Pegasus

Informations
Développé par NSO GroupVoir et modifier les données sur Wikidata
Système d'exploitation IOS et AndroidVoir et modifier les données sur Wikidata
Type Logiciel espionVoir et modifier les données sur Wikidata
Licence Licence propriétaireVoir et modifier les données sur Wikidata

Pegasus est un logiciel espion conçu pour attaquer les téléphones mobiles sous iOS et Android. Il est conçu et commercialisé dès 2013 par l'entreprise israélienne NSO Group et les premières traces de ses intrusions ne sont découvertes qu'en 2016. Installé sur l'appareil, il accède aux fichiers, messages, photos et mots de passe, écoute les appels, et peut déclencher l'enregistrement audio, la caméra ou encore le suivi de la géolocalisation.

Pegasus est vendu officiellement uniquement à des organisations étatiques pour la surveillance des personnes soupçonnées de terrorisme ou autre crimes graves. Dans la pratique, il se révèle être aussi utilisé par des régimes démocratiques et des régimes autoritaires pour surveiller des journalistes, des opposants politiques et des militants des droits de l'homme. En vertu d'accords de principe, les clients de Pegasus ne peuvent pas cibler de téléphones aux États-Unis, en Chine, en Russie, en Israël ou en Iran.

Éditeur, commercialisation et découverte de son existence

Le logiciel espion Pegasus est développé par la société israélienne NSO Group. L'acquisition de la licence logicielle de Pegasus peut atteindre des dizaines de millions de dollars (voir infra pour le client Mexique) en fonction du nombre de cibles envisagées. Son prix peut atteindre 25 000 $ par cible[1]. NSO Group fabrique et commercialise des équipements de pointe destinés à lutter contre le terrorisme et le crime organisé[2].

Des courriels ayant fuité indiquent que le logiciel est commercialisé dès (date à laquelle les Émirats arabes unis achètent une licence)[3]. Il est en outre évoqué en juin de la même année par le Financial Times, quoique son nom ne soit pas mentionné[4],[5].

En 2016, le logiciel Pegasus est découvert sur le téléphone de l'opposant émirati Ahmed Mansour (en), exilé au Canada, par les chercheurs du Citizen Lab de l'université de Toronto[6].

Chaque vente du logiciel Pegasus doit être approuvée par le ministère israélien de la Défense[7]. Le groupe NSO fait face à plusieurs poursuites reliées à l'utilisation de ce logiciel espion[7].

Caractéristiques techniques

Le fonctionnement technique du logiciel Pegasus utilise les failles de sécurité des systèmes d'exploitation iOS de l'entreprise Apple ou Android de l'entreprise Google des téléphones mobiles, il évolue en permanence. La société NSO Group qui le produit analyse aussi les découvertes réalisées sur les modes opératoires du logiciel par des ONG ou des journalistes et le modifie en conséquence[8].

Vulnérabilités

Les vulnérabilités zero-day étant très difficiles à trouver — elles font l'objet d'un véritable marché dans lequel des hackers vendent leurs trouvailles au plus offrant[4],[9] —, elles ont un coût élevé[10], par exemple jusqu'à 2,5 millions d'euros pour une faille concernant le système d'exploitation Android[11]. La découverte de vulnérabilités sur iOS est relativement rare, mais Pegasus exploite de nouvelles vulnérabilités au fur et à mesure qu'elles sont détectées et avant qu'elles ne soient corrigées par Apple[10].

Par exemple, dès 2016, l'iPhone 6 a été la cible de Pegasus qui exploitait plusieurs vulnérabilités logées dans la bibliothèque WebKit. Les failles permettent, en chargeant une page web, d'exécuter du code tiers sur l'iPhone puis de réaliser un Jailbreak d'iOS sur un iPhone ; ensuite, le logiciel chargé localise les zones mémoire du kernel pour les modifier, mettant hors d'usage les différentes couches de protection applicative. Le piratage se termine par le téléchargement et l'installation de Pegasus[12].

