Le célèbre logiciel espion Pegasus est de retour dans l’actualité cette semaine alors qu’une équipe de chercheurs en sécurité met en évidence une nouvelle”triple menace”d’exploits utilisés par le logiciel malveillant pour mener des cyberattaques ciblées tout au long de 2022.
Pegasus est un logiciel espion”industriel”qui a été développé par la société de technologie israélienne NSO Group, apparemment uniquement pour être utilisé dans les efforts de lutte contre le terrorisme par les gouvernements. Bien que Pegasus existe depuis 2014, il a fait la une des journaux il y a deux ans lorsqu’une analyse médico-légale menée par Amnesty International et le Citizen Lab de l’Université de Toronto ont révélé le logiciel espion était responsable de”la surveillance illégale généralisée, persistante et continue et des violations des droits de l’homme”, ayant été utilisée pour cibler et espionner des dizaines de”défenseurs des droits de l’homme (DDH) et journalistes à travers le monde”.
Dans un geste rare, Apple a par la suite lancé une action en justice massive contre le groupe NSO, décrivant l’entreprise et ceux qui y travaillent comme des”mercenaires amoraux du 21e siècle qui ont créé des machines de cybersurveillance hautement sophistiquées qui invitent à la routine et abus flagrant ». Il a également créé un fonds pour des organisations telles que Citizen Lab et Amnesty Tech afin de les aider dans leurs recherches et leur plaidoyer en matière de cybersurveillance, en le dotant d’un montant initial de 10 millions de dollars et en promettant d’ajouter au pot tout dommage résultant du procès contre NSO Group.
Alors qu’Apple espère poursuivre le groupe NSO en justice, malheureusement, les tribunaux avancent lentement et, entre-temps, Pegasus continue d’être utilisé à des fins néfastes. Les choses se sont calmées à la suite d’un rapport de mi-2021 selon lequel le logiciel espion Pegasus avait ciblé des responsables du département d’État américain. Cependant, un nouveau rapport de ?Citizen Lab? révèle que Pegasus est toujours actif mais vole sous le radar depuis environ un an.
Une triple menace zéro-clic
Plus précisément, les chercheurs de Citizen Lab ont découvert trois nouvelles”chaînes d’exploitation sans clic”utilisées par Pegasus tout au long de 2022 pour intensifier les cyberattaques contre les droits de l’homme défenseurs, journalistes et autres”cibles de la société civile”dans le monde entier.
Loin d’être utilisé pour son objectif déclaré de contre-terrorisme et de lutte contre la traite des êtres humains et d’autres crimes organisés, Pegasus semble plutôt être devenu un outil de régimes oppressifs. Les dernières cibles de Pegasus identifiées par Citizen Labs impliquent deux défenseurs des droits humains du Centro PRODH, une organisation mexicaine qui représente les victimes d’abus militaires tels que des exécutions extrajudiciaires et des disparitions forcées.
Les infections à Pegasus parmi les membres du Centro PRODH remontent à au moins 2015, comme le montre Citizen Lab explique dans son rapport :
« Un cas de disparition largement médiatisé lié à ce cas d’infection par un logiciel espion s’est produit en septembre 2015 lorsqu’un groupe de 43 élèves d’un enseignant école de formation ont disparu de force après s’être rendus à Iguala pour protester contre les pratiques d’embauche d’enseignants. Leur disparition ultérieure est qualifiée de « l’enlèvement de masse d’Iguala » ou simplement de « l’affaire Ayotzinapa ». En 2017, nous avons signalé que trois membres de l’organisation mexicaine d’aide juridique et de défense des droits de l’homme, Centro PRODH, ont été ciblés par le logiciel espion Pegasus, ainsi que des enquêteurs impliqués dans l’affaire Ayotzinapa. Au moment du ciblage, qui était en 2016, le Centro PRODH représentait les familles des étudiants disparus.”
