Explication : Comment les logiciels espions Pegasus infectent un appareil ; quelles données peuvent être compromises
Projet Pegasus : Le logiciel espion israélien, qui a été révélé avoir été utilisé pour cibler des centaines de téléphones en Inde, est devenu moins dépendant des clics. Pegasus peut infecter un appareil sans l'engagement ou la connaissance de la cible.
Pegasus est le produit phare de NSO Group (illustration Express) En novembre 2019, un journaliste technique de New York a photographié un dispositif d'interception affiché à Milipol, un salon professionnel sur la sécurité intérieure à Paris. L'exposant, NSO Group, a placé le matériel à l'arrière d'une camionnette, suggérant peut-être la commodité de la portabilité, et a déclaré qu'il ne fonctionnerait pas sur les numéros de téléphone américains, probablement en raison d'une restriction auto-imposée par l'entreprise.
Depuis que le cyber-géant israélien a été fondé en 2010, c'était probablement la première fois qu'une station de base d'émetteurs-récepteurs (BTS) portable fabriquée par NSO était présentée dans un reportage médiatique.
Un BTS – ou « tour de téléphonie mobile » ou « IMSI Catcher » ou « Stingray » – se fait passer pour des tours cellulaires légitimes et force les téléphones portables dans un rayon à s’y connecter, de sorte que le trafic intercepté puisse être manipulé par un attaquant. Le BTS photographié en 2019 était composé de cartes empilées horizontalement, susceptibles de permettre une interception sur plusieurs bandes de fréquences.
L'autre option consiste à tirer parti de l'accès à l'opérateur mobile de la cible lui-même. Dans ce scénario, un attaquant n'aurait pas besoin d'une tour cellulaire malveillante mais s'appuierait sur l'infrastructure réseau habituelle pour la manipulation.
Quoi qu'il en soit, la capacité de lancer des attaques « injection réseau » - effectuées à distance sans l'engagement de la cible (par conséquent, également appelé zéro-clic ) ou la connaissance — a donné Pégase , le produit phare de NSO Group, un avantage unique sur ses concurrents sur le marché mondial des logiciels espions.
Pegasus est maintenant au centre d'un projet d'enquête collaboratif mondial qui a révélé que le logiciel espion était utilisé pour cibler, entre autres, des centaines de téléphones portables en Inde .
| La fabrication de Pegasus, de startup à leader de la technologie espionEn quoi Pegasus est-il différent des autres logiciels espions ?
Pegasus alias Q Suite, commercialisé par le groupe NSO alias Q Cyber Technologies en tant que solution de cyber-intelligence de premier plan qui permet aux forces de l'ordre et aux agences de renseignement d'extraire à distance et secrètement des données de pratiquement tous les appareils mobiles, a été développée par des vétérans des agences de renseignement israéliennes.
Jusqu'au début de 2018, les clients de NSO Group s'appuyaient principalement sur les messages SMS et WhatsApp pour inciter les cibles à ouvrir un lien malveillant, ce qui conduirait à l'infection de leurs appareils mobiles. Une brochure Pegasus a décrit cela comme un message d'ingénierie sociale amélioré (ESEM). Lorsqu'un lien malveillant empaqueté en tant qu'ESEM est cliqué, le téléphone est dirigé vers un serveur qui vérifie le système d'exploitation et fournit l'exploit à distance approprié.
Dans son rapport d'octobre 2019, Amnesty International a pour la première fois documenté l'utilisation d'« injections réseau » qui permettaient aux attaquants d'installer le logiciel espion sans nécessiter aucune interaction de la part de la cible. Pegasus peut réaliser de telles installations sans clic de différentes manières. Une option OTA (over-the-air) consiste à envoyer secrètement un message push qui oblige l'appareil cible à charger le logiciel espion, la cible ignorant l'installation sur laquelle elle n'a de toute façon aucun contrôle.
Ceci, une brochure Pegasus se vante, est l'unicité de NSO, qui différencie considérablement la solution Pegasus de tout autre logiciel espion disponible sur le marché.
|Onze téléphones ciblés : d'une femme qui a accusé l'ex-CJI de harcèlement, des parentsQuels types d'appareils sont vulnérables ?
Tous les appareils, pratiquement. Les iPhones ont été largement ciblés avec Pegasus via l'application iMessage par défaut d'Apple et le protocole Push Notification Service (APNs) sur lequel il est basé. Le logiciel espion peut usurper l'identité d'une application téléchargée sur un iPhone et se transmettre sous forme de notifications push via les serveurs d'Apple.
En août 2016, le Citizen Lab, un laboratoire interdisciplinaire basé à l'Université de Toronto, a signalé l'existence de Pegasus à la société de cybersécurité Lookout, et les deux ont signalé la menace pour Apple. En avril 2017, Lookout et Google ont publié des détails sur une version Android de Pegasus.
En octobre 2019, WhatsApp a reproché au groupe NSO d'avoir exploité une vulnérabilité dans sa fonction d'appel vidéo. Un utilisateur recevrait ce qui semblait être un appel vidéo, mais ce n'était pas un appel normal. Après que le téléphone a sonné, l'attaquant a secrètement transmis un code malveillant dans le but d'infecter le téléphone de la victime avec un logiciel espion. La personne n'a même pas eu à répondre à l'appel, a déclaré le chef de WhatsApp, Will Cathcart.
combien vaut Kevin Federline
En décembre 2020, un rapport de Citizen Lab a signalé comment des agents du gouvernement ont utilisé Pegasus pour pirater 37 téléphones appartenant à des journalistes, des producteurs, des