Installation

L'installation du logiciel sur le smartphone visé peut se faire par plusieurs moyens[13]:

  • Par spear phishing: elle nécessite que l'utilisateur clique sur un lien envoyé via un sms ou un iMessage qui exploite ensuite des failles logicielles[8],[13],[14],
  • Par redirection internet: L'utilisateur est redirigé à son insu vers une autre URL que celle du site web qu'il souhaite visiter[15],
  • Par radiocommunication : depuis , NSO recourt à des techniques dites « zero click » qui installent Pegasus sans action de l'utilisateur[15]. Ces techniques s'appuient notamment sur les vulnérabilités zero-day de divers logiciels[15], comme Whatsapp, iMessage ou Apple Music[11],
  • Par émetteur-récepteur sans fil à proximité du terminal,
  • Manuellement: si le smartphone de la cible est dans les mains du commanditaire

    Pegasus fournit au commanditaire un large accès aux données du téléphone, incluant les sms et les messages (y compris chiffrés) envoyés et reçus, le carnet d'adresses, il peut activer micro et caméra, capter les données de localisation GPS et permettre l'enregistrement des appels téléphoniques[13],[16]. Il peut accéder aussi aux publications sur les réseaux sociaux, aux photos, aux vidéos, aux enregistrements. Il a accès aux historiques des consultations internet. Il peut aussi retracer l’itinéraire de son utilisateur[17]. Par exemple, Pegasus est capable de capter des données d’applications, comme WhatsApp, Skype, Facebook ou Gmail. Il peut aussi enregistrer tous les caractères saisis sur le téléphone ou photographier l’écran[18].

    Furtivité

    Le logiciel espion Pegasus est sophistiqué et modulaire, en plus de permettre une personnalisation selon le pays d'utilisation ou les propriétés achetées par l'utilisateur final. Il utilise un chiffrement pour se protéger de la détection des outils de sécurité traditionnels et dispose d'un mécanisme de surveillance et d'autodestruction[1]. Les versions les plus récentes du logiciel sont susceptibles de se loger uniquement dans la mémoire vive du smartphone, et non sa mémoire permanente, ce qui permet d'en faire disparaître toute trace lors de l'extinction du téléphone[13].

    Architecture

    L'architecture technique du système s'appuie sur trois niveaux : une station de travail, un serveur informatique d'infection et une infrastructure cloud. L'opérateur lance son attaque depuis sa station, ce qui provoque l'envoi du SMS piégé. Le lien qu'il incorpore pointe vers l'un des serveurs web de l'infrastructure cloud. Le serveur web redirige la victime ensuite vers le serveur d'infection qui va exécuter l'attaque[12].

    Utilisation du cloud

    Pegasus s'appuie sur les serveurs informatiques d'Amazon Web Services (AWS), filliale d'Amazon et de serveurs hébergés en Europe, dont ceux d'OVH[19]. Suite aux révélations du Projet Pegasus en juillet 2021, Amazon débranche ces serveurs. Selon le laboratoire de recherches canadien Citizen Lab, les services informatiques d’AWS constituent un pilier important de l’infrastructure technique de Pegasus, sans pour autant constituer le cœur de son infrastructure informatique[20].

    Détection

    Pour vérifier si un téléphone mobile est infecté, une analyse technique par des experts en sécurité informatique est nécessaire. Dans le cadre de l'enquête journalistique du projet Pegasus, le Security Lab d’Amnesty International, qui par ailleurs offre pour les initiés un outil de détection, a analysé des téléphones ciblés et y a détecté des traces d’intrusions. La méthode de détection a été validée de manière indépendante par les chercheurs du Citizen Lab de l’université de Toronto[21],[22].

États clients

L'entreprise NSO Group qui revendique une quarantaine de clients étatiques[8] travaille en relation avec le gouvernement israélien qui délivre les autorisations d’exportation[23]. Parmi les États qui utiliseraient le logiciel figurent l'Espagne, l'Arabie saoudite, l'Azerbaïdjan, Bahreïn, les Émirats arabes unis, la Hongrie, l'Inde, le Kazakhstan, le Maroc, le Mexique, le Panama, le Rwanda et le Togo[24],[3],[25].

Utilisations abusives contre des opposants politiques et journalistes

L'utilisation du logiciel est controversée. En effet, si l'entreprise revendique une utilisation légale de cette technologie (enquêtes criminelles comme celle qui a mené à l'arrestation du baron de la drogue El Chapo), Pegasus est dans la pratique utilisé par des agences de renseignements étatiques, parfois de dictatures, pour espionner des journalistes, des opposants politiques et des militants des droits de l'homme[26].

Dès 2015

L'Espagne a utilisé Pegasus contre le mouvement indépendantiste catalan, à partir de 2015[27].

