- L’iPhone de Galina Timchenko, cofondatrice et éditrice de Meduza, a été infecté par Pegasus le 10 février 2023, ce qui constitue le premier cas confirmé visant une journaliste russe
- Selon l’analyse d’Access Now et de Citizen Lab, l’attaquant pouvait accéder au microphone, à la caméra, à la mémoire, aux photos, à l’agenda, au carnet d’adresses et même aux conversations sur des messageries chiffrées. L’infection semble liée à la faille PWNYOURHOME via HomeKit et iMessage
- Le lendemain de l’infection, Timchenko a participé à Berlin à un séminaire privé avec des représentants des médias indépendants russes en exil, et son téléphone pouvait alors être utilisé comme dispositif d’écoute
- NSO Group affirme ne vendre Pegasus qu’à des clients gouvernementaux à des fins de lutte contre la criminalité et le terrorisme, mais Access Now et Citizen Lab s’inquiètent de soupçons d’usage en Europe, notamment en Lettonie, en Estonie et en Allemagne, ainsi que de capacités de surveillance transfrontalière
- L’auteur de l’attaque et son objectif n’ont pas été identifiés, et l’affaire Timchenko met en lumière à la fois une tendance en Europe à traiter les journalistes comme des menaces pour la sécurité nationale et l’absence de régulation efficace des logiciels espions commerciaux
De l’alerte de menace Apple à la confirmation de l’infection
- Le 22 juin 2023, Galina Timchenko a reçu d’Apple une alerte de menace liée à des state-sponsored attackers, qu’elle a transmise à l’équipe technique de Meduza
- Les threat notifications d’Apple sont envoyées lorsqu’un utilisateur est ciblé individuellement en raison de « qui il est ou de ce qu’il fait »
- Apple précise que les attaques soutenues par un État sont extrêmement sophistiquées, coûtent des millions de dollars à développer et ont souvent une durée de vie courte
- L’alerte reçue par Timchenko ne mentionnait pas le pays concerné
- Le responsable technique de Meduza a demandé une aide externe
- Access Now est une organisation à but non lucratif qui soutient les droits numériques et les pratiques de sécurité des utilisateurs dans le monde entier
- Citizen Lab est un laboratoire de recherche de l’université de Toronto qui enquête sur les activités d’espionnage numérique visant la société civile
- Access Now et Citizen Lab ont collecté les données de l’appareil de Timchenko pour effectuer une analyse rapide, et ont confirmé que l’iPhone avait été infecté par Pegasus le 10 février 2023
Les droits d’accès obtenus par Pegasus
- L’infection par Pegasus donnait à l’attaquant un accès complet à l’iPhone de Timchenko
- Accès possible au microphone, à la caméra et à la mémoire
- Consultation possible de l’adresse du domicile, de l’agenda, des photos et des conversations sur messageries chiffrées
- Possibilité de voir l’écran en direct et de lire les messages au moment même de leur rédaction
- Possibilité de télécharger e-mails, SMS, images et fichiers
- Il est difficile pour l’utilisateur d’empêcher l’infection ou même de la remarquer
- Pegasus peut compromettre un appareil dès lors qu’une seule application vulnérable existe, y compris une app installée par défaut par Apple
- Il est également difficile pour l’utilisateur de détecter qu’un appareil a été infecté
- Timchenko avait remarqué que son iPhone devenait parfois plus chaud que d’habitude, mais pensait que cela venait d’un nouveau chargeur
- Citizen Lab estime que l’attaquant a probablement pénétré l’appareil via HomeKit et iMessage
- Les chercheurs ont découvert des traces numériques propres à Pegasus
- La vulnérabilité utilisée semble être PWNYOURHOME, qui cible la fonction HomeKit intégrée à l’iPhone et abuse d’iMessage pour installer le spyware
- John Scott-Railton a indiqué que cette attaque pouvait fonctionner même sur des appareils où HomeKit n’était pas activé
La réunion privée de Berlin et le moment de l’infection
- La date de l’infection, le 10 février 2023, tombait la veille de la participation de Timchenko à une réunion privée à Berlin
- Le 11 février, Timchenko et le rédacteur en chef de Meduza, Ivan Kolpakov, ont participé à un séminaire privé à Berlin avec des représentants des médias indépendants russes en exil
- Le séminaire était organisé par le comité du prix de journalisme Redkollegia
- Des dirigeants de médias et des avocats y ont discuté des questions juridiques liées à la conduite d’activités concernant la Russie dans un contexte de censure totale et de répression contre les journalistes et les militants
