Le scandale Pegasus de l'ONS : Jour zéro, clics zéro, vie privée zéro ?

Pourquoi les cyber-armes doivent être interdites au même titre que les armes nucléaires.

C'est un oiseau ! C'est un avion ! Non, c'est un autre logiciel de surveillance. Cette semaine, nous avons été exposés au scandale Pegasus. Pegasus est un logiciel malveillant, annoncé publiquement et vendu par le groupe NSO, qui peut infecter des appareils mobiles sans que le propriétaire du téléphone ait à faire quoi que ce soit. Les écoutes étendues rendues possibles par Pegasus violent de nombreuses lois et doivent donc être interdites - tout comme le commerce des armes nucléaires est interdit.


Pegasus : Du mythe au malware

Le 18 juillet 2021, le scandale du projet Pegasus a ramené le mystérieux NSO Group sur la place publique. Pegasus est un logiciel espion développé par NSO Group et constitue une cyber-arme phare pour la surveillance des appareils mobiles.

Ce logiciel malveillant a été distribué dans le monde entier et a été utilisé pour la surveillance directe “de près de 200 journalistes dans le monde dont les téléphones ont été sélectionnés comme cibles par les clients de NSO”, comme le rapporte Forbidden Stories. Sous couvert de sécurité nationale, les gouvernements du monde entier ont acheté ce programme afin de faire pression sur les journalistes, les militants et leurs opposants politiques.

Malgré le regain d’intérêt actuel des médias, Pegasus n’est pas un nouvel acteur sur la scène internationale de la surveillance. Selon le “Forensic Methodology Report” d’Amnesty International, la propagation de Pegasus a commencé dès 2016 et se poursuit aujourd’hui en 2021.

Comment fonctionne Pegasus

En 2016, le militant des droits de l’homme Ahmed Mansoor a reçu un message texte sur son iPhone, après une enquête plus approfondie de Citizen Lab, il a été découvert qu’il s’agissait d’un schéma classique de spear-phishing cherchant à installer le malware Pegasus sur son appareil. “S’il avait tapé sur le lien, le téléphone aurait été pillé. D’énormes quantités de données privées : messages texte, photos, e-mails, données de localisation, et même ce qui est capté par le microphone et la caméra de l’appareil.”

Depuis 2019, Pegasus n’a plus besoin qu’une cible tape sur ce lien suspect pour être victime. NSO a exploité à plusieurs reprises des vulnérabilités de type “zero-day” dans des plateformes de messagerie telles que WhatsApp et plus récemment iMessage. Ces exploits de type “zero-day” tirent parti des failles de sécurité des programmes, des systèmes d’exploitation ou des applications mobiles. L’itération actuelle de Pegasus peut infecter les appareils iOS fonctionnant à la version 14.6 ou antérieure. Une fois l’appareil infecté, le programme peut rapidement établir des privilèges root. L’attaquant utilisant Pegasus aura un contrôle total sur l’appareil.

Si vous deviez présenter un intérêt pour l’un des clients de NSO Group, tout ce dont il avait besoin était votre numéro de téléphone pour infecter votre appareil. Vous n’aviez pas besoin de cliquer sur un lien ou de télécharger un fichier pour que Pegasus soit installé à distance sur votre appareil Android ou iOS. Selon Amnesty International, “une attaque réussie de type “zero-click” a été observée, exploitant de multiples zero-days pour attaquer un iPhone 12 entièrement corrigé et fonctionnant sous iOS 14.6 en juillet 2021”.

Apple a publié la version 14.7 d’iOS le 19 juillet et le monde entier compte maintenant les jours jusqu’à la découverte du prochain jour zéro. Entre-temps, un nouvel outil a été publié, le Mobile Verification Toolkit, qui peut être utilisé pour déterminer si un appareil a été compromis ou non par le malware Pegasus. Toutefois, cette boîte à outils est compliquée à utiliser.

La croissance de l’industrie des cyber-armes

À la lumière de ces récentes divulgations, nous avons un aperçu de la croissance de l’industrie des cyber-armes. Cette technologie agit comme un virus : Elle ne fait qu’infecter les smartphones pour espionner leurs propriétaires. Et comme si cela ne suffisait pas, cette technologie virale est régulièrement vendue à tous ceux qui peuvent se l’offrir.

Il n’est pas nécessaire d’écumer des sites Web douteux pour trouver ce logiciel. NSO Group opère comme n’importe quel autre contractant du gouvernement, où tout le monde peut les voir. Une recherche rapide vous mènera à “nsogroup.com”, où vous pourrez contacter NSO Group pour toute question concernant les prix et les réductions potentielles pour les armes de surveillance massive. La bannière principale de leur site Web annonce actuellement “Eclipse : Protect Your Skies” qui est une plateforme de drones qui peut être utilisée pour prendre le contrôle et confisquer les “drones commerciaux non autorisés”.

Advertisement for Eclipse by the NSO Group. Advertisement for Eclipse by the NSO Group.

Cette publicité effrontée montre la légitimité croissante d’une industrie qui existait autrefois sur les marchés du darknet ou les forums de piratage.