Enquête de 2016

Les premières révélations sortent en 2016 sur la société israélienne NSO Group[28].Le , le laboratoire Citizen Lab et l'entreprise Lookout (en) révèlent que le smartphone du militant des droits de l'homme Ahmed Mansoor (en) a été ciblé par un logiciel espion nommé Pegasus[29]. Ahmed Mansoor est un militant émirati, lauréat 2015 du prix Martin Ennals. Le , il informe les chercheurs du Citizen Lab, Bill Marczak et John Scott-Railton, qu'il vient de recevoir deux SMS suspects sur son iPhone 6. Ces SMS promettent de lui révéler des secrets sur les prisonniers torturés dans les prisons des Émirats arabes unis (EAU). Mansoor devient immédiatement suspicieux : il a été emprisonné pour son activisme et est régulièrement la cible de malwares commerciaux que les analystes ont rattachés au gouvernement des EAU[29].

L'analyse publiée par Citizen Lab et Lookout indique que l'URL du SMS (qui relève du hameçonnage ciblé) dirige vers le téléchargement d'un logiciel malveillant qui exploite trois vulnérabilités critiques dites « zero-day » du système d'exploitation iOS, dénommé Trident. Le logiciel s'installe alors discrètement sur l'iPhone sans en informer l'utilisateur et transmet au commanditaire de nombreuses données (localisation GPS, communications, photos, liste des contacts, accès aux micro et caméra, etc.)[1],[30],[17],[31]. Les chercheurs découvrent que le virus est un produit référencé par NSO Group, appelé Pegasus dans des documents confidentiels[1]. Des détails du logiciel espion confirment aux chercheurs que son emploi n'est pas nouveau et remonte à plusieurs années[32].

Enquêtes ultérieures

Au Mexique, où le gouvernement a payé 80 millions de dollars pour en faire l'acquisition, il a servi à suivre le journaliste mexicain Javier Valdez Cárdenas, assassiné en 2017, et au moins huit autres journalistes, ainsi que l'a démontré le Citizen Lab de l'université de Toronto dans une série d'articles[33]. En Arabie saoudite, il a servi à espionner divers activistes, notamment un confident de Jamal Khashoggi en [7].

En , le Citizen Lab a alerté Facebook après avoir découvert une activité suspecte dans le téléphone d'un avocat britannique, Yahya Assiri, impliqué dans des poursuites visant NSO Group. L'entreprise est en effet accusée de fournir à l'Arabie saoudite des outils pour pirater les téléphones d'Omar Abdulaziz, un dissident saoudien installé au Canada — dont l'espionnage est susceptible d'avoir concouru à l'assassinat de Jamal Khashoggi —, un citoyen qatarien et un groupe de journalistes et de militants mexicains[34],[35],[36],[37]. Dès le , WhatsApp reconnait publiquement qu'une vulnérabilité de son logiciel[38] permet au groupe NSO d'infecter un téléphone par un simple appel, même laissé sans réponse, et il invite toute sa base d'usagers à installer une mise à jour[39]. La mise à jour iOS 9.3.5, publiée le , a supprimé les vulnérabilités exploitées par Pegasus à cette date[40]. In fine, WhatsApp évalue à 1 400 le nombre d'utilisateurs dont les téléphones ont été infectés par Pegasus[41].

L’ONG Citizen Lab établit qu'en 2019 le téléphone de Roger Torrent, président du Parlement de Catalogne, a été ciblé par ce logiciel espion[42].

Le logiciel a été employé par le gouvernement mexicain d'Enrique Peña Nieto pour surveiller des journalistes, des opposants politiques, et des enquêteurs internationaux[43].

En , Amnesty International a déposé un affidavit en Israël demandant de cesser la vente et la distribution du logiciel espion parce que celui-ci menace le droit à la vie privée et à la liberté d'opinion et d'expression, en violation des obligations d'Israël[44],[45].

En , le journal Le Monde révèle, d'après une enquête menée conjointement avec le journal The Guardian, que six Togolais, opposants au régime en place ou dignitaires religieux, dont Mgr Benoît Alowonou, évêque du diocèse de Kpalimé, ont été la cible d'espionnage via l’utilisation du logiciel Pegasus[46].

Quelques mois plus tard, en , le laboratoire Citizen Lab révèle que plus d'une trentaine de journalistes de la chaîne de télévision qatarie Al Jazeera ont été pris pour cible par Pegasus, probablement à l'initiative de l'Arabie saoudite et des Émirats arabes unis[47],[48].

Enquête de Forbidden Stories en juillet 2021

En , une enquête nommée « Projet Pegasus » du collectif de journalistes Forbidden Stories s'appuyant sur l'expertise technique d'Amnesty International (Security Lab d’Amnesty International), montre que le logiciel est utilisé à des fins politiques par onze États, notamment pour espionner des opposants, des militants, des journalistes et des juges[49],[50].