- Deux semaines plus tôt, le procureur général de Russie avait désigné Meduza comme une « undesirable organization », rendant son travail journalistique illégal
- Pegasus était déjà actif lorsque Timchenko assistait à la réunion
- L’attaquant pouvait activer à distance le microphone du téléphone et enregistrer les conversations alentour
- La caméra pouvait aussi être activée de la même manière
- Natalia Krapiva, d’Access Now, estime que le téléphone de Timchenko a pu être utilisé comme dispositif d’écoute pour espionner les projets de journalistes russes
Premier cas confirmé visant des journalistes russes
- L’affaire Timchenko est le premier cas confirmé d’utilisation de Pegasus contre une journaliste russe
- Access Now a examiné les téléphones d’environ 20 journalistes et militants russes et y a découvert plusieurs malwares, sans toutefois identifier Pegasus auparavant
- John Scott-Railton, de Citizen Lab, explique qu’il est difficile d’identifier une infection car ce type de spyware peut masquer les fichiers journaux et effacer ses propres traces
- Citizen Lab et Lookout Security ont révélé pour la première fois, en 2016, des traces de l’existence de Pegasus
- À l’époque, leur rapport indiquait que la « remote monitoring solution » de NSO Group avait été utilisée pour surveiller le défenseur émirati des droits humains Ahmed Mansoor
- Citizen Lab suit les serveurs nécessaires au fonctionnement de Pegasus ainsi que ceux auxquels sont envoyées les données collectées depuis les appareils infectés
- Access Now explique que Pegasus ressemble moins à un simple produit qu’à un service, NSO Group fournissant aussi une formation opérationnelle aux pays clients
NSO Group et la structure de coût et de vente de Pegasus
- NSO Group affirme que Pegasus a été conçu exclusivement pour surveiller les « terroristes, criminels et délinquants sexuels sur mineurs »
- L’entreprise dit ne vendre Pegasus qu’à des clients étatiques
- Ses cofondateurs comprennent notamment d’anciens membres du renseignement militaire israélien et du Mossad
- NSO Group met en avant une politique stricte en matière de droits humains, mais plusieurs gouvernements ont utilisé Pegasus pour viser des critiques et des adversaires politiques
- John Scott-Railton, de Citizen Lab, affirme que l’accès à Pegasus coûte « des dizaines de millions de dollars, voire plus »
- Le gouvernement mexicain a dépensé au moins 61 millions de dollars pour cette technologie
- Le Mexique s’en est servi pour surveiller à la fois des criminels et des membres de la société civile
- Selon Natalia Krapiva d’Access Now, les contrats de NSO Group fonctionnent selon un nombre déterminé d’infections simultanées autorisées
- Par exemple, un forfait de 20 infections signifie qu’il est possible de surveiller 20 personnes en même temps
- En novembre 2021, l’administration Biden a inscrit NSO Group sur une liste noire fédérale l’empêchant d’accéder à des technologies américaines
- Cette décision est intervenue quelques mois après que le consortium Pegasus Project a révélé l’ampleur des abus liés à ce spyware
Possibilités russes, kazakhes et azerbaïdjanaises
- NSO Group est réputé empêcher l’utilisation de Pegasus contre des numéros de téléphone américains ou russes
- En 2020, les concepteurs de Pegasus ont indiqué qu’un téléphone infecté ne pouvait pas être physiquement situé aux États-Unis et que le logiciel s’autodétruisait s’il entrait sur le territoire américain
- Lorsqu’en 2019 l’Estonie a acheté l’accès à Pegasus, NSO Group lui aurait interdit de l’utiliser contre des cibles russes
- NSO Group a affirmé que la Russie et la Chine étaient des pays qui « ne pourraient jamais devenir clients »
- L’entreprise dit examiner les antécédents des clients potentiels en matière de droits humains, de corruption, de sécurité, de finances et d’abus
- En janvier 2023, le CEO Yaron Shohat a déclaré se concentrer sur son activité principale consistant à fournir des gouvernements alliés des États-Unis et d’Israël
- Andrey Soldatov estime que les services de renseignement russes sont vendeurs, non acheteurs, sur le marché mondial des technologies d’espionnage, et qu’ils sont extrêmement paranoïaques vis-à-vis des spyware étrangers
- Le fait que les données volées via Pegasus transitent par des serveurs de l’écosystème NSO Group pourrait aussi poser problème aux agences russes