Cependant, alors que le jeu du chat et de la souris entre Apple et Pegasus se poursuit, NSO Group a dû soyez plus créatif dans la recherche de nouveaux exploits, y compris les vulnérabilités dites”zéro clic”où Pegasus peut s’installer et commencer à espionner un iPhone sans nécessiter aucune interaction de la part de l’utilisateur.
Citizen Lab en a trouvé trois exploits dangereux sur deux iPhones exécutant iOS 15 et iOS 16, utilisés par le personnel du Centro PRODH. L’un appartenait à Jorge Santiago Aguirre Espinosa, le directeur du Centro PRODH, qui avait également été identifié comme cible de Pegasus en 2017. L’autre appartenait à María Luisa Aguilar Rodríguez, coordinatrice internationale du Centro PRODH. Pegasus aurait été actif sur l’appareil de M. Aguirre le 22 juin 2022, date à laquelle la commission vérité mexicaine a organisé une cérémonie de lancement de son enquête sur les violations des droits humains par l’armée mexicaine. Le téléphone de Mme Rodríguez a été infecté le lendemain, puis infecté à deux autres reprises en septembre 2022.
Les trois exploits, baptisés LATENTIMAGE, FINDMYPWN et PWNYOURHOME, tirent tous parti des failles de sécurité d’iOS 15 et iOS 16, en particulier les failles du code sous-jacent aux fonctionnalités Find My, Messages et Home d’Apple. La plupart des attaques ont été trouvées sur des appareils exécutant iOS 15 car c’était courant à l’époque, bien que PWNYOURHOME ait pu être déployé contre iOS 16.0.3.
Heureusement, Citizen Lab n’a constaté aucun cas de ce type sur des appareils exécutant iOS 16.1 ou une version plus récente. Cela suggère qu’Apple a corrigé ces failles et dans le cas de PWNYOURHOME, les chercheurs ont partagé des”artefacts médico-légaux”qui ont aidé Apple à consolider les choses avec HomeKit dans iOS 16.3.1.
Malheureusement, ce n’est probablement qu’une question de temps avant que NSO Group en trouve de nouveaux qui puissent être exploités. C’est pourquoi c’est toujours une bonne idée de garder votre iPhone à jour avec la toute dernière version d’iOS, en particulier lorsque les notes de publication d’Apple indiquent des correctifs pour les vulnérabilités qui ont été”activement exploitées”.
Utilisation du mode de verrouillage d’iOS 16
Les chercheurs du Citizen Lab ont également noté que PWNYOURHOME déclenchait des avertissements sur les appareils sur lesquels le nouveau mode de verrouillage haute sécurité d’Apple avait été activé. Initialement, l’exploit a déclenché des notifications d’un utilisateur inconnu tentant d’accéder à une maison, démontrant que le mode de verrouillage fonctionne comme prévu.
Bien que les versions ultérieures de l’exploit semblent avoir trouvé un moyen de bloquer les notifications, les chercheurs n’ont trouvé aucune preuve qu’il pouvait réellement contourner le mode de verrouillage-il suffit de désactiver les notifications qui alertaient un utilisateur des tentatives d’accès non autorisées.
Malgré la nature insidieuse de Pegasus, la bonne nouvelle pour la plupart d’entre nous est qu’il reste une attaque ciblée. De plus, les outils développés par NSO Group ne sont vendus qu’aux gouvernements, c’est pourquoi on les appelle des”logiciels espions parrainés par l’État”. Bien sûr, tous les organismes gouvernementaux ne sont pas éthiques en matière de surveillance. Cependant, il est toujours prudent de dire qu’il est peu probable que vous rencontriez Pegasus à moins que vous ne soyez impliqué dans le type de travail qui pourrait attirer l’attention d’un régime corrompu.
Pour ceux qui sont des utilisateurs”à haut risque”, c’est là qu’intervient le Mode de verrouillage d’Apple Bien que cela implique trop de compromis en matière d’utilisation pour la plupart des gens ordinaires, Citizen Lab l’encourage vivement à quiconque pense qu’il risque d’être ciblé par Pegasus ou d’autres logiciels espions parrainés par l’État.
