patron d’Amazon et du Washington Post – accessoirement l’homme le plus riche du monde – a subi un piratage en 2018. Possiblement après la réception d’un message, le 1er mai de cette année, via la messagerie chiffrée WhatsApp. Le message provenait d’un numéro utilisé par le prince Mohammed bin Salman (MBS), qui a commencé à échanger avec l’homme d’affaires sur la plate-forme appartenant à Facebook quelques mois plus tôt. Ce n’est qu’après la révélation de détails sur la vie privée de Jeff Bezos par le National Enquirer (un tabloïd américain) que les enquêteurs ont récupéré l’iPhone X du milliardaire afin de le soumettre à des tests approfondis.
Le téléphone a donc été confié à FTI Consulting, une société de conseil aux entreprises basée à Washington. Hier, Motherboard a publié le rapport d’enquête, dont les conclusions mènent également au prince héritier d’Arabie Saoudite. Mais c’est pour le moment un bilan partiel, et pour cause : nulle trace d’un malware n’a été découverte sur le terminal mobile. Pourtant, le rapport conclut que « l’analyse du smartphone, combiné aux investigations, interviews et autres informations provenant d’experts conduit FTI à penser que le téléphone de Jeff Bezos a été compromis, possiblement grâce à des outils fournis par Saud Al Qahtani (un proche de Mohammed Bin Salman) ».
Ce que dit le rapport de FTI Consulting
Le rapport indique que les enquêteurs ont mis en place un laboratoire sécurisé pour examiner le téléphone. L’enquête, qui s’est étalée sur plusieurs jours, n’a donc pas permis de trouver la trace formelle d’un malware. Toutefois, un fichier vidéo « suspect » envoyé à Bezos le 1er mai 2018 par Mohammed bin Salman a attiré l’attention des enquêteurs. En apparence, il s’agit d’un film promotionnel en langue arabe sur les télécommunications. Et le fichier est arrivé avec un téléchargeur chiffré.
Si le fichier en lui-même n’a rien de particulièrement louche, c’est le changement de comportement du téléphone qui a mis la puce à l’oreille des enquêteurs. Le rapport explique que « quelques heures après la réception du message, une exfiltration massive et non autorisée de données du téléphone de Bezos a commencé ». Après l’exécution de la vidéo, les envois de données de l’appareil ont ainsi bondi d’environ 29 000 %, avec des pics d’émission atypiques de plusieurs centaines de Mo, alors qu’au cours des six mois précédant la réception de la vidéo, le téléphone de Bezos avait en moyenne 430 Ko d’upload par jour.
C’est aussi la nature des échanges entre Bezos et MBS qui a intrigué les enquêteurs. Deux messages ont notamment retenu leur attention. Le premier est un meme en apparence anodin, qui comprenait une photo d’une femme ressemblant à Lauren Sanchez, avec laquelle Bezos avait une aventure secrète à l’époque. Le second message, plus inquiétant, a été reçu le 16 février après un briefing téléphonique privé de Bezos concernant une campagne en ligne menée contre lui en Arabie Saoudite, et lui conseillant de ne pas croire tout ce qu’il entend ou ce qui lui est dit.
Des zones d’ombres dans l’analyse
Si la première version de l’article du Guardian semblait indiquer que les outils de NSO Group, une entreprise israélienne de sécurité informatique, ont été utilisés, le rapport de FTI Consulting émet simplement l’hypothèse qu’une entreprise de ce calibre possède les ressources pour mener une telle opération. « Les spywares avancés, tels que Pegasus de NSO Group ou Galileo de Hacking Team, peuvent se connecter à des applications, contourner la détection et brouiller les activités afin d’intercepter et d’exfiltrer les données », indique le document. NSO Group s’est défendu en expliquant que ses outils n’ont pas été utilisés, et qu’ils ne fonctionnent de toute façon pas avec les numéros américains.
Les recherches menées par FTI Consulting semblent également incomplètes sur plusieurs points. Si l’entreprise explique n’avoir pas eu accès à la sauvegarde iTunes du téléphone en raison d’un oubli de mot de passe (par Jeff Bezos), certains experts s’accordent à dire que cette sauvegarde iTunes n’aurait pas permis de trouver autre chose que des fichiers sans réel intérêt.
Autre problème, le mystérieux « téléchargeur » lié à la vidéo n’a pas pu être déchiffré, étant donné que tous les contenus partagés via ce logiciel sont cryptés… D’après l’expert en sécurité Alex Stamos , il pourrait s’agir tout simplement du comportement normal d’une pièce jointe téléchargée sur WhatsApp.
Enfin, si le piratage du téléphone prend sa source sur WhatsApp, il y a fort à parier que les hackers n’ont pas profité d’une seule vulnérabilité, et qu’une ou plusieurs failles d’iOS ont également été exploitées pour extraire les données.
De nouvelles investigations à venir
Dans une note de conclusion, le rapport de FTI Consulting révèle que de nouvelles analyses seront menées sur le téléphone de Jeff Bezos avec la création d’un « nouvel environnement de laboratoire permettant de capturer et analyser les données cellulaires de l’iPhone X”. “Les investigations précédentes ont été menées en environnement clos, uniquement via Wi-Fi, sans connexion Internet active, et les malwares les plus sophistiqués peuvent détecter ce type de conditions et éviter d’être découverts », peut-on lire. FTI devrait également procéder à un jailbreak de l’iPhone afin d’avoir accès aux données les plus confidentielles du terminal.
Après les révélations, Jeff Bezos a simplement tweeté une photo en hommage à Jamal Khashoggi, qui travaillait pour le Washington Post, dont il est propriétaire.
De leur côté, des experts des Nations Unies s’orientent eux aussi vers l’Arabie Saoudite et ont déclaré que le piratage du téléphone de Bezos fait partie « d’un schéma de surveillance ciblée des opposants présumés ainsi que de ceux qui ont une importance stratégique pour les autorités saoudiennes ». Pour rappel, le régime saoudien est accusé par les Nations Unies d’avoir assassiné Jamal Khashoggi, un journaliste saoudien travaillant alors pour le… Washington Post.
Source : 01net