Suite au scandale Pegasus, les spécialistes du Project Zero de Google ont réussi à mettre la main sur la version iOS du malware. Ils y ont découvert une attaque d'une complexité rare, allant jusqu'à simuler un ordinateur par le biais d'un « simple » GIF animé.

Vous aimez nos Actualités ?Inscrivez-vous à la lettre d'information La quotidienne pour recevoir nos toutes dernières Actualités une fois par jour.

Avec 50.000 personnes ciblées, dont 1.000 en France, le scandale Pegasus est une des plus grosses affaires d'espionnage. Pour infiltrer les téléphones des victimes, NSO Group a créé des attaques pour exploiter plusieurs failles, dont un « zéro-clic » baptisé Forcedentry. Ce dernier a pu ouvrir une brèche dans la sécurité de l'iPhone pour installer Pegasus sans la moindre interaction de l'utilisateur.

Les chercheurs en cybersécurité du Project Zero de Google ont pu décortiquer la version iOS du malware pour en comprendre son fonctionnement. Contrairement à de précédentes versions, la victime n'était pas invitée à ouvrir un lien. Ici, la faille se trouve dans l'affichage des images animées GIF dans l'application iMessage.

Un ordinateur contenu dans un GIF

Lorsque l'application tente d'afficher en boucle un fichier GIF, elle fait appel à l'un des 20 codecs d'image à sa disposition selon le type de fichier. Cela inclut un codec pour PDF. Pour infecter un iPhone, NSO Group a donc créé un fichier PDF qui est ouvert par l'interpréteur PDF CoreGraphics, qui à son tour fait appel au codec JBIG2. La faille se trouve dans ce dernier, avec lequel il est possible de provoquer un dépassement de tas (heap overflow).

Toutefois, JBIG2 ne peut pas interpréter de script, ce qui limite les possibilités à de simples fonctions logiques. Les développeurs chez NSO Group ont donc utilisé 70.000 commandes pour simuler une architecture d'ordinateur rudimentaire capable d'exécuter un script afin d'infiltrer l'appareil. Il s'agit d'une attaque incroyablement sophistiquée qui exploite une des failles les plus basiques. Les spécialistes du Project Zero l'ont qualifié « d'un des exploits les plus sophistiqués techniquement que nous ayons jamais vus ». Apple a corrigé la faille le 13 septembre avec iOS 14.8.

Ce qu'il faut retenir
Pour en savoir plus

Scandale Pegasus : cinq ministres français auraient été espionnés

Mediapart affirme que les téléphones de cinq ministres actuels disposent au moins de traces de repérage pour la mise en place du logiciel d'espionnage Pegasus. Ils auraient été ciblés entre 2019 et 2020.

Publié le 26/09/2021 par Louis Neveu

Le fameux « bourricot ailé » dont se moquait Guillaume Poupart, le patron de l'Anssi (Agence nationale de la sécurité des systèmes d'information), alors que différentes entités françaises subissaient une cyberattaque massive fin juillet, refait parler de lui. Mi-juillet, Futura expliquait que le logiciel Pegasus a été utilisé pour tenter d'espionner environ 1.000 Français, qu'il s'agisse de journalistes, d'industriels ou de personnalités politiques. Aujourd'hui, on en sait un peu plus sur les personnes ayant été ciblées à partir de 2019. Selon les dernières informations obtenues par Mediapart, un document compilant les résultats de l'inspection des téléphones des membres du gouvernement montre que les mobiles de cinq ministres disposent de « marqueurs suspects ».

Cela ne signifie pas qu'ils étaient espionnés, mais que la démarche de l'implantation de Pegasus avait au moins été initiée. Ces « marqueurs » se trouvent donc sur les téléphones, du ministre de l'Éducation nationale Jean-Michel Blanquer, de la ministre de la Cohésion des territoires Jacqueline Gourault, du ministre des Outre-mer Sébastien Lecornu, de la ministre du Logement Emmanuelle Wargon et de Julien Denormandie, ministre de l'Agriculture. Précédemment, des traces de repérage pour inoculer Pegasus avaient déjà été découvertes sur le mobile de François de Rugy, qui était alors ministre de l'Écologie.

