Pegasus, le spyware développé par l’entreprise israélienne NSO Group, serait toujours capable d’infecter les iPhone. Apple avait bouché d’anciennes failles exploitées par Pegasus, mais selon le Financial Times, NSO vante maintenant ses capacités à fouiller dans le cloud. Récemment utilisé pour attaquer WhatsApp, Pegasus pourrait collecter en toute discrétion les données stockées sur les serveurs d’Apple, Google, Facebook, Amazon, et Microsoft.
NSO nie « promouvoir le piratage et les outils de surveillance massive des services infonuagiques. » Mais elle ne dément pas formellement les informations du Financial Times, qui explique avoir reçu des documents décrivant Pegasus et des informations sur les présentations organisées par NSO. Pegasus, considéré par le gouvernement israélien comme « une arme », est vendu aux services de sécurité et d’espionnage du monde entier comme un outil « pour prévenir le crime et le terrorisme ».
Mais des versions piratées circulent sur le web, et des chercheurs l’ont retrouvé sur les téléphones de journalistes et de militants. Tout laisse à penser que des gouvernements autoritaires ont accès à Pegasus, et que des gouvernements plus démocratiques n’hésitent plus à l’employer au-delà du strict cadre de l’antiterrorisme. Or à partir d’un téléphone infecté, le spyware est maintenant capable de copier les clés d’authentification auprès des principaux services en ligne, et ainsi contourner les systèmes de double authentification.
Un serveur distant peut alors se faire passer pour le téléphone, et non seulement récupérer toutes les données stockées, mais maintenir la connexion pour intercepter toutes les données ajoutées ultérieurement et exploiter les outils de localisation des appareils. Tous les iPhone et tous les smartphones Android, même les plus récents, sont vulnérables. Pire : même si Pegasus est supprimé, NSO garde la main, puisqu’elle a récupéré les clés.
Google n’a pas commenté ces informations. Amazon assure n’avoir trouvé aucune preuve d’une connexion de Pegasus à ses serveurs, Facebook dit « étudier ces allégations », et Microsoft invite ses clients à prendre garde à la sécurité de leurs appareils. Apple, enfin, explique que « bien qu’il existe des outils très couteux pour mener des attaques ciblées contre un petit nombre d’appareils, nous ne croyons pas qu’ils soient utilisés pour mener des attaques d’ampleur ».
Microsoft comme Apple promettent de boucher toutes les failles qui pourraient être utilisées par Pegasus. En attendant, la seule parade connue est d’une simplicité enfantine, changer les mots de passe de connexion aux services que vous utilisez. Les gouvernements israélien et chypriote ont attaqué NSO en justice, lui reprochant d’offrir ses services aux régimes les plus répressifs de la planète.