- Le FSB russe n’a pas répondu aux questions de Meduza sur Pegasus
- Access Now examine comme théorie provisoire la possibilité que le Kazakhstan ou l’Azerbaïdjan aient mené l’attaque à la demande de Moscou
- Ces deux pays sont soupçonnés d’être clients de Pegasus
- L’Ouzbékistan n’était pas considéré comme client de Pegasus à cette période
- Toutefois, à la connaissance des chercheurs, ni le Kazakhstan ni l’Azerbaïdjan n’ont exécuté d’attaques Pegasus en Europe, et Timchenko se trouvait en Allemagne au moment de l’infection
- Citizen Lab dit n’avoir vu aucune preuve d’une utilisation transfrontalière de Pegasus par le Kazakhstan
- L’Azerbaïdjan utilise Pegasus à l’étranger, mais le seul pays documenté par les chercheurs est l’Arménie
Soupçons autour de la Lettonie, de l’Estonie et de l’Allemagne
- L’iPhone infecté de Timchenko contenait une carte SIM lettone
- Citizen Lab a documenté pour la première fois une activité liée à Pegasus en Lettonie en 2018, et des experts estiment que Riga utilise encore aujourd’hui des produits NSO Group
- Access Now n’exclut pas non plus la possibilité d’une attaque menée par les services de renseignement lettons
- Deux mois avant l’infection, la Lettonie avait retiré la licence de diffusion locale d’un autre média russe en exil, TV Rain, qu’elle considérait comme une « menace pour la sécurité nationale et l’ordre public »
- Cependant, Citizen Lab n’a pas observé de cas où Riga aurait utilisé Pegasus contre des cibles hors de Lettonie, et Timchenko a été infectée alors qu’elle se trouvait à Berlin
- Le service letton de sécurité nationale a répondu ne disposer d’aucune information sur une éventuelle attaque contre le smartphone de Timchenko
- Il a refusé de répondre à d’autres questions, notamment sur l’usage de Pegasus et la surveillance de cibles à l’étranger, au nom de la confidentialité des informations opérationnelles
- Il a été établi que l’Estonie avait acheté l’accès à Pegasus en 2019, ce que Citizen Lab confirme également
- Scott-Railton affirme avoir suivi des infections transfrontalières menées par l’Estonie dans plusieurs pays de l’UE, dont l’Allemagne
- L’Office fédéral allemand de la police criminelle a obtenu l’accès à Pegasus en 2019 et n’a reconnu cet achat qu’en 2021
- L’Allemagne utiliserait une version dont certaines fonctions sont désactivées pour éviter les abus, sans toutefois expliquer son fonctionnement réel
- Krapiva affirme qu’un rapport du Contrôleur européen de la protection des données considère que non seulement la version originale de Pegasus, mais aussi toute forme de Pegasus, est fondamentalement difficilement compatible avec le droit de l’UE
Le problème européen des spyware commerciaux
- Scott-Railton estime que l’infection de Timchenko à Berlin montre que le problème Pegasus en Europe n’est pas résolu
- L’Allemagne n’a pas signé la déclaration commune visant à répondre à la prolifération et aux abus des spyware commerciaux
- Onze pays l’ont signée, dont le Danemark, la France et la Suède
- Access Now souligne que quatre États membres de l’UE — la Lettonie, l’Estonie, l’Allemagne et les Pays-Bas — tous devenus des centres majeurs de l’émigration russe anti-guerre, sont soupçonnés d’utiliser Pegasus
- Le comité PEGA de l’UE indique qu’il existe au sein de l’Union au moins 14 États membres et 22 opérateurs utilisant Pegasus
- Seuls les contrats de NSO Group avec la Hongrie et la Pologne ont pris fin
- Access Now considère l’attaque contre Timchenko comme au moins le quatrième cas similaire survenu en Europe au cours de l’année écoulée
- Meduza connaît les détails d’autres affaires, mais les victimes ne souhaitent pas les rendre publiques
- Krapiva estime qu’une tendance consistant à considérer les journalistes comme une menace commence aussi à apparaître dans le droit européen
- Elle avertit que certains passages de l’European Media Freedom Act, affaiblis notamment par la France et la Suède, pourraient servir à justifier la surveillance de journalistes au nom de la sécurité nationale
Réponse de NSO Group et question de la responsabilité
- NSO Group n’a pas répondu aux questions visant à savoir si l’entreprise avait connaissance de l’attaque contre Timchenko ni quel client aurait pu mener l’intrusion
