En partenariat avec des journalistes du monde entier, Forbidden Stories et Amnesty International ont publié une longue étude sur Pegasus. Ce malware d’espionnage n’est pas nouveau, on le connaît depuis 2016, mais son créateur, une entreprise israélienne nommée NSO Group, opère depuis 2010. Son rôle est d’offrir un accès complet à un smartphone, pour suivre la position de son propriétaire, accéder à l’intégralité du contenu stocké en local et même activer microphone et caméras.
Un scénario digne d’un film d’espionnage, qui fonctionne autant sur Android que sur iOS. Le NSO Group exploite aussi discrètement que possible les failles de sécurité présentes dans les systèmes d’exploitation et même si Apple et Google les ferment au fil des mises à jour, il en reste toujours qui sont encore actives. La preuve, cette nouvelle étude met en avant une nouvelle méthode d’attaque encore plus redoutable, puisqu’elle ne nécessite aucune intervention manuelle.
Les premières attaques connues reposaient sur un lien qui devait être ouvert par l’utilisateur pour installer et activer le malware. Depuis 2019 au moins, le NSO Group a mis au point une nouvelle génération d’attaque, dite « zero-click » parce qu’elle ne nécessite aucune intervention. La dernière attaque connue date de ce mois-ci et elle passe par l’app Messages des iPhone, y compris avec iOS 14.6, la dernière version stable du système d’Apple.
Cette information est particulièrement importante, car Apple était censée avoir justement renforcé la sécurité de l’app Messages avec iOS 14. Le dispositif « BlastDoor » introduit avec cette mise à jour devait protéger contre ce type d’attaques, avec un système de bac à sable renforcé qui isole davantage l’app de messagerie instantanée. Les dernières révélations d’Amnesty International, confirmées par d’autres chercheurs en sécurité, prouvent bien que le NSO Group a trouvé la parade et que Pegasus continue d’agir malgré ces mesures de sécurité supplémentaires.
Grâce à ces failles, il suffit qu’un message reçu dans l’app d’Apple contienne un lien pour que le malware s’installe sur l’iPhone. Mais ce n’est pas le seul vecteur d’attaque pour Pegasus, qui exploite toutes les failles connues. Les nouvelles recherches dévoilées hier montrent qu’il y a eu de multiples biais d’attaque, y compris via des apps qui sembleraient impossibles à utiliser pour un hack, comme Photos ou Musique. NSO Group exploite toutes les failles à sa portée et utilise pour cela un réseau de plusieurs centaines de serveurs, majoritairement en Europe et principalement en Allemagne, pour diffuser son malware à l’insu de ses cibles.
Des journalistes visés dans le monde entier
À propos de cibles, l’entreprise israélienne vante ses techniques uniquement pour lutter contre le terrorisme ou des criminels. Forbiden Stories et Amnesty International confirment à nouveau que Pegasus est vendu au plus offrant et sert à des régimes politiques peu scrupuleux, pour espionner contre la presse ou leurs propres citoyens. Le Monde, partenaire de l’enquête, a publié plusieurs articles où le quotidien évoque notamment le rôle du gouvernement marocain, qui utilise activement le malware du NSO Group.
Pegasus a servi pour le compte du gouvernement marocain à espionner des journalistes locaux, ainsi qu’une trentaine de journalistes français, dont Edwy Plenel de Mediapart et des membres des rédactions du Monde, du Canard enchaîné, du Figaro, de l’AFP ou encore de France Télévisions. Mais le Maroc est loin d’être un cas isolé : la Hongrie est aussi un client du NSO Group, le gouvernement de Viktor Orban l’a utilisé pour espionner des journalistes hostiles à sa politique, ainsi que leur conjoint. Plus loin, on évoque aussi l’Arabie saoudite, le Mexique, l’Inde ou encore l’Azerbaïdjan et ce ne sont que les pays identifiés par cette nouvelle analyse.
Contactée par les journalistes qui ont travaillé sur cette enquête, le NSO Group a donné sa réponse habituelle : l’usage de Pegasus est strictement interdit pour de l’espionnage politique et l’entreprise sanctionne tous ses clients qui le feraient. L’entreprise israélienne a par ailleurs dénoncé l’enquête, qui serait basée selon elle sur des « théories non corroborées » et sur des « sources [qui] ont fourni des informations ne s’appuyant sur aucune base factuelle ». Les gouvernements concernés ont aussi tous nié les accusations.
Dans le même temps, le NSO Group reconnaît aussi qu’elle ne peut pas savoir précisément quand et comment son malware est exploité par ses clients, dont la liste demeure par ailleurs secrète. Face à ces déclarations, les nouvelles analyses montrent bien que Pegasus est toujours plus actif et efficace. Et que le malware est bel et bien exploité contre des journalistes et leurs proches, non pas seulement pour contrer le terrorisme et les crimes comme le prétend son concepteur.
