Pegasus - Logiciel espion, tout comprendre sur l'affaire d'espionnage

Comprendre l’affaire Pegasus

Fondée en 2010 en Israël, la société NSO Group avait initialement pour ambition de proposer des technologies d’intelligence artificielle au service de la lutte contre le crime et le terrorisme. Ses fondateurs, Shalev Hulio et Omri Lavie, sont tous deux d’anciens membres de l’unité 8200, considérée comme l’équivalent israélien de la NSA américaine. Forts de leur expertise dans le domaine du renseignement électronique acquise au sein des services de cyber-renseignement de l’armée israélienne, ils ont cherché à mettre leurs compétences au service d’agences gouvernementales du monde entier en développant des solutions technologiques sophistiquées pour surveiller et intercepter des communications criminelles ou terroristes.

Le logiciel Pegasus et ses capacités techniques

Commercialisé à partir de 2016, Pegasus est considéré comme l’un des logiciels espions les plus puissants actuellement disponibles sur le marché. Capable de s’introduire et de se propager de manière invisible sur les appareils mobiles, il permet ensuite d’aspirer les données de l’ensemble des applications installées, y compris les messageries et services de stockage en ligne. Grâce à l’activation des micros et caméras des smartphones à distance, il offre également la possibilité d’espionner en temps réel les conversations et environnements d’une cible. Sa version la plus récente serait même en mesure d’intercepter les connections sécurisées via HTTPS.

Pegasus est capable d’infecter les smartphones aussi bien fonctionnant sous iOS qu’Android. Sur iPhone, il exploite des failles 0-day, c’est-à-dire des vulnérabilités non corrigées par Apple, nous avons déjà réalisé un article présentant la définition précise des vulnérabilités 0-day. Les dernières versions de Pegasus initiaient leur attaque par le biais de iMessage, en envoyant simplement un message contenant du code malveillant à la cible, sans qu’elle ait besoin d’ouvrir ou cliquer sur quoi que ce soit (zero-click). Le logiciel espion parvenait ainsi à s’installer automatiquement en toute discrétion.

Sur Android, les vecteurs d’attaque sont plus variés. Pegasus a notamment eu recours à des liens piégés ou des pop-ups trompeurs sur des sites web malveillants pour inciter l’utilisateur à cliquer et télécharger sans le savoir une application infectée. Des serveurs proposant des mises à jour d’applications légitimes ont également été détournés pour propager Pegasus. Le groupe NSO a également sûrement bénéficié de failles 0-day sur Android par le passé pour contaminer à distance des smartphones.

Plus généralement, pour infecter un smartphone, 3 méthodes d’actions étaient employées. Premièrement, via de spear phishing, c’est-à-dire du phishing (fausse page usurpant l’identité d’une banque ou d’un service en ligne) ciblé. Deuxièmement, via l’utilisation de messagerie comme Whatsapp et iMessage comportant des failles exploitables. Troisièmement par l’utilisation de SMS ou d’emails classiques avec des liens nécessitant l’intervention (le clic) de l’utilisateur. Et enfin une technique plus sophistiquées et coûteuses, les SMS silencieux qui permettent de faire parvenir des messages et du code informatique à exécuter via la ligne mobile de l’utilisateur sans l’informer et sans afficher de notification.

Une fois installé sur la cible, Pegasus offre à l’utilisateur un accès complet à l’intégralité des données contenues dans le smartphone. Le logiciel espion peut récupérer aussi bien les messages échangés via les applications de messagerie classiques comme Instagram ou Messenger, que les e-mails, les SMS, photos, fichiers stockés en local ou sur le cloud. Même les messages envoyés via des applications “sécurisées” comme Signal ou Telegram peuvent être interceptés, Pegasus étant capable de contourner leur chiffrement de bout en bout grâce à l’accès root au système qu’il s’octroie. Pour être factuel pour tous, Pegasus ayant un accès total au téléphone est capable de lire les messages comme si le téléphone était dans la main de l’attaquant.

