Pegasus fait la une des grands médias depuis quelques semaines, ravivant des questions brûlantes telles que la liberté d’expression et les préoccupations liées à la vie privée. L’engouement pour Pegasus est tout à fait justifié : il s’agit de l’un des logiciels les plus puissants et les plus discrets dans son domaine. De plus en plus de témoins relatant leur expérience avec Pegasus, les gens souhaitent désormais savoir comment détecter le logiciel espion Pegasus et quelles mesures de sécurité prendre pour protéger leurs données personnelles.
Dans cet article, nous aborderons :
Qu’est-ce que Pegasus ?
Pegasus est une solution de surveillance des renseignements conçue pour aider les gouvernements à lutter contre le terrorisme et la criminalité, selon le NSO Group, une agence technologique israélienne qui a développé ce logiciel.
Cependant, entre de mauvaises mains, Pegasus n’est rien d’autre qu’un logiciel espion qui extrait des informations personnelles hautement sensibles des appareils mobiles des individus ciblés.
La raison pour laquelle le logiciel a été nommé d’après une créature de la mythologie grecque réside dans sa capacité à être installé à distance, littéralement via les ondes. C’est la caractéristique distinctive de Pegasus, car la plupart des logiciels malveillants nécessitent une interaction de l’utilisateur, comme cliquer sur un lien ou un bouton.
Comment fonctionne Pegasus ?
Selon la documentation officielle du produit Pegasus, le logiciel peut être installé à distance ou injecté directement dans le téléphone de la cible.
Installation à distance
Cette méthode d’injection de Pegasus nécessite le numéro de téléphone ou l’adresse e-mail de la personne ciblée ; cependant, aucune ou très peu d’activité de l’utilisateur n’est nécessaire pour lancer l’installation. Celle-ci peut être réalisée via :
- Over-the-Air (OTA). Le nom de cette technique est tout à fait métaphorique, faisant allusion à la similitude du mode de transmission du logiciel espion avec le vol sans effort du cheval ailé de la Grèce antique. La réalisation technique exacte est un secret commercial, mais c’est cette fonctionnalité qui distingue Pegasus d’autres solutions similaires. La méthode OTA repose très probablement sur des vulnérabilités zero-day et zero-click. Ce qui se passe, c’est que l’agent malveillant utilise le numéro de téléphone ou l’adresse e-mail de la victime pour envoyer un message push qui déclenche l’installation de Pegasus sur l’appareil. L’ensemble du processus se déroule de manière furtive, sans aucune intervention de l’utilisateur concerné. L’installation est terminée sans aucune notification perturbant la cible, qui ne se rend pas compte de l’intrusion.
- Message d’ingénierie sociale. Cette technique est bien connue des experts en cybersécurité et du grand public. Un SMS ou un e-mail soigneusement conçu est envoyé à la cible. Son contenu incite la personne à l’ouvrir et à cliquer sur un lien malveillant. Après un clic réussi, qu’il soit accidentel ou intentionnel, Pegasus lance l’installation, toujours en silence complet.
Installation physique
Pegasus peut également être installé manuellement, et l’ensemble de la procédure prend environ cinq minutes. De toute évidence, cette méthode est impossible sans accès physique au téléphone de la cible. Une fois l’installation terminée, l’appareil peut être surveillé à distance, comme dans les cas précédents.
Gestion des données
Toutes les données collectées par Pegasus sont envoyées dans un tampon chiffré et bien dissimulé. Pour masquer le processus de stockage temporaire des données, le tampon ne consomme pas plus de 5 % de l’espace de stockage du téléphone – un pourcentage assez faible, peu susceptible d’éveiller des soupçons chez l’utilisateur. De plus, une fois les données transmises avec succès au serveur, le tampon est effacé.
Quelles données Pegasus peut-il collecter ?