- Un porte-parole de l’entreprise a déclaré que Pegasus n’était vendu qu’à des alliés des États-Unis et d’Israël, en particulier à des pays d’Europe occidentale, et uniquement pour lutter contre la criminalité et le terrorisme
- NSO Group a insisté sur le fait qu’il enquête sur toutes les allégations crédibles d’abus, sans préciser s’il était prêt à ouvrir une enquête interne sur l’affaire Timchenko
- The New York Times a rapporté en janvier 2022 que le système Pegasus enregistre toutes les attaques lorsqu’une plainte est déposée, et que NSO peut réaliser une analyse forensique a posteriori avec l’autorisation du client
- En juillet 2022, le responsable juridique et conformité de NSO Group a déclaré devant une commission du Parlement européen que huit contrats avaient été résiliés à la suite d’enquêtes internes
- Krapiva d’Access Now affirme qu’après des centaines de victimes, elle en a conclu soit que la procédure de contrôle interne de NSO n’existe pas, soit qu’elle n’est qu’une façade
Situation actuelle de Timchenko et de Meduza
- Timchenko a acheté un nouveau téléphone après l’intrusion, tout en continuant à transporter l’iPhone infecté
- Citizen Lab a confirmé que Pegasus n’est plus installé sur cet appareil
- Timchenko dit avoir décidé de conserver l’appareil comme souvenir
- Depuis juin 2023, des experts ont analysé les téléphones de plusieurs dizaines d’employés de Meduza
- On ignore toujours quelles informations précises l’attaquant cherchait à obtenir
- Alexey, responsable technique de Meduza, estime qu’il faut partir du pire tant que le mobile de l’attaque n’est pas connu
- Il considère qu’on ne peut exclure ni une commande russe ni des conséquences graves
- Timchenko affirme qu’elle suivra désormais les conseils de ses avocats et qu’elle ne se taira pas
Que faire en cas de suspicion d’infection
- Si vous pensez être surveillé par un spyware, il est recommandé de sauvegarder l’appareil afin de préserver d’éventuelles preuves de l’attaque, puis de contacter Access Now
- Guide de sauvegarde iPhone : Assistance Apple
- Guide de sauvegarde Android : Assistance Google
- Access Now considère les situations suivantes comme des motifs raisonnables de soupçonner une infection par spyware
- Avoir déjà subi des persécutions de la part d’institutions étatiques
- Être soi-même, ou avoir un proche, déjà visé par une attaque numérique
- Avoir reçu une alerte d’une grande entreprise technologique comme Apple, Google ou Meta concernant une possible attaque par malware
- Avoir reçu des messages suspects par SMS, messagerie ou e-mail
- Avoir constaté des « unusual login attempts » sur un compte
1 commentaires
Avis sur Hacker News
Apple sait-il, ou a-t-il au moins une idée, de la gravité potentielle du problème ? Quel que soit le montant que NSO consacre à l’achat de zero-days, une entreprise comme Apple ne pourrait-elle pas augmenter suffisamment ses bug bounties pour les attirer du côté légal ? À lire l’article, on ne sait même pas clairement si l’installation nécessitait une action de l’utilisateur. Si ce n’est pas le cas, que devrait faire quelqu’un qui soupçonne ne serait-ce qu’un peu une surveillance soutenue par un État ? Il semble presque plus sûr de ne pas utiliser de téléphone, ou de changer sans cesse d’appareil acheté d’occasion
Pegasus n’est pas un acteur de piratage unique, comme le décrivent beaucoup d’articles, mais un ensemble de services qui téléchargent des données lorsqu’ils disposent d’un accès root au téléphone, ainsi qu’un stock de zero-days dont on ignore la profondeur. Il se peut même que Pegasus cesse de fonctionner pendant des heures, des jours ou des semaines, le temps de remplacer un zero-day. D’après les documents divulgués, on sait qu’ils combinent des exploits sans clic et avec clic, et qu’ils prennent en charge plusieurs systèmes d’exploitation mobiles
Leurs capacités de piratage sont très probablement exagérées. Pour assurer un support client fluide, il est même possible qu’ils achètent tous leurs zero-days et n’en découvrent aucun eux-mêmes. Un zero-day sans clic pour iPhone vaut environ 2 millions de dollars[1], et une entreprise disposant de contrats comme NSO peut en acheter beaucoup. Les médias les décrivent comme des super-hackers, mais c’est de la pure exagération ; en réalité, ils ressemblent davantage à un groupe d’hommes d’affaires corrompus qui ont compris comment soutirer de l’argent aux États
[1] https://arstechnica.com/information-technology/2019/01/zerod...
