• Electronic Product
  • major appliances
  • Mobile phone
  • Clean household appliances
  • Smart appliances
  • French
AccueilMobile phone → Affaire Pegasus : comment des téléphones ont-ils pu être contaminés sans action de leur propriétaire ? | larecherche.fr
Affaire Pegasus : comment des téléphones ont-ils pu être contaminés sans action de leur propriétaire ? | larecherche.fr

Affaire Pegasus : comment des téléphones ont-ils pu être contaminés sans action de leur propriétaire ? | larecherche.fr

Détruire son smartphone, avaler la carte SIM, changer de numéro, ces précautions n’auraient pas suffi aux victimes du logiciel espion Pegasus. Il suffira qu’une de vos connaissances, que vous appellerez, fasse partie des cibles (et elle le sera si vous intéressez Pegasus) pour être aussitôt l’objet de tentatives de réinfection. Glaçant. Être infecté sans le savoir, sans rien faire, sans cliquer (attaques dites zero-click) est l’autre coup de tonnerre révélé dans le rapport technique d’Amnesty International (Forensic Methodology Report: How to catch NSO Groups Pegasus). C’est surprenant quand on sait que les smartphones sont pensés dès l’origine avec de fortes fonctionnalités de sécurité, car on leur confiera sa vie et on peut y installer n’importe quelle application.

En 2016, NSO Group, la société israélienne qui commercialise Pegasus, contaminait les cibles avec des liens à cliquer. C’est le principe de l’hameçonnage (phishing) : le fait de cliquer sur un lien qui, dans ce cas-ci, entraîne une série d’actions indétectables pour prendre le contrôle du téléphone. Aujourd’hui, NSO recourt à une technique dite « zero-click » à travers les app d’Apple comme iMessage, WhatsApp ou FaceTime. Ces applications sont sollicitées via une demande de connexion extérieure ou des recherches de correspondants inconnus par des app. Il s’agit, a trouvé Amnesty, de comptes aux noms improbables comme bergers.o79@gmail.com ou emmadavies8266@gmail.com dans iMessage par exemple. WhatsApp se plaît à répéter que son application a servi à NSO en 2019 qui aurait utilisé une vulnérabilité dans la fonction d'appel vidéo, qu’il a corrigée depuis, pour charger un logiciel espion dans les téléphones ciblés. À l’époque, les experts de WhatsApp avaient pu identifier les cibles et les prévenir. L’attaque peut avoir lieu par injection de réseau (network injection) qui nécessite le contrôle du réseau mobile de façon à rediriger une requête par exemple à yahoo.fr vers un autre site, vérolé, à partir duquel l’infection se produira. Sur un téléphone investigué, Amnesty a pu trouver qu’une requête vers yahoo.fr a été redirigée vers documentpro.org de là, vers free247downloads.com. Ceci n’est possible que si le réseau de l’opérateur mobile est aux ordres de l’État qui espionne.

La particularité de Pegasus est qu’elle combine des techniques zero-click avec des failles 0-day, autrement dit les vulnérabilités pas encore connues du fabricant. Ces failles peuvent concerner aussi bien le système d’exploitation (iOS d’Apple et Android de Google) ou des applications populaires tels que iMessage, WhatsApp, ou encore le service Photostream. Via ces failles, il est possible de pénétrer dans les entrailles d’un smartphone pour le transformer en espion.

Les centaines de milliers de hackers à travers le monde testent sans relâche la moindre faille. De cette traque résultent quelques vulnérabilités que NSO a pu acheter sur le dark net mais il en découvre aussi lui-même sans aucun doute. Mettre à jour les applications, procéder à l’installation des dernières versions du système semble vain : les experts d’Amnesty International ont rapporté des traces d’infection sur un iPhone 12 avec la dernière version, à ce moment, d’iOS (14.6).

Tous les téléphones sont concernés

Le rapport ne cible que les iPhone qu’il a pu inspecter physiquement. Le système Android n’est pas plus sûr pour autant. Non, simplement le système des iPhone est plus transparent. Il garde plus et plus longtemps des traces des activités qu’il est même possible de récupérer via les sauvegardes de l’iPhone. L’hétérogénéité d’Android dont les versions se déclinent différemment selon le modèle rend l’analyse plus difficile sur ce type de téléphones.

Affaire Pegasus : comment des téléphones ont-ils pu être contaminés sans action de leur propriétaire ? | larecherche.fr

Ainsi, dans les registres des événements de Safari, le navigateur d’Apple, on a pu retrouver des traces de sites bizarres accédés avec pas moins de 4 sous-domaines. Ces sous-domaines permettent de masquer depuis Internet l’organisation de NSO pour mener ses attaques (et de les spécialiser), car ils ne sont adressables qu’à partir d’un serveur DNS interne à NSO. Les redirections suspectes vers ces sites ont eu lieu via Safari qui est conçu pour isoler Internet auquel il accède du système d’exploitation de l’iPhone, iOS(on appelle sandboxing l’isolement entre les logiciels et le système d’exploitation : ce terme fait allusion à unbac à sable là où les enfants peuvent faire des bêtises sans conséquences). Mais ces contacts vers ces sous-domaines ont aussi lieu au sein de certaines apps qui n’imposent pas le même isolement. En tout cas, Photostream, iMessage et Facetime ont été des portes d’entrée : les experts d’Amnesty ont eu l’idée de les examiner parce qu’en 2019, elles étaient l’objet de mises à jour de sécurité en nombre. La création, à l’insu de l’utilisateur, de comptes iCloud aurait aussi été détectée ce qui confirme le côté zero-click de l’attaque.