NSO Group dément

Ces six ministres sont pour le moment ceux dont les mobiles ont été approchés pour préparer l'implantation du logiciel d'espionnage, mais en juillet, une liste des numéros de téléphone révélait qu'en tout quinze membres du gouvernement, dont l'ancien Premier Ministre avaient été ciblés. Selon Mediapart, il n'y a pas que les ministres qui ont été visés, mais aussi des haut-fonctionnaires de l'Élysée et peut être même le président de la République, dont le numéro de téléphone fait partie de la liste. À titre d'exemple, on trouve le cas du conseiller pour l'Afrique du Président de la République. Un indice suspect lorsque l'on sait que l'un des clients de l'éditeur de Pegasus, NSO Group est le Royaume du Maroc, même si le pays dément être impliqué dans ces tentatives d’espionnage. Malgré les indices techniques découverts, de son côté NSO Group a expliqué que l'ensemble des ministres français ne font pas partie des cibles de Pegasus.


Projet Pegasus : Apple défend la sécurité de ses iPhone

Projet Pegasus : l’une des attaques les plus sophistiquées de l’histoire de l’informatique

Pointé du doigt sur les failles des iPhone après les révélations du scandale du Projet Pegasus, Apple se défend et explique que son smartphone demeure le plus sécurisé du monde. Sauf que les failles sont toujours présentes et permettent toujours d'installer un logiciel espion sur une cible bien précise.

Publié le 20/07/2021 par Fabrice Auclert

Le Projet Pegasus n'en finit plus de faire couler de l'encre, et alors que des journalistes, des avocats, des lanceurs d'alertes et des personnalités politiques envisagent de porter plainte contre la société derrière ce spyware, mais aussi ceux qui ont mis en place ce système d'espionnage, d'autres voix s'élèvent contre la faiblesse de la sécurité des iPhone.

Pour espionner leurs cibles, les pirates ont utilisé la faille Kismet qui permet de piéger des iPhone par l'envoi d'un simple iMessage. Une fois que le destinataire reçoit le message et l'affiche, sans même cliquer dessus, cela déclenche l'installation du logiciel espion. C'est ce qu'on appelle une faille de type « zero-click », et iOS en a souffert avant qu'Apple ne la corrige avec iOS 14.

Voici le type de message que reçoit une cible de cet espionnage à grande échelle. Pas besoin de cliquer sur le lien, l'affichage du SMS lance l'installation. © Citizen Lab

Une faille toujours exploitée !

Le problème -- et c'est l'habituel jeu du chat et la souris entre les hackers et Apple --, c'est que la société israélienne NSO Group s'est adaptée aux correctifs d'Apple et a utilisé d'autres services pour ouvrir des brèches. Avant, il y avait eu Apple Photos, puis après le patch pour corriger iMessage, il y a eu Apple Music. Résultat, selon le rapport d'Amnesty International, la faille fonctionne encore contre les iPhone et les iPad sous iOS 14.6, mais aussi les versions 14.3 et iOS 14.4. En clair, les attaques sont toujours possibles.

“Les chercheurs en sécurité s'accordent à dire que l'iPhone est l'appareil mobile grand public le plus sûr du marché

Lundi, à la suite de ce scandale sans précédent, Apple s'est défendu dans le Washington Post, par la voix d'Ivan Krstić, responsable de l'ingénierie et de la sécurité. Après avoir « condamné sans équivoque les cyberattaques contre les journalistes, les militants des droits de l'Homme et les autres personnes qui cherchent à rendre le monde meilleur », ce dirigeant affirme que« Apple est à la pointe de l'innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité s'accordent à dire que l'iPhone est l'appareil mobile grand public le plus sûr du marché ».

Et Android ?

Selon lui, « les attaques comme celles décrites sont très sophistiquées, leur développement coûte des millions de dollars, leur durée de vie est souvent courte et elles sont utilisées pour cibler des personnes spécifiques ». Pour Apple, ces attaques « ne constituent pas une menace pour l'écrasante majorité » des utilisateurs d'iPhone.

Qu'en est-il d'Android ? Le système d'exploitation de Google n'est pas épargné par ce logiciel espion et des milliers de cibles utilisaient un smartphone sous Android, essentiellement des modèles Samsung. Pour les infecter, les pirates utilisaient aussi une faille « zero-day » présente dans WhatsApp. Le principe était le même qu'avec iMessage mais, cette fois, il suffisait d'appeler un contact pour que le piratage soit possible, et ce, même si la cible de l'attaque ne répondait pas à l'appel ! Propriétaire de Whatsapp, Facebook a corrigé la faille et déposé plainte contre NSO Group.

Dès 2018, des dirigeants de Whatsapp ont prévenu que des activités avaient été piratées par le logiciel espion Pegasus. © LoboStudioHamburg, Pixabay, DP


Projet Pegasus : les dessous d'un énorme scandale de cyberespionnage

Des États ont installé un logiciel espion sur des milliers de téléphones de journalistes et d'activistes issus d'une cinquantaine de pays. Plus de 1.000 Français feraient partie de ces cibles.