Un seul développeur d’exploits peut produire plusieurs zero-days militarisés par an ; comme ils ne vont certainement pas n’avoir qu’un seul développeur faisant ce travail, il est très probable qu’ils aient accumulé des dizaines de vulnérabilités. Certaines disparaîtront parce qu’elles recoupent des vulnérabilités rendues publiques, mais il faut partir du principe que, lorsqu’on en bloque une, ils en ont une autre en attente
La question de savoir si Apple pourrait augmenter ses primes pour attirer ces gens vers la voie légale est bonne, mais aux tarifs de NSO, j’ai tendance à penser que ce serait difficile. Apple pourrait proposer des montants compétitifs, mais travailler sur des bug bounties est beaucoup plus risqué. Avec un peu de malchance, si la vulnérabilité a déjà été signalée ou si le fournisseur se montre tatillon, on peut travailler longtemps sans être payé. Apple a d’ailleurs plutôt mauvaise réputation sur ce point
Si l’on soupçonne une surveillance soutenue par un État, il vaut peut-être mieux commencer par utiliser plusieurs téléphones. Utiliser des protocoles authentifiés au lieu de SMS/MMS, et le simple fait que n’importe qui puisse envoyer des données non sollicitées à un téléphone est absurde. À ma place, je désactiverais même complètement le service cellulaire sauf lorsque j’appelle des contacts connus
Je suis surpris que des journalistes travaillant sur des sujets à haut risque ne l’activent pas par défaut. Beaucoup de ces exploits sans interaction passent par des vulnérabilités comme des décodeurs d’images qui s’exécutent dès la réception d’un message, mais Lockdown Mode les bloque lorsqu’il est activé. Lockdown Mode désactive aussi d’autres fonctionnalités. Je me demande si l’on a déjà vu des preuves de compromission d’un téléphone avec Lockdown Mode activé. Je ne dis pas que c’est impossible, je suis simplement curieux
Même ceux qui sont devenus cyniques à l’égard du journalisme avec le temps ne peuvent qu’être ramenés à l’humilité en voyant la mort et la terreur que les journalistes endurent pour affronter des régimes comme ceux de l’Arabie saoudite ou du Maroc. Pegasus se trouvait aussi sur les téléphones de Jamal Khashoggi et de la personne dont on se souvient comme de sa compagne
Même si NSO brûlait toute sa production interne, les courtiers en vulnérabilités que je connais ont des dizaines de pièces en stock valant plusieurs millions de dollars. Ce n’est même pas un secret. Ces courtiers exploitent des sociétés légalement constituées aux États-Unis et vendent à des gouvernements, à des entreprises, ainsi qu’à des fournisseurs comme Microsoft et Apple, qui fabriquent des produits non sûrs. Apple sait que les produits qu’elle met sur le marché comportent des dizaines, voire des centaines, de failles de sécurité critiques connues
Il y a deux raisons pour lesquelles Apple ne rachète pas tous les zero-days. Premièrement, on ne peut pas acheter la sécurité avec de l’argent. Deuxièmement, le bénéfice n’est pas supérieur au coût
Une sécurité sérieuse ne se règle pas à coups d’argent. Apple paie actuellement 1 million de dollars[1] pour une exécution de code à distance sans clic et persistante, et 2 millions de dollars pour la même chose sous Lockdown Mode. C’est à peu près le prix d’un missile de croisière Tomahawk. Comme trouver ce type de faille de sécurité demande environ 1 à 3 années-ingénieur, la prime est grosso modo alignée sur le coût de la main-d’œuvre. S’ils payaient 10 millions de dollars, soit à peu près le prix d’un char M1 Abrams, le retour sur investissement serait multiplié par dix et les nouveaux signalements afflueraient. Il y a en effet beaucoup plus de failles détectables à un niveau de 10 millions de dollars qu’à un niveau de 1 million
Mais pour dissuader un État, il faudrait monter au minimum au niveau du prix d’un F-16, soit 100 millions de dollars. Puisqu’il existe déjà des dizaines à des centaines de failles de sécurité connues au niveau de quelques millions de dollars, il y aurait presque certainement des milliers, voire des dizaines de milliers de vulnérabilités au niveau de 100 millions. Par conséquent, même si la stratégie consistant à tout racheter pour se protéger d’attaquants soutenus par des États était possible, elle pourrait coûter des milliers à des dizaines de milliers de milliards de dollars. En premier lieu, pratiquement personne n’a réussi, au-delà de l’ordre de quelques millions de dollars, à faire fonctionner une stratégie consistant à renforcer a posteriori des systèmes qui n’ont pas été conçus pour la sécurité, comme iOS ou Windows