Mais quelle est la différence entre une organisation comme NSO Group, qui est autorisée à travailler ouvertement avec des entités gouvernementales, et le groupe de pirates DarkSide, qui est poursuivi pour la distribution de programmes de ransomware ?

Il semble que ce ne soit qu’une question de clientèle.

Pegasus représente une menace pour la vie privée

Pegasus et l’essor de l’industrie de la surveillance représentent une menace incommensurable pour les journalistes, les militants politiques et les citoyens comme vous. Les failles de sécurité ne vont pas disparaître et la sécurité parfaite n’existe pas. D’où la question suivante : que pouvons-nous faire, en tant que citoyens ordinaires, pour protéger nos appareils, notre vie privée et nos données personnelles à la lumière de ce scandale ? Ce que Claudio Guarnieri, du Security Lab d’Amnesty International - qui, en tant qu’expert en sécurité, utilise Secure Connect sur son site web - a déclaré au Guardian est loin d’être optimiste,

C’est une question qui m’est posée à peu près chaque fois que nous faisons des analyses médico-légales avec quelqu’un : “Que puis-je faire pour que cela ne se reproduise pas ?” a déclaré Guarnieri. “La réponse la plus honnête est rien.”

L’Allemagne : L’utilisation de Pegasus serait illégale

Au risque de terminer sur un ton de défaite, il y a quelques perles d’espoir à trouver dans cette affaire. Interrogés par NDR et WDR pour savoir si les autorités allemandes ont acheté et utilisé ce logiciel d’espionnage, les responsables allemands ont répondu en déclarant: “‘Pegasus’ ist schlichtweg zu mächtig, zu potent. Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt” (Pegasus est tout simplement trop puissant, trop puissant. Le cheval de Troie peut faire beaucoup plus que ce qui est autorisé par la législation allemande).

En conséquence, les autorités allemandes ont refusé Pegasus lorsque le groupe NSO a essayé de le leur vendre.

L’attitude des autorités allemandes est admirable, si on la compare à celle d’autres agences mondiales de renseignement et d’application de la loi qui ont adopté une approche du type “espionner maintenant, changer les lois plus tard”. L’exemple allemand montre que la législation peut limiter les pratiques de surveillance invasives et inutiles. Si une législation forte en matière de protection de la vie privée peut rendre ces agences responsables de leurs actions, chaque citoyen votant a encore un moyen de lutter contre la surveillance de masse.

Au-delà de la sphère gouvernementale, le géant technologique Amazon “a fermé l’infrastructure et les comptes liés à la société de surveillance israélienne NSO Group”, qu’il s’agisse d’un simple coup de communication pour éviter les critiques ou d’un véritable souci de protection de la vie privée, cette action montre qu’il existe toujours une préoccupation pour l’opinion publique négative envers la surveillance de masse.

Les cyber-armes doivent être interdites

Nous devons commencer à traiter ces entreprises de cyber-armes comme telles. Elles fabriquent et distribuent des outils qui sont utilisés pour intimider et réduire au silence. Ces armes sont facilement accessibles à quiconque peut en assumer le coût. Il convient de noter que lorsque Philip Zimmerman, le créateur de PGP, a publié son programme de cryptage gratuit qui ne visait qu’à fournir une plate-forme de communication sécurisée, il a fait l’objet d’une enquête du service des douanes des États-Unis pour violation potentielle de la loi sur le contrôle des exportations d’armes.

Il est scandaleux que le soutien à la protection de la vie privée fasse l’objet d’une enquête fédérale, mais que le fait de la négliger totalement donne lieu à un contrat bien financé.

Dans une interview accordée au Guardian, Edward Snowden enfonce le clou : “Il y a certaines industries, certains secteurs, contre lesquels il n’y a aucune protection, et c’est pourquoi nous essayons de limiter la prolifération de ces technologies. Nous n’autorisons pas un marché commercial pour les armes nucléaires.”

Si la majorité des internautes ne seront pas ciblés par ce programme, il y a un effet de frilosité sur ceux qui craignent d’attirer l’attention sur eux. Les cibles de premier plan qui craignent la surveillance du gouvernement seraient invitées à changer régulièrement d’appareil et de numéro de téléphone pour éviter d’être suivies en permanence par des outils d’espionnage comme Pegasus.

Snowden a conclu cette interview par un appel à la solidarité et au militantisme contre l’industrie croissante de la surveillance : “La solution pour les gens ordinaires est de travailler collectivement. Ce n’est pas un problème que nous voulons essayer de résoudre individuellement, parce que c’est vous contre une entreprise d’un milliard de dollars… Si vous voulez vous protéger, vous devez changer la donne, et le moyen d’y parvenir est de mettre fin à ce commerce.”

En tant qu’entreprise privilégiant la protection de la vie privée, nous appelons les législateurs internationaux et les électeurs à soutenir l’interdiction de la vente de ces cyber-armes. Tout comme il n’existe pas de marché de consommation pour les armes nucléaires, il ne doit pas y avoir de marché pour la vente libre d’exploits logiciels et de logiciels malveillants.