Parmi les mille cibles potentielles identifiées, sur 50 000 numéros de téléphone présélectionnés par des États, on dénombre 189 journalistes, 85 militants des droits de l'homme, 65 dirigeants d'entreprises et 600 personnalités politiques ou membres d'instances gouvernementales, dont plusieurs chefs d'État[14],[51].

Notes et références

  1. a b c et d « Technical Analysis of Pegasus Spyware : An Investigation Into Highly Sophisticated Espionage Software », sur info.lookout.com, Lookout, .
  2. Cellule investigation de Radio France, « Le Projet Pegasus en cinq questions », sur FranceInter.fr, (consulté le 20 juillet 2021)
  3. a et b (en) David D. Kirkpatrick et Azam Ahmed, « Hacking a Prince, an Emir and a Journalist to Impress a Client », The New York Times,‎ (lire en ligne).
  4. a et b Jérôme Hourdeaux, « Pegasus : un outil de surveillance redoutable et hors de contrôle », Mediapart, .
  5. (en) John Reed, « A secretive world moves from cloak and dagger to the smartphone », Financial Times,‎ (lire en ligne).
  6. (en) « How Does Pegasus Work? », Organized Crime and Corruption Reporting Project, (consulté le 19 juillet 2021).
  7. a b et c (en) John Scott-Railton et Ronald J. Deibert, « Governments are deploying spyware on killers, drug lords and journalists », The Globe and Mail,‎ (lire en ligne).
  8. a b et c Florian Reynaud, « « Projet Pegasus » : dans les coulisses de la traque d’un logiciel espion sophistiqué », Le Monde,‎ (lire en ligne).
  9. Florian Reynaud, « Vendus comme très sûrs, les iPhone ont été piratés par Pegasus pendant des années », Le Monde,‎ (lire en ligne).
  10. a et b « Failles Trident sur iOs et Spyware Pegasus : tout comprendre sur cette attaque qui a fait trembler Apple », sur Advens, (consulté le 7 décembre 2018).
  11. a et b « Pegasus : que sait-on du logiciel qui a servi à espionner des militants, journalistes et opposants du monde entier ? », sur SudOuest.fr, (consulté le 20 juillet 2021)
  12. a et b Gilbert Kallenborn, « Comment fonctionne Pegasus, ce malware qui vole toutes les données de l'iPhone », sur 01net.com, (consulté le 21 juillet 2021)
  13. a b c d et e (en) David Pegg et Sam Cutler, « What is Pegasus spyware and how does it hack phones? », The Guardian,‎ (lire en ligne).
  14. a et b (en) Dana Priest, Craig Timberg et Souad Mekhennet, « Private Israeli spyware used to hack cellphones of journalists, activists worldwide », The Washington Post,‎ (lire en ligne).
  15. a b et c (en) « Forensic Methodology Report: How to catch NSO Group’s Pegasus », Amnesty International, .
  16. (de) « Mächtige Spionage-Software für iPhones entdeckt », Der Standard,‎ (lire en ligne, consulté le 1er septembre 2016).
  17. a et b « Le projet Pegasus révèle les faiblesses des iPhone », sur France Culture, (consulté le 20 juillet 2021)
  18. Martin Untersinger, « Découverte d’une version pour Android du logiciel espion Pegasus », sur LeMonde.fr, (consulté le 20 juillet 2021).
  19. « Comment fonctionne le logiciel espion Pegasus ? », sur Le Monde Informatique,
  20. « « Projet Pegasus » : Amazon débranche les serveurs de l’entreprise de surveillance NSO Group », sur LeMonde.fr, (consulté le 20 juillet 2021).
  21. Nicolas Six, « « Projet Pegasus » : comment savoir si l’on a été infecté par le logiciel de surveillance ? », sur LeMonde.fr, (consulté le 23 juillet 2021).
  22. « Comment les données du « Projet Pegasus » ont été analysées », sur LeMonde.fr, (consulté le 23 juillet 2021).
  23. « «Projet Pegasus». Qu’est-ce que NSO group, la société qui a vendu le logiciel espion dans 40 pays ? », sur Ouest France,
  24. (en) Phineas Rueckert, « Pegasus: The new global weapon for silencing journalists », Forbidden Stories, .
  25. Fabrice Arfi, Camille Polloni et Ilyes Ramdani, « « Projet Pegasus » : des révélations d’une ampleur mondiale sur la surveillance », Mediapart, .
  26. (en) Dan Tynan, « Apple issues global iOS update after attempt to use spyware on activist's iPhone », sur the Guardian (consulté le 3 novembre 2016).