Qu’est-ce qu’Apple gagne à acheter des zero-days ? Même si des milliers de failles de sécurité sont signalées, les gens continuent d’acheter des iPhone. Il suffit à Apple de créer un nouveau discours marketing comme le Lockdown Mode pour que tout le monde soit rassuré. Quand une entreprise qui n’a produit que des produits n’atteignant même pas un centième du niveau nécessaire face à des attaquants soutenus par des États sort un slogan disant que « cette fois, elle va vraiment y arriver », les gens l’acceptent. Le fait qu’Apple elle-même ne croie pas à sa propre communication se voit dans la prime du Lockdown Mode, fixée à 2 millions de dollars, soit le double du million de dollars de l’iOS standard. Cela reste un cinquième du prix d’un char. Un attaquant soutenu par un État va-t-il être intimidé par le prix d’une fraction de char ? Ouvrir un McDonald’s coûte plus cher. Des entreprises comme Apple, Microsoft, Amazon, Google, Cisco ou Crowdstrike n’ont qu’à mentir, et, étrangement, les gens les croient encore pour la millième fois, ce qui protège leur chiffre d’affaires
Les systèmes informatiques commerciaux ne sont absolument pas sûrs, même face à des attaquants disposant de moyens financiers moyens. Si une opération vaut plus d’un million de dollars, ou s’il existe un risque d’attaque ciblée, il faut considérer que tout système, quel qu’en soit le nombre, est vulnérable à 100 %. Si ce n’est pas acceptable, il ne faut pas utiliser de systèmes informatiques commerciaux standard dotés de connectivité. C’est regrettable, mais c’est actuellement la seule solution qui fonctionne. À chacun de décider s’il accepte ce compromis
[1] https://security.apple.com/bounty/categories/
Dans un futur proche, à un moment donné, le « téléphone » du titre sera remplacé par voiture, et les conséquences seront plus tragiques
Je me demande combien vaudrait une zero-day Tesla
Les gens portent leur téléphone comme une extension d’eux-mêmes, alors qu’une voiture est un moyen de les emmener du point A au point B
Et la plupart des voitures modernes ont une Secure Gateway[1] presque pas connectée à Internet, qui ne donne aux systèmes connectés qu’un accès réseau limité au reste du véhicule, comme le moteur, le groupe motopropulseur ou les freins. Je pense donc que la possibilité d’attaques à distance à grande échelle est faible
[1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
Le sens lié à la mythologie grecque n’est-il pas amusant ? Pegasus est né du sang de Méduse
À la question « Pourquoi Meduza ? N’est-ce pas une créature visqueuse et désagréable ? », la journaliste répond qu’un journaliste est généralement désagréable, glissant, que presque personne ne l’aime, et que c’est la nature même du métier. Elle ajoute que le fait que Méduse transforme les gens en pierre d’un seul regard colle aussi aux journalistes. Mais, pour être honnête, elle dit que le nom a été choisi par hasard. Ils voulaient prendre le nom d’un monstre de la Grèce antique qui avait eu la tête coupée mais était revenu à la vie ; après avoir choisi « Meduza », ils se sont souvenus qu’il s’agissait en fait de l’Hydre, mais il était déjà trop tard
1 : https://meduza.io/cards/zaday-vopros-meduze, #75
Je me demande comment Apple décide qui prévenir, et qui ne pas prévenir, lorsqu’elle détecte un malware comme Pegasus
C’était une bonne chose de prévenir cette personne
Mais que se serait-il passé si elle avait été beaucoup moins connue ? Par exemple une personne ordinaire vivant dans un pays démocratique ? Apple sait-elle qui l’a ciblée ? Et si oui, existe-t-il un critère du type « on prévient si c’est la Chine ou la Russie » ? Dans ce cas, que se passe-t-il si la Chine ou la Russie fait la même chose en passant par un mandataire payé dans un pays démocratique ?