Au-delà du contenu des conversations, toutes les métadonnées associées (contacts, numéros, heures d’envoi…) sont également récoltées. L’activation à distance des micros et caméras permet en outre d’espionner en temps réel les échanges vocaux et l’environnement visuel de la cible.

Pegasus serait actuellement commercialisé sous sa version 3.

Impacts et scandales autour du logiciel espion

L’étude menée par un consortium de 17 médias internationaux a permis d’identifier que le logiciel Pegasus a été utilisé contre plus de 50 000 numéros de téléphone dans le monde entier. En Europe, de nombreuses cibles politiques, journalistiques et de la société civile ont été sélectionnées par les clients de NSO, principalement situés dans des pays du Moyen-Orient et d’Afrique. En France, les révélations font état du piratage de l’iPhone du président Emmanuel Macron en 2019. Des membres du gouvernement, le premier ministre Édouard Phillipe, des députés et sénateurs, ainsi que plusieurs journalistes d’investigation de médias comme Médiapart, Le Monde ou Radio France ont également été ciblés. Le Maroc est soupçonné d’avoir utilisé Pegasus pour infiltrer les téléphones de plusieurs personnalités politiques françaises afin de mener des opérations de surveillance secrète. Le Royaume du Maroc a poursuivi des ONG et des médias français pour diffamation mais le tribunal de Paris a déclaré ces plaintes irrecevables.

Suite aux révélations sur son utilisation massive contre la société civile et les opposants politiques, Pegasus a déclenché une vive polémique mondiale. De nombreuses enquêtes ont permis de mettre en lumière l’ampleur de son déploiement abusif par des régimes autoritaires contre des journalistes, avocats et militants des droits humains. Face à ce dévoiement de ses technologies, NSO Group fait désormais l’objet de poursuites judiciaires et de graves accusations d’atteintes aux droits de l’Homme.

Selon l’analyses de Forbidden Stories et Amnesty International, au moins 180 journalistes auraient été sélectionnés en tant que cibles potentielles dans 20 pays, dont de nombreux travaillant pour des médias de référence comme CNN, Wall Street Journal, le New York Times, Al Jazeera ou encore le Monde.

En Europe, le gouvernement hongrois aurait également eu recours au logiciel pour espionner des journalistes et des opposants politiques. En Pologne, près de 300 personnalités, dont des avocats et des sénateurs, figuraient sur une liste de cibles potentielles. En Espagne, l’indépendantiste catalan Carles Puigdemont, exilé en Belgique, a été infecté à plusieurs reprises. Parmi les journalistes français visés, on compte notamment les reporters d’investigation Lénaïg Bredoux du Monde et Henri de La Croix du Canard Enchaîné.

Le logiciel aurait permis d’infiltrer aussi bien les conversations privées que les échanges professionnels sensibles du Président de la République, Emmanuel Macron. La direction générale de la sécurité intérieure (renseignements français) (DGSI) enquête sur cette affaire d’espionnage à grande échelle depuis plusieurs mois.

Procès et controverses autour des clients de NSO

Parmi les clients identifiés de Pegasus, on trouve le Maroc, l’Arabie Saoudite ou encore les Emirats Arabes Unis, régulièrement pointés du doigt par les ONG et les médias concernant les droits humains. Leurs acquisitions massives du logiciel posent question sur les dérives sécuritaires permises.

Aux Etats-Unis, un procès a été engagé par WhatsApp contre NSO Group pour piratage informatique, après la découverte d’attaques visant jusqu’à 1 400 utilisateurs de l’application en 2019. L’entreprise NSO fait désormais l’objet de plusieurs enquêtes et plaintes pour complicité dans les violations des droits humains commises via Pegasus.