Pegasus est indéniablement un logiciel espion très puissant et très intrusif. Grâce aux attaques zero-click, qu’il s’agisse d’un iMessage non ouvert, d’un appel FaceTime sans réponse ou d’un appel WhatsApp, il peut infiltrer les appareils ciblés de la manière la plus discrète.
Une fois introduit, Pegasus peut instantanément extraire et surveiller en temps réel toutes les données disponibles, telles que :
- SMS
- E-mails
- Conversations de messagerie instantanée (y compris les chiffrées comme Signal ou Telegram)
- Entrées de calendrier
- Historique de navigation et favoris enregistrés
- Suivi de localisation (GPS et Cell-ID)
- Informations sur l’appareil (modèle, réseau, connexion, niveau de batterie, etc.)
Pegasus peut également demander à l’appareil d’effectuer d’autres actions, telles que :
- Activer le GPS pour échantillonner des données, puis le désactiver immédiatement
- Activer le microphone et commencer l’enregistrement (en mode veille)
- Enregistrer les appels
- Récupérer des fichiers et des dossiers
- Prendre des photos avec les caméras avant et arrière (en mode veille, sans flash, la qualité peut être personnalisée pour une transmission plus rapide)
- Prendre des captures d’écran
Victimes du logiciel espion Pegasus
Pegasus n’est pas un phénomène nouveau. Il est en développement depuis longtemps, et la première fois que le monde l’a découvert remonte à 2016, lorsqu’une tentative infructueuse de jailbreak du iPhone d’un militant des droits de l’homme a déclenché une investigation approfondie et un essor de la couverture médiatique.
Depuis lors, Pegasus a fait la une des journaux à plusieurs reprises. En 2017, par exemple, plus de 70 tentatives d’injection Pegasus ont été signalées par des journalistes mexicains. En 2019, WhatsApp a poursuivi NSO pour avoir exploité la vulnérabilité de leur messagerie instantanée pour pirater les appareils des utilisateurs de WhatsApp.
En 2021, Pegasus est de nouveau sous les projecteurs, suscitant des inquiétudes quant à la liberté de la presse et à l’abus de surveillance par les services de renseignement du monde entier.
Comment détecter le logiciel espion Pegasus sur iOS et Android ?
Bien que Pegasus ne représente pas une menace pour l’utilisateur mobile ordinaire – notamment parce que ce type de campagne coûte des millions de
dollars – il est toujours judicieux de se tenir informé des dernières solutions de sécurité.
En ce qui concerne les stalkerwares, ils font généralement se comporter votre téléphone de manière étrange. Si vous êtes suffisamment attentif, vous pourrez repérer certains signaux d’alarme, tels que :
- Notifications ou appels inattendus
- Décharge rapide de la batterie
- Augmentation de la consommation de stockage
- Surchauffe inexplicable
- Redémarrages et arrêts aléatoires
- Temps d’arrêt prolongé ou difficulté à redémarrer l’appareil
- Performances ralenties
- Fichiers avec des extensions inhabituelles
- Bruits étranges lors des appels
- Écran qui s’allume en mode veille
- Applications suspectes que vous ne vous souvenez pas d’avoir installées ou utilisées
Le problème, cependant, est que les développeurs de logiciels espions sont bien conscients de ces signes et élaborent continuellement leurs stratégies d’attaque pour masquer toute trace de logiciel malveillant sur votre appareil. Par exemple, Pegasus provoque une décharge minimale de la batterie et arrête de transmettre des données lorsque le niveau de charge tombe en dessous de 5 %.
C’est pourquoi se pose la question de savoir comment détecter le logiciel espion Pegasus. Il est facile de se perdre dans la multitude d’applications de sécurité modernes. Nous allons vous simplifier la tâche et nous concentrer uniquement sur les applications spécifiquement conçues pour identifier les traces du logiciel espion Pegasus sur les téléphones mobiles.