Ça fait beaucoup de questions. Et si Apple peut détecter ce genre de malware, pourquoi n’y a-t-il pas une alerte immédiate dans une app locale ? Une sorte d’antivirus pour téléphone. Ça devrait déjà exister ; sinon, comment l’ont-ils su ?
Il est plus probable qu’ils reçoivent des informations comme des comptes connus pour avoir envoyé des messages malveillants, puis fouillent les logs serveur pour voir qui a été atteint
Je me demande quelles mesures pratiques pourrait prendre un journaliste ou un militant qui pense être une cible pour ce genre de personnes
Il y a la méthode consistant à utiliser un appareil différent pour chaque app, par exemple un pour WhatsApp, un pour Telegram, un pour Signal. On peut aussi utiliser des frontends web et garder le téléphone éteint, même si je ne sais pas si c’est possible pour toutes les apps. On peut aussi jeter périodiquement les appareils, les revendre d’occasion et acheter de nouveaux appareils ou des téléphones d’occasion. Il faut n’utiliser l’appareil que pour convenir de rendez-vous dans un environnement plus sûr, ne pas parler au téléphone ni envoyer de SMS, et toujours partir du principe qu’il est compromis
Et les sanctions devraient viser NSO, pas les ONG. Ce sont des ordures
Il manquerait aussi de place pour transporter tout ce matériel. Au passage des frontières, devoir expliquer tous ces téléphones au contrôle frontalier ou aux douanes donnerait probablement lieu à des situations assez intéressantes
Il a été conçu précisément pour bloquer ce type d’attaque, et il a été confirmé que cette attaque aurait échoué si Lockdown Mode avait été activé
Pour aller plus loin, il suffit de désactiver iMessage et de ne pas utiliser iCloud du tout
Quelque chose de similaire à GrapheneOS, qui continue de réduire la surface d’attaque, mais supprime aussi totalement les compromis liés à l’installation d’apps ou aux services Google
En gros, un téléphone avec messagerie chiffrée et accès à la caméra et au micro seulement dans des conditions très contrôlées, rien de plus
Avec de fortes contraintes, la popularité restera limitée, donc le rapport coût/intérêt pour en faire une cible sera très faible ; et pour la poignée de personnes qui ont vraiment besoin de protection, cela peut offrir une protection plus forte qui vaut ces sacrifices
Si l’appareil exfiltre tous les messages et fait souvent des captures d’écran, il sera assez difficile de cacher le trafic sortant. Il sera chiffré, mais le volume de données sera difficile à masquer
C’est encore plus simple si, dès le départ, le téléphone est verrouillé dans une configuration minimale, car il y a moins d’apps susceptibles de générer du trafic vers l’extérieur
La phrase d’Ivan Kolpakov disant qu’il a été « vraiment choqué que l’on discute sérieusement du fait qu’un État européen ait pu faire cela » n’est pas tant naïve ; le vrai problème, à mon sens, c’est qu’avant cet épisode, il n’avait pas enquêté sur ce que les États européens font réellement dans ce contexte
S’il l’avait fait à l’avance, il aurait été inquiet plutôt que choqué
Une autre possibilité est que ce « choc » soit un choc façon Casablanca
Rick : Sur quel motif pouvez-vous me fermer ?
