La dernière enquête du consortium de journalistes Forbidden Stories, et de l’ONG Amnesty International, publiée le 18 juillet, apporte de nouvelles révélations sur le plus connu des logiciels espions, Pegasus. Son éditeur, l’Israélien NSO Group, réserve son usage à des gouvernements capables de débourser plusieurs millions de dollars pour mettre sous surveillance quelques dizaines de smartphones.

Jusqu’ici, le nombre et le nom des victimes du malware tombaient au compte-goutte. Mais le « Projet Pegasus » auquel Le Monde a participé a obtenu la liste de 50 000 numéros de téléphone ciblés par le logiciel espion. Parmi eux, les enquêteurs ont trouvé ceux de journalistes (de Mediapart et Le Monde notamment), d’activistes, ou encore de personnes impliquées en politique. L’enquête enfonce la défense historique de NSO Group, qui affirme que son outil ne sert qu’à la lutte antiterroriste.

mode=img_maxi_log&id=1037&ext=.jpg

Les logiciels de pointe comme Pegasus peuvent s’attaquer aux iPhone comme aux smartphones Android. // Source : Pexels

Une fois installé sur un smartphone, Pegasus devient le parfait outil de surveillance : il peut entre autres intercepter des messages, enregistrer des appels ou encore dérober des fichiers. Mais ce ne sont pas ces capacités qui font l’attractivité du logiciel espion. Là où Pegasus se démarque, c’est dans sa capacité à se déployer facilement et discrètement sur les smartphones, iPhone comme Android, malgré les mises à jour de sécurité. Sans cesse, NSO Group parvient à découvrir des vulnérabilités critiques, et surtout, à les garder secrètes suffisamment longtemps.

Des vulnérabilités illimitées pour hacker les smartphones

Votre smartphone intègre de nombreux logiciels, à commencer par son système d’exploitation (OS), iOS pour les iPhone et Android pour l’écrasante majorité des autres. Ensuite, chaque application (messageries, réseaux sociaux, jeux…) que vous avez installée est un logiciel de plus sur votre smartphone.

Chacun de ces logiciels se compose de millions de lignes de codes, elles-mêmes regroupées en couches, responsables de différentes tâches. Vous pouvez imaginer un logiciel comme une tour avec de nombreux étages. Sauf que cette tour est particulière, puisqu’il est possible de rentrer à chaque étage sans passer par le rez-de-chaussée.

Comme tout bâtiment, la tour a des défauts de conception. Par exemple, les architectes peuvent avoir oublié de prévoir un verrou sur une porte qui ferme l’accès à une partie importante de l’immeuble. Ou encore, les ouvriers peuvent avoir raté la toiture, de sorte que le bâtiment sera inondé lors de fortes pluies alors qu’elle était conçue pour être étanche.

Des dizaines de vulnérabilités par logiciel, chaque mois

En informatique, ces défauts de conception sont connus sous le nom de « bugs », et ils entraînent un comportement imprévu du logiciel. Certains bugs ont des conséquences mineures — comme des erreurs de mise en page — d’autres peuvent empêcher le logiciel de fonctionner correctement. Et parfois, le bug permet à une personne extérieure d’exploiter le logiciel à son avantage : on parlera alors de vulnérabilité, ou de faille. Là encore, le spectre d’action est large : une vulnérabilité peut permettre d’accéder à des données protégées, d’afficher un message ou encore de prendre le contrôle de l’appareil sur lequel le logiciel est installé.

Heureusement, ces vulnérabilités sont réparables par des « correctifs » ou « patch » déployés par l’éditeur du logiciel. À titre d’exemple, Google en publie plusieurs dizaines par mois pour Android. Mais les logiciels reçoivent aussi régulièrement des mises à jour pour apporter de nouvelles fonctionnalités, qui sont autant de nouvelles couches logicielles susceptibles de contenir des vulnérabilités. Résultat : le processus de découverte et de réparation de faille est un cycle infini, qui fait qu’aucun système n’est jamais à 100% sécurisé.

Pegasus excelle à la découverte de nouveau moyens de hacker

Pour qu’un logiciel espion comme Pegasus soit efficace, il doit s’installer discrètement sur l’appareil ciblé, puis obtenir de nombreuses autorisations pour effectuer son travail de surveillance. Le tout, sans se faire remarquer par l’utilisateur : par exemple, une notification « autorisez-vous le logiciel X à lire vos messages » éveillerait des soupçons.

Pour y parvenir, les hackers vont exploiter les vulnérabilités des différents logiciels installés sur l’appareil de la victime, et c’est ici que Pegasus se distingue. La majorité des hackers se contentent d’exploiter des failles connues sur des appareils qui ne sont pas à jour. Mais les groupes de pointe, comme NSO Group, vont plus loin : ils découvrent des « zero day ». Ce surnom est donné aux vulnérabilités inconnues de l’éditeur du logiciel, qui n’ont en conséquence aucun correctif. Autrement dit, une « zero day » peut en théorie être employée contre n’importe quel appareil où le logiciel est installé. Ensuite, charge à l’entité qui a découvert la faille de la garder secrète pour en profiter le plus longtemps possible. C’est là que l’activité d’espionnage ciblé de NSO Group joue en sa faveur : le relativement faible nombre de victimes et la discrétion de la surveillance empêchent les éditeurs de remarquer les failles.

À titre d’exemple, NSO Group a profité pendant un an d’une faille de iMessage pour déployer Pegasus sur les iPhone. Il lui suffisait d’envoyer un message malveillant à la victime, qui se faisait infecter par le logiciel espion sans interaction supplémentaire. La vulnérabilité — particulièrement grave — a fini par être corrigée, mas l’entreprise en avait déjà trouvé d’autres, exposées par Amnesty. Dans son article sur l’histoire de NSO Group, Le Monde précise que les « trois quarts des plus de 700 salariés » de l’entreprise se consacrent à la recherche de vulnérabilités. Une force de frappe conséquente qui lui permet de découvrir régulièrement des vulnérabilités sur les OS ou sur des logiciels tiers comme WhatsApp, de sorte qu’il puisse sans cesse déployer Pegasus, malgré les correctifs.

La bonne nouvelle de ce mode de fonctionnement, c’est que Pegasus est cher à développer, ce qui l’empêche de devenir un outil grand public. La mauvaise, c’est que NSO Group n’est qu’une entreprise parmi d’autres vendeurs d’outils d’espionnage de pointe. La semaine dernière, Microsoft révélait l’existence de « DevilsTongue » un logiciel espion créé par l’entreprise israélienne Candiru, qui exploitait entre autres des vulnérabilités inconnues de Windows.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.