Amnesty a découvert que des appareils infectés envoyaient des informations à CloudFront, le service du cloud d’Amazon. NSO utilisait donc Amazon (et depuis peu de temps, en fait), ce qui est une manière d’éviter d’être scanné (et donc potentiellement découvert) sur Internet. C’est suite à ce rapport, preuve de son sérieux, qu’Amazon a coupé les accès de NSO a ses serveurs CloudFront).

Les experts de sécurité ont aussi mis au jour des processus inconnus qui ont subitement tourné sur les iPhone. Les processus utilisent les ressources d’une machine et sont initiés tant par le programme complet qui voudrait bien s’exécuter jusqu’à des composants élémentaires de la machine elle-même. Sur Windows, on les visualise par exemple avec le Task Manager.iOS garde des traces de l’exécution des processus et de leur usage du réseau dans deux bases de données SQLite hébergées dans le mobile. C’est ainsi qu’Amnesty a constaté la survenue de processus étranges qui démarraient juste après la visite forcée et à l’aveugle de sites gérés par Pegasus. L’un de ces processus, avec un nom non masqué aux allures d’un processus normal (bh), aurait servi à prendre des droits d’administrateur sur le mobile pour ensuite accueillir le gros de composants de Pegasus. De fait, juste après l’exécution du processus bh, d’autres processus étranges ont été exécutés. Pour les experts, il s’agissait de processus qui confirmaient que des bouts de programme injectés dans l’iPhone juste après (et grâce à) bh étaient à l’œuvre.

Les spécialistes ont aussi détecté des incohérences entre des traces de processus autrefois exécutés, visiblement effacés à certains endroits de l’iPhone mais pas à d’autres comme s’il y avait eu un oubli.C’est en comparant la base de données qui garde trace de l’utilisation du réseau par ces processus avec celle qui garde la mémoire de leur utilisation du réseau Internet que le pot au rose a été découvert.

Infrastructure d’attaque

Il y a eu, dans le temps, 4 infrastructures différentes déployées sur Internet par NSO pour supporter Pegasus : ce n’est pas tout de contaminer les iPhone, il faut des serveurs sur Internet pour récolter les données et contrôler les iPhone. À chaque fois que Amnesty ou Citizenlab (un laboratoire de l’université de Toronto, au Canada, qui coopère avec Amnesty) étaient sur les traces de NSO (car ce n’est pas la première fois !), ce dernier détruisait le tout pour reconstruire une autre infrastructure de serveurs. Récemment, comme expliqué plus haut, Pegasus, a même fait l’économie de serveurs pour utiliser les serveurs d’Amazon et, de là, lancer ses attaques. Amnesty a cependant pu dérouler le fil d’Ariane entre ces 4 infrastructures en raison de certains noms de domaines trouvés dans les iPhone contaminés et réutilisés entre elles quatre.

De même, il y a quatre types de serveurs pour Pegasus : un premier reçoit une connexion des iPhone qu’il valide comment venant bien d’un appareil contaminé ou non pas d’un chercheur qui serait sur sa piste ou d’un scan depuis Internet. Un deuxième serveur dit DNS, privé au sein de NSO, prend le relais : il sert (c’est le but d’un DNS) à rediriger l’iPhone vers un sous-domaine correspondant à la vulnérabilité 0-day à exploiter.Sa durée de vie est limitée pour éviter de remonter jusqu’à lui. Un troisième serveur sert à la contamination par Pegasus tout en évitant techniquement qu’il puisse être découvert (scanné) facilement sur Internet. Enfin, un quatrième serveur sert à communiquer avec l’iPhone pour le manipuler. Il y a donc bel et bien 4 serveurs, avec chacun une tâche spécialisée et dédiée, ce qui rend Pegasus très agile pour s’adapter, utiliser de nouvelles formes d’attaque en ne modifiant qu’une partie de son arsenal. Ces couches multiples rendent aussi la détection difficile.

La faiblesse avec Pegasus, c’est le numéro d’appel : c’est par lui que tout commence. Chaque victime est ciblée par son numéro de téléphone grâce auquel on peut essayer de contacter son iPhone, par SMS, par WhatsApp ou par d’autres app vulnérables. Là serait une solution pour ériger un rempart contre Pegasus, avec un Tor de la téléphonie, sur le modèle du Tor pour Internet. Ce dernier permet de surfer anonymement : avec Tor, la machine de laquelle on surfe n’est pas la machine qui est en contact avec Internet, avec entre les deux un entrelacement de machines relais qui ne savent pas ce qu’elles relaient, car le trafic provenant de et vers Internet est chiffré en propre sur la partie Tor. Appliqué à la téléphonie, on appellerait avec un numéro qui ne sera pas celui qui apparaît chez le destinataire : il serait relayé par des iPhone relais, peut-être virtuels qui feraient office de bouclier dans un sens et dans l’autre.

Là où Apple n’est pas honnête est dans sa communication que les iPhone sont ce qu’il y a de plus sûr, ce qui peut faire baisser la garde. Windows ne le prétend pas, ce qui amène en général ses utilisateurs à une utilisation plus prudente qui devrait être la norme (défense en profondeur, précautions…)

Pour ceux qui douteraient toujours, Amnesty a mis à disposition sur la plateforme ouverte GitHub des indicateurs de compromission et les outils développés pour récolter facilement des traces de contamination d’un iPhone. Ils ont été écrits en Python, le plus populaire des langages de programmation open source, un appel du pied à toute la communauté à poursuivre les efforts de Amnesty ! C’est une démarche scientifique qui les honore au-delà de leur apport sociétal qu’on ne pourra plus jamais nier.

Charles Cuvelliez, université de Bruxelles, École polytechnique de Bruxelles et Jean-Jacques Quisquater, université de Louvain, École polytechnique de Louvain et chercheur associé au MIT.

© image : JOEL SAGET / AFP