Capitaine Renault : Je suis choqué, choqué d’apprendre qu’il y a des jeux d’argent ici !
[Le croupier tend une liasse d’argent à Renault]
Croupier : Vos gains, monsieur
Capitaine Renault : Oh, merci beaucoup
Je me demande si quelque chose empêche Pegasus de se propager tout seul, ou s’il doit forcément être installé via une attaque ciblée.
Existe-t-il aussi un moyen de scanner un appareil pour vérifier s’il est infecté ?
Certaines des vulnérabilités qui y seraient liées pourraient même être transformables en ver. Mais, en pratique, les opérateurs de malwares comme Pegasus ont des raisons pragmatiques d’éviter une propagation incontrôlée. Ils ont besoin que des vulnérabilités non découvertes et non corrigées restent cachées ; une diffusion illimitée augmenterait fortement les chances de découverte et d’analyse, ce qui reviendrait à tuer « la poule aux œufs d’or ».
Donc, au moins pour l’instant, je m’attends à ce que toute installation de Pegasus soit le résultat d’une attaque ciblée. En revanche, si l’outil fuitait et devenait facilement utilisable par plusieurs acteurs, les incitations changeraient, et l’un d’eux pourrait créer un ver infectant des appareils non patchés dans le monde entier.
Écrire un tel code serait relativement simple : envoyer l’exploit par iMessage à tous les contacts de la cible, puis répéter.
Mais ce serait contre-productif. Le principal argument de vente de Pegasus est la surveillance ciblée, et ce type d’exploit coûte très cher. Une propagation incontrôlée serait détectée plus vite et brûlerait une ressource précieuse.
Si de tels exploits étaient bon marché, une variante attaquant automatiquement tout le carnet d’adresses d’une cible pour cartographier son graphe social pourrait se justifier ; mais il faudrait ensuite analyser une masse énorme de données pour la plupart inutiles.
Techniquement, Pegasus pourrait se renvoyer lui-même pour infecter d’autres appareils, mais ce ne serait pas cohérent avec ce modèle économique ; il est donc peu probable que NSO le fasse régulièrement.
Amnesty International dispose aussi, ou a disposé, d’un outil capable de le détecter : https://github.com/mvt-project/mvt
Cela dit, c’est une course permanente, donc les informations passées peuvent ne plus être valables. Malgré tout, comme l’infection utilise des zero-days très coûteux qui seraient rapidement corrigés s’ils étaient découverts, je pense qu’il restera peu probable qu’ils y ajoutent une fonction d’auto-propagation.
C’est la manière la plus simple et la plus rapide de cibler quelqu’un. Sinon, le processus d’isolement de la cible deviendrait plus complexe. Donc, en plus du Lockdown Mode, ne laisser aucun numéro actif sur le téléphone et respecter les précautions de sécurité habituelles pourrait, en théorie, suffire à se protéger. Au bout du compte, la solution est de ne pas utiliser de smartphone.
Je me demande si le téléphone en question était en Lockdown Mode.
Quelqu’un sait à quel point le Lockdown Mode est efficace pour bloquer la plupart de ces zero-days ?
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
« Nous pensons que le Lockdown Mode bloque cette attaque précise, comme l’a également confirmé l’équipe Security Engineering and Architecture d’Apple. »
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
« Pendant une courte période, les cibles qui avaient activé la fonctionnalité Lockdown Mode d’iOS 16 ont reçu des alertes en temps réel lorsque des tentatives d’exploitation PWNYOURHOME se produisaient sur leur appareil. Il est possible que NSO Group ait ensuite trouvé un moyen de contourner ces alertes en temps réel, mais nous n’avons observé aucun cas où PWNYOURHOME aurait été utilisé avec succès sur un appareil avec Lockdown Mode activé. »
Ce type d’attaque ne pourrait-il pas être détecté avec un inspecteur de paquets en profondeur personnel fonctionnant au niveau du routeur, ou même avec un simple outil de capture de paquets ?
Une autre solution simple pourrait être un routeur portable DIY intégrant de l’inspection approfondie des paquets ou un analyseur réseau.
https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...