Médiapart et Radio France ont engagé des procédures judiciaires après la révélation que des journalistes de ces médias avaient été sélectionnés comme cibles. Pegasus aurait pu permettre d’espionner des conversations confidentielles entre avocats et leurs clients, remettant en cause le secret professionnel.

Le Commissaire européen Didier Reynders a demandé l’ouverture d’une enquête sur les atteintes aux droits fondamentaux commises via ce logiciel. Des parlementaires européens appellent à davantage encadrer le commerce des outils d’espionnage et à sanctionner les États contrevenants.

Le Conseil de l’Europe a récemment adopté une résolution condamnant l’utilisation illégale de Pegasus.

Réaction d’Apple

Lors des premières révélations sur l’exploitation de failles 0-day non corrigées par le logiciel espion, Apple a affirmé sa politique de ne faire aucun commentaire sur des vulnérabilités spécifiques avant la sortie d’un patch de sécurité. Il a fallu attendre plusieurs semaines pour que le groupe communique sur ce dossier.

Dans une mise à jour d’iOS en septembre 2021, Apple a déployé des protections contre l’attaque iMessage de Pegasus, en durcissant les contrôles sur le téléchargement automatique de code malveillant via les notifications push. Le système anti-cybercriminalité d’iOS a également été renforcé.

Apple a porté plainte contre l’entreprise israélienne en novembre 2021, l’accusant d’être responsable des attaques contre ses utilisateurs et de violer sa propriété intellectuelle. Le fabricant d’iPhone demande aujourd’hui des dommages et intérêts conséquents et souhaite obtenir une interdiction de NSO Group sur ses appareils.

Outre la plainte déposée contre NSO Group, Apple a également porté plainte contre un autre fournisseur de spywares, le groupe israélien Sourgum, accusé d’avoir exploité des vulnérabilités sur les iPhone pour le compte de clients gouvernementaux. Craignant l’espionnage de masse, Apple a renforcé de manière générale la sécurisation de l’ensemble de ses systèmes, avec le chiffrement de bout en bout des sauvegardes iCloud, des messages iMessage, des appels FaceTime, etc.

L’entreprise a présenté de nouvelles fonctionnalités anti-pistage et elle informe désormais en transparence les utilisateurs exposés à des attaques via un message dédié dans les réglages des appareils. Lors de conférences comme la WWDC, Apple rappelle régulièrement son engagement à renforcer la “protection de la vie privée”, en réaction aux nombreux scandales d’espionnage industriel et gouvernemental impactant son image de marque.

Réaction de Google

De son côté, Google a publié plusieurs mises à jour de sécurité pour corriger des vulnérabilités exploitées par Pegasus, notamment via le Play Store et des composants comme le navigateur Chromium. Contrairement à Apple, Google n’a pour l’instant pas engagé de poursuites judiciaires directes contre NSO Group. Cependant, l’entreprise apporte son soutien aux plaintes déposées par des organisations de défense des droits humains.

Le système de vérification et de signatures des applications a été renforcé sur le Play Store pour empêcher l’installation discrète de malware via de faux packages. Des alertes ont été ajoutées dans Android pour informer en cas de détection de comportements inhabituels pouvant signaler une infection par Pegasus ou autre spyware. L’entreprise souligne régulièrement le risque que représentent les logiciels d’espionnage développés par des sociétés sans contrôle éthique comme NSO Group.

Combien coûte Pegasus ?

Selon les informations de médias internationaux, Pegasus est commercialisé 500 000 dollars pour l’installation technique et à partir de 650 000 dollars tous les 10 appareils. Cela implique donc que Pegasus n’est pas un logiciel espion destiné à la surveillance de masse mais uniquement à des attaques ciblées au vu du coût conséquent du logiciel. Selon le Financial Times, Pegasus représente 75% du chiffre d’affaire de NSO Group. Toujours selon le Financial Times, le gouvernement Saoudien aurait déboursé 55 millions de dollars pour obtenir le logiciel immédiatement et suivre 150 cibles avec formation du personnel.