Publié le 19/07/2021 par Louis Neveu

C'est le scandale de ce dimanche 18 juillet. Lors d'une enquête menée par Forbidden Stories, un vaste consortium international de journalistes, issus de dix-sept rédactions, et épaulé par Amnesty International, a pu récupérer une liste de 50.000 numéros de téléphones ciblés par un logiciel d'espionnage du nom de Pegasus. Un logiciel qui revient ponctuellement dans l'actualité et qui a déjà été évoqué par Futura.

Dans cette enquête, il apparait que de nombreux États utilisent ce logiciel espion pour surveiller des militants, des avocats, des personnalités politiques, des journalistes et des opposants du monde entier. Parmi les cibles, se trouve une trentaine de journalistes et de patrons de médias français issus du journal Le Monde, de France Télévisions, du Figaro ou encore de l'AFP. En tout, plus de 1.000 Français seraient concernés. Treize chefs d'État ou de gouvernement, dont trois européens, ont aussi été espionnés via Pegasus. Les 50.000 numéros de téléphones relevés ne sont pas tous espionnés, mais font partie d'une liste de cibles potentielles.

Le logiciel peut être implanté de différentes façons dans le mobile Android ou un iPhone : faille zero-day via une application comme iMessage ou WhatsApp, accès direct au smartphone, installation via un lien piégé tel un malware. Une fois qu'il s'y loge, il est difficile à détecter, puisque il se trouve au niveau du noyau du téléphone, c'est-à-dire au cœur du système d'exploitation, comme le décrit un article de l'entreprise de cybersécurité Lookout. Aucun chiffrement des données n'est efficace pour s'en protéger. Il passe donc outre celui d'applications comme Signal ou Telegram. En plus de récupérer les messages, les photos, les contacts et d'écouter les appels, il peut aussi servir à activer le micro et la caméra du mobile.

L’outil se greffe dans le noyau du système et devient indétectable. Voici un extrait du code permettant de déclencher le microphone du mobile pour enregistrer ce que son microphone peut capter. © Lookout

Une puissante cyber-arme

Ce logiciel particulier est édité par la société israélienne NSO Group. Une entreprise qui est désormais devenue leader de la surveillance téléphonique. NSO Group a été créé par deux anciens agents de l'unité 8200 de Tsahal. Une unité de hackers traquant les failles des systèmes et applications pour implanter des logiciels espions. Malgré ce qu'elle prétend, l'enquête publiée dans Le Monde montre que la société n'est pas toujours regardante et vend parfois son logiciel espion à qui veut l'acheter.

“La société NSO Group n’est pas toujours regardante et vend parfois son logiciel espion à qui veut l’acheter

Elle compte une quarantaine d'États comme clients, dont le Maroc, le Kazakhstan ou l'Azerbaïdjan. En revanche, elle s'interdirait d'opérer sur une cinquantaine de pays et certains États jugés trop sensibles. C'est le cas des États-Unis, de la Russie ou d'Israël. D'ailleurs, c'est ce dernier qui lui délivre les autorisations pour commercialiser son logiciel et qui la pousse parfois à franchir la ligne rouge pour des raisons diplomatiques.

Comme le montre l'enquête, ce logiciel espion peut être considéré comme une véritable cyber-arme permettant de doter un petit pays d'un outil pouvant être utilisé pour lutter contre le terrorisme et la criminalité, mais aussi pour contrôler les médias et les opposants. Ce scandale montre surtout que, contrairement au marché de l'armement, la réglementation en matière de vente cyber-armes est très floue. Un flou juridique qui peut s'avérer dangereux lorsque cette puissante arme est vendue à un État répressif.

---

Découvrez TechPod, le résumé bimensuel de l'actualité de la tech et de la mobilité !

---

Intéressé par ce que vous venez de lire ?Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.Heureux de vous compter parmi nos lecteurs !

Liens externesLe projet PegasusTechnical Analysis of Pegasus Spyware« Projet Pegasus » : comment la société israélienne NSO Group a révolutionné l’espionnageApple iPhones were successfully hacked by NSO’s Pegasus surveillance toolAffaire Pegasus : les téléphones de cinq ministres infectés
Définitions associéesC'est quoi, Google ?Ce que "smartphone" veut direQu'est-ce qu'un spyware ?Définition simple de "Implanter"Définition de "gif animé"
Mots clés:
  • qui vend plus de téléphones apple ou samsung