Mobile Verification Toolkit
Cette application a été lancée par Amnesty International, une organisation de défense des droits humains comptant plus de dix millions de membres dans le monde. L’organisation a recueilli des informations sur le logiciel espion Pegasus pendant plusieurs années et a utilisé les résultats de son enquête pour développer une application de sécurité effectuant une analyse forensique des appareils iOS et Android.
Le code source de MVT est accessible au grand public, il peut donc être considéré comme open source, même si sa licence impose certaines restrictions d’utilisation, principalement pour prévenir les cas de forensique adversariale. Tout cela implique que l’outil ne peut être utilisé que si la personne dont le téléphone sera analysé a donné son consentement.
Actuellement, MVT ne dispose pas d’interface graphique, ce qui signifie qu’il nécessite des connaissances en outils en ligne de commande. De plus, il est principalement conçu pour des experts en analyse forensique et des enquêteurs, de sorte que les utilisateurs non techniques auraient toujours besoin de faire appel à des professionnels.
Néanmoins, si vous êtes un utilisateur averti curieux d’explorer l’outil, vous pouvez trouver ici la documentation MVT sur la façon de l’installer et de l’exécuter.
Fonctionnalités de MVT
MVT ne peut fonctionner que sur Linux et Mac, donc les utilisateurs Windows devraient également installer le sous-système Windows pour Linux pour pouvoir l’utiliser.
Bien que MVT puisse être utilisé pour analyser les téléphones iOS et Android, il donne de meilleurs résultats pour les appareils Apple, et ses fonctionnalités Android sont assez limitées.
Voici les principales choses que vous pouvez faire avec MVT pour faciliter votre analyse forensique :
- Décoder les données iOS chiffrées
- Traiter et analyser les données de plusieurs applications iOS et de la base de données système
- Récupérer des informations sur les applications Android installées
- Utiliser le protocole adb pour récupérer des informations de diagnostic de l’appareil Android
- Analyser les enregistrements extraits pour détecter la présence d’indicateurs malveillants au format STIX2
- Créer une chronologie de tous les enregistrements récupérés
- Créer une chronologie des artefacts suspects et des traces potentiellement dangereuses
Limites de MVT
Encore une fois, MVT n’est pas un outil avec lequel il faut s’amuser, car une mauvaise utilisation peut entraîner une perte de données personnelles ou une dégradation des performances de l’appareil. Par exemple, si la création d’une sauvegarde iTunes ou Finder n’a pas donné les résultats souhaités, le jailbreak du téléphone serait la prochaine étape. Ce dernier, cependant, n’est pas recommandé si vous avez l’intention d’utiliser à nouveau cet iPhone.
En résumé, voici les facteurs à prendre en compte avant d’utiliser MVT :
- Les faux positifs sont courants (des conseils d’experts sont nécessaires pour filtrer les alertes)
- L’accès au système de fichiers complet nécessite un jailbreak
- Tous les iPhone ou versions iOS ne sont pas adaptés au jailbreak
- Le jailbreak peut corrompre certains enregistrements ou provoquer des dysfonctionnements de l’appareil
- Les vérifications Android se limitent à l’analyse des APK et des SMS
- L’outil est difficile à utiliser pour les non-techniciens
iVerify 20.0
Selon Ryan Stortz, Responsable Produit chez Trail of Bits, la dernière version d’iVerify vous alertera désormais de toute trace du logiciel espion Pegasus sur votre téléphone.
Contrairement à MVT, iVerify est un logiciel propriétaire destiné aux consommateurs, ce qui signifie qu’il possède une interface graphique et un panneau d’administration faciles à utiliser. Le produit propose deux formules – l’une pour les entreprises et l’autre pour la sécurité individuelle, disponibles sur l’App Store.
Pour les entreprises, iVerify est basé sur un abonnement, au coût de 3 $ par utilisateur et par mois, tandis que les consommateurs individuels peuvent obtenir l’application avec un achat unique à 2,99 $.