Et maintenant ?

Bien que toujours commercialisé, l’utilisation de Pegasus a considérablement baissé depuis 2021. De nombreux gouvernements se sont détournés du logiciel en raison des scandales successifs. Certains clients comme le Mexique ou le Rwanda ont publiquement résilié leur contrat.

NSO Group a été placé sur la liste noire du commerce américain fin 2021, interdisant strictement toute transaction avec elle. Cette sanction, ainsi que les poursuites judiciaires, ont durement affecté l’entreprise sur le plan économique.

En 2022, NSO Group a licencié plusieurs dizaines d’employés et revu son business model pour “renforcer” son cadre éthique. Ses dirigeants se disent déterminés à cesser de vendre Pegasus aux régimes autoritaires.

Mais les ONG dénoncent encore aujourd’hui des dérives, avec des cibles récentes comme le téléphone de la femme du président du Mexique. La méfiance reste donc de mise quant aux pratiques réelles de NSO et surtout de ces clients.

Voici les principaux clients du logiciel Pegasus qui ont pu être identifiés à ce jour par les investigations des ONG et des médias:

  • Arabie Saoudite
  • Azerbaïdjan
  • Bahreïn
  • Inde
  • Kazakhstan
  • Maroc
  • Mexique
  • Rwanda
  • Togo
  • Emirats arabes unis
  • Ouganda
  • Qatar
  • Afrique du Sud
  • Panama
  • République dominicaine
  • Serbie
  • Côte d’Ivoire
  • Guatemala
  • Cambodge
  • Kenya
  • Maroc
  • Turquie
  • Pologne
  • Ouzbékistan
  • Singapour
  • Philippines
  • Hongrie

Cette liste n’est pas exhaustive. Des soupçons pèsent également sur des clients non officiellement confirmés dans certaines autres régions comme l’Amérique latine ou le Moyen-Orient.

Pegasus n’est pas le seul logiciel espion de cette ampleur commercialisé dans le monde, une dizaine de sociétés proposent des logiciels de surveillance pour iPhone et smartphones Android existent. Nous reviendrons sur ces logiciels dans un article.

Aspect technique détaillé :

Quelles données récupère Pegasus précisément ? Énormément, il s’agit de l’un des logiciels espion le plus complet sur le marché.

GPS / Localisation : Pegasus récupère la géolocalisation du smartphone en temps réel grâce à la puce GPS du smartphone. Le logiciel bénéficie de l’accès root (accès complet) au système et est capable d’activer les services de localisation si l’utilisateur les a désactivés dans les réglages de son smartphone. Si jamais aucune puce de localisation n’est installée (comme sur le smartphone Pacem Phantom), le spyware récupère les informations Cell-ID, concrètement le numéro de l’antenne réseau (3G/4G/5G) auquel vous êtes connecté. Il suffit de rentrer ce numéro dans des outils disponibles gratuitement et librement sur internet pour connaître l’emplacement de l’antenne et par conséquent la localisation approximative de l’utilisateur.

Enregistrement de l’environnement : Pegasus permet à l’utilisateur de déclencher à distance et sans en informer la cible la caméra et le microphone pour écouter et visualiser l’environnement.

Messageries : Interception et visualisation de l’intégralité de vos conversations SMS, Whatsapp et messageries instantanées.

Historique d’appels et interception : Pegasus présente l’intégralité de l’historique d’appel du smartphone (voir capture d’écran ci-dessous). Le logiciel est capable d’enregistrer les appels.

Calendrier : Quoi de mieux de connaître votre agenda et vos déplacements pour vous suivre

Contacts : Pegasus sait a qui vous parler mais également tous les contacts que vous possédez dans le répertoire de votre smartphone.

Capture des mots de passe : Le logiciel espion est capable d’intercepter les mots de passes saisis lors de vos connexions à des sites web.