  27. (es) Alberto R. Aguiar, « Todo lo que se sabe hasta ahora del hackeo y el espionaje a los teléfonos de políticos independentistas de Cataluña que se hizo con tecnología de la israelí NSO Group » [« Tout ce que l'on sait à ce jour sur le piratage et l'espionnage des téléphones des politiciens indépendantistes en Catalogne, réalisés avec la technologie du groupe israélien NSO »], Business Insider,‎ (lire en ligne, consulté le 20 juillet 2021).
  28. Martin Untersinger et Damien Leloup, « « Projet Pegasus » : comment la société israélienne NSO Group a révolutionné l’espionnage », Le Monde,‎ (lire en ligne, consulté le 19 juillet 2021).
  29. a et b The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender
  30. (en-US) David D. Kirkpatrick, « Israeli Software Helped Saudis Spy on Khashoggi, Lawsuit Says », The New York Times,‎ (ISSN 0362-4331, lire en ligne, consulté le 7 décembre 2018).
  31. « Vendus comme très sûrs, les iPhone ont été piratés par Pegasus pendant des années », Le Monde.fr,‎ (lire en ligne, consulté le 20 juillet 2021)
  32. (en) « This malware sold to governments could help them spy on iPhones, researchers say », The Washington Post,‎ (lire en ligne, consulté le 7 décembre 2018).
  33. (en) John Scott-Railton, Bill Marczak, Siena Anstis, Bahr Abdul Razzak, Masashi Crete-Nishihata et Ron Deibert, « Reckless VII. Wife of Journalist Slain in Cartel-Linked Killing Targeted with NSO Group’s Spyware », Citizen Lab, .
  34. (en) Tamsin McMahon, WhatsApp security flaw discovered with help from Canadian researchers, The Globe and Mail, 14 mai 2019.
  35. (en) Nicole Perlroth et Ronen Bergman, « Israeli Firm Tied to Tool That Uses WhatsApp Flaw to Spy on Activists », The New York Times,‎ (lire en ligne).
  36. « Projet Pegasus : des révélations choc sur un logiciel espion israélien », sur amnesty.fr, .
  37. (en) David D. Kirkpatrick, « Israeli Software Helped Saudis Spy on Khashoggi, Lawsuit Says », The New York Times,‎ (lire en ligne).
  38. (en) Lily Hay Newman, How Hackers Broke WhatsApp With Just a Phone Call, Wired, 14 mai 2019.
  39. (en) J. Carrie Wong, WhatsApp spyware attack was attempt to hack human rights data, says lawyer, The Guardian, 14 mai 2019.
  40. Danièle Kriegel, « Logiciel espion : le juteux business des virus... et de leurs antidotes », sur Le Point (consulté le 1er septembre 2016).
  41. (en) Nick Hopkins et Stephanie Kirchgaessner, « WhatsApp sues Israeli firm, accusing it of hacking activists' phones », The Guardian,‎ (lire en ligne).
  42. Damien Leloup, « Des militants catalans visés par un logiciel espion ultraperfectionné », Le Monde,‎ (lire en ligne, consulté le 14 juillet 2020).
  43. Benjamin Fernandez, « Au Mexique, où sont les « quarante-trois » ? », Le Monde diplomatique,‎ (lire en ligne).
  44. the Pegasus spyware platform threatens the rights to privacy and to freedom of opinion and expression, in breach of Israel’s obligations under international human rights law, Affidavit, p. 16
  45. (en) Dan Sabbagh, « Israeli firm linked to WhatsApp spyware attack faces lawsuit », The Guardian,‎ (lire en ligne).
  46. Joan Tilouine, « Comment le Togo a utilisé le logiciel israélien Pegasus pour espionner des religieux catholiques et des opposants », Le Monde,‎ (lire en ligne).
  47. (en) Miriam Berger, « Report accuses Saudi Arabia, UAE of probably hacking phones of over three dozen journalists in London, Qatar », The Washington Post,‎ (lire en ligne).
  48. (en) Stephanie Kirchgaessner et Michael Safi, « Dozens of Al Jazeera journalists allegedly hacked using Israeli firm's spyware », The Guardian,‎ (lire en ligne).
  49. Jacques Monin, « Le "projet Pegasus" : un logiciel espion utilisé par des États pour cibler des politiques, des journalistes, des avocats... y compris des Français », sur France Info, (consulté le 18 juillet 2021).
  50. « « Projet Pegasus » : révélations sur un système mondial d’espionnage de téléphones », Le Monde,‎ (lire en ligne, consulté le 18 juillet 2021).
  51. « À propos du Projet Pegasus », Forbidden Stories, .

Voir aussi

Articles connexes