Fonctionnalités d’iVerify
Comme toute autre application dans le domaine de la cybersécurité, iVerify ne peut pas garantir une protection à 100 %. L’application effectue des vérifications de sécurité toutes les dix minutes pour analyser le système du téléphone à la recherche de signes de jailbreaks et d’infections. Par exemple, elle prêtera attention aux fichiers malveillants connus ou aux dossiers suspects et aux gestionnaires d’URL qui n’auraient pas dû exister en premier lieu.
Examinons quelques-unes des fonctionnalités principales de l’application :
- Analyses de l’appareil pour s’assurer que tous les paramètres essentiels sont correctement configurés
- Guides de protection pour informer les utilisateurs sur la mise en œuvre de plusieurs couches de sécurité
- Détection des menaces pour répondre aux alertes de sécurité en temps réel
- Comptes sécurisés pour vérifier la sécurité des plateformes de médias sociaux et des comptes de service
- Navigation sécurisée pour protéger votre vie privée lors de vos recherches
Ainsi, si vous vous demandez un jour « Comment trouver des logiciels espions sur mon téléphone », vous saurez immédiatement quelle application rentable et fiable utiliser.
Les utilisateurs entreprise disposent également de plusieurs fonctionnalités exclusives, telles qu’un tableau de bord d’analyse des risques pour des informations immédiates sur l’ensemble de l’organisation, une importation transparente des utilisateurs depuis Okta, GSuite ou Azure AD, et un panneau d’administration pour gérer les appareils.
Limites d’iVerify
Comme nous l’avons mentionné plus haut, iVerify est conçu pour les utilisateurs finaux, il ne nécessite donc pas de solides connaissances techniques pour que les consommateurs puissent l’installer et profiter de ses avantages immédiats. En même temps, le produit est encore en cours de développement et présente certaines lacunes, telles que :
- Les intégrations pour la gestion des membres sont limitées (Okta pour le SSO, GSuite, Azure AD)
- La prise en charge d’Android n’est pas encore disponible
- iVerify ne peut pas indiquer si des applications spécifiques sont installées
- iVerify ne scanne pas les données réseau
Autres logiciels espions similaires à Pegasus
Pegasus n’est pas le seul logiciel espion qui a fait parler de lui. Si nous nous tournons vers Google et cherchons plus en profondeur des alternatives à Pegasus, nous serons en mesure de découvrir plusieurs autres options en un rien de temps. Et nous ne parlons pas des logiciels espions « grand public » comme Spyera, XNSPY ou FlexiSPY. Ces dernières solutions sont principalement conçues pour le contrôle parental, la surveillance des employés ou des conjoints paranoïaques. De plus, elles ne peuvent pas être installées à distance car elles nécessitent une installation manuelle et certaines fonctionnalités peuvent nécessiter un jailbreak ou un accès root.
En ce qui concerne les outils de surveillance à l’échelle nationale ou mondiale, nous pouvons en citer quelques-uns.
FinFisher
FinFisher, également connu sous le nom de FinSpy, est le logiciel d’enquête cybernétique développé par une société informatique allemande en 2008. Selon le site officiel, la société fournit ses services exclusivement aux forces de l’ordre et aux agences de renseignement, et sa mission est de lutter contre la criminalité organisée.
FinSpy est une solution multi-plateforme qui infecte les systèmes Windows, macOS, Linux, iOS et Android. Pour implanter FinSpy dans un appareil iOS, l’agent malveillant devrait d’abord jailbreaker manuellement le système d’exploitation, puis seulement installer le logiciel espion. L’infection à distance se fait par SMS, e-mail ou WAP push. En ce qui concerne Android, FinSpy permet également d’utiliser les privilèges root sur un appareil non rooté en exploitant des vulnérabilités connues.
FinSpy ressemble à Pegasus en ce qu’il peut également collecter des informations à partir de messageries instantanées, y compris celles considérées comme les plus sécurisées – Telegram, Signal et Threema. En outre, FinSpy peut enregistrer les appels VoIP, qu’il s’agisse de WhatsApp, Skype, WeChat, LINE, Signal ou Viber.