Capture du Wifi et de l’identification : Le logiciel récupère le wifi auquel vous êtes connecté et le mot de passe associé.

Logs : L’attaquant peut récupérer tout ce que votre téléphone stocke en data invisible pour l’utilisateur mais utile pour l’analyse et l’extraction d’informations.

Accès dossier root : Pegasus est capable d’accéder au contenu des applications installées sur votre smartphone

Pegasus est un logiciel redoutable, il est capable de détecter et bloquer des jailbreak qui viendraient interférer dans sa collecte d’information, il est également équipé d’un système de compression de données pour ne pas utiliser trop d’espace sur le smartphone et alerter l’utilisateur. Les données sont transmises à travers un mécanisme de camouflage pour éviter la détection. Et pour boucler la boucle, Pegasus est équipé d’un système d’auto destruction capable d’effacer quasi intégralement, les traces de sa présence.

Notre avis sur Pegasus

Pegasus est une prouesse de conception informatique permettant d’infiltrer la quasi totalité des smartphones du marché. Il démontre une fois de plus la supériorité technologique d’Israel dans le domaine. Il est important que des logiciels comme Pegasus existent pour surveiller des terroristes ou des acteurs malveillants menaçant la sécurité nationale. Cependant, comme tout outil à l’origine conçu pour un but légitime son utilisation est détournée et des dérives sont commises. Les journalistes, les avocats et plus généralement la justice, ainsi que les élus sont les garants d’une démocratie, ils doivent être protégés contre ses logiciels, premièrement par le droit international et deuxièmement par des technologies de cyberdéfense permettant de garantir l’intégrité de leurs communications et de leurs données. Pacem développe ces solutions pour protéger ces acteurs tout en veillant à ce que nos technologies ne tombent pas dans de “mauvaises mains”. Nous concevons des smartphones capables de résister à des logiciels espions ciblés comme Pegasus.

A quoi ressemble Pegasus ?

Vous devez sans doute vous demander à quoi ressemble Pegasus en réalité, quel est le design du logiciel. Voici quelques captures d’écran datant de 2012 :

Comment savoir si je suis infecté ?

Tout d’abord nous vous invitons à observer votre smartphone pour détecter des comportements suspects comme une baisse très rapide de la batterie. La diminution grandissante de la durée de charge de votre batterie est un indicateur de problème sur votre smartphone (virus, keylogger…)

Il existe également plusieurs méthodologies développées par Amnesty International permettant de détecter une éventuelle trace de compromission. L’outil MVT s’exécute en ligne de commande depuis un terminal est nécessite quelques compétences informatiques de base.

Vous pouvez retrouver l’outil directement ici. Nous allons réaliser un tutoriel permettant à quiconque de scanner son smartphone gratuitement et simplement.

Pacem propose également un scan approfondi de menaces pour iPhone et smartphone Android. Vous pouvez consulter notre page dédiée en cliquant ici. Pacem réalise un test spécifique de cyber défense mobile et isole le smartphone plusieurs jours dans une « bulle » de sécurité pour détecter des communications suspectes et des actions systèmes anormales. Ce procédé nécessite que votre smartphone reste dans nos locaux plusieurs jours.

Comment supprimer Pegasus de mon smartphone si je suis infecté ?

Tout simplement effacer complètement les données de votre smartphone et ne restaurer qu’une partie de sauvegarde considérée comme saine. Vous devez non seulement effacer le contenu et les réglages mais également réinstaller tout le système depuis un ordinateur.

Vous ne le savez sûrement pas mais les fondateurs de Pegasus ne fabriquent pas seulement le virus, ils commercialisent également l’antidote, le smartphone sécurisé Kaymera, protégé contre les logiciels espions.

Recevez nos articles directement par mail en vous abonnant gratuitement à notre newsletter.

Partagez notre article

Pas encore disponible

Cette page n'est pas encore disponible.

Ceci fermera dans 20 secondes