Candiru
Candiru est un logiciel espion développé par une société israélienne actuellement enregistrée sous le nom de Saito Tech Ltd. La clientèle du logiciel espion est principalement composée d’organisations gouvernementales et de dirigeants autoritaires. Candiru peut infecter les utilisateurs de bureau, mobiles et cloud.
Contrairement à FinFisher, Candiru n’est pas commercialisé ouvertement et son infrastructure reste bien dissimulée. D’après la proposition divulguée par TheMarker qui décrit Candiru, le logiciel espion peut extraire et surveiller activement de nombreuses données privées – des contacts, SMS et historique de navigation aux contenus de Dropbox, Google Drive et messageries instantanées. Candiru peut également intercepter les appels, enregistrer l’environnement sonore, prendre des captures d’écran et afficher le réseau Wi-Fi et ses changements.
Intellexa
Imaginez avoir non pas une seule solution de logiciel espion, mais un kit complet de surveillance, un guichet unique pour la cybersécurité offensive. C’est exactement ce qu’Intellexa prétend offrir.
Intellexa se positionne comme une alliance d’organisations de cyber-intelligence répondant aux besoins des agences de renseignement et des forces de l’ordre. Elle a combiné l’expertise de trois sociétés technologiques – Nexa, WiSpear et Cytrox – spécialisées respectivement dans l’interception de capteurs & l’analyse de données massives, les solutions de surveillance Wi-Fi, et la collecte de données depuis des appareils d’extrémité et des services cloud.
Comment se protéger contre les logiciels espions
Bien que Pegasus reste encore un mystère à bien des égards, notamment en ce qui concerne sa réalisation technique, le respect de mesures et de recommandations de sécurité éprouvées peut grandement contribuer à protéger votre vie privée et l’intégrité de vos données.
Voici quelques étapes simples que l’on peut prendre pour réduire les dommages causés par Pegasus lui-même et par des logiciels espions similaires :
- Redémarrez votre téléphone. De cette façon, vous pouvez empêcher Pegasus de fonctionner pendant un certain temps. Cette astuce s’applique uniquement aux appareils iOS.
- Rétablissez les paramètres par défaut. Avant d’effectuer cette étape, il est important de se rappeler que la réinitialisation d’usine effacera toutes les données personnelles ainsi que les traces potentielles de logiciels malveillants. La réinitialisation d’usine ne garantit pas la suppression de Pegasus, surtout si l’on considère que la récupération de données reste possible.
- Mettez à jour votre logiciel. Gardez votre système d’exploitation et toutes les applications installées rapidement à jour pour réduire le risque d’exploitation des vulnérabilités zero-day.
- Supprimez les appareils suspects. Vérifiez si vos messageries instantanées et vos comptes en ligne sont connectés à des appareils inconnus.
- Changez vos mots de passe. Notez tous les mots de passe stockés dans votre smartphone et réinitialisez-les tous.
Conclusion
Les récentes découvertes sur le caractère intrusif et subtil de Pegasus ont amené beaucoup d’entre nous à reconsidérer notre approche de la sécurité personnelle et d’entreprise. Bien que Pegasus soit une préoccupation internationale, nous sommes tous responsables de nous informer et de mettre en œuvre les contrôles de sécurité nécessaires pour protéger nos identités et l’intégrité de nos données. Pegasus est unique à bien des égards, mais ce n’est pas le seul logiciel espion sur le marché ; de nombreuses autres applications pourraient avoir été détournées. Si vous craignez que quelqu’un vous espionne ou que la sécurité de votre entreprise soit insuffisante, contactez un expert en sécurité professionnel avant que l’intrus n’écoute chacun de vos mouvements.
Avez-vous déjà détecté des traces de logiciels espions sur vos appareils ? Partagez vos témoignages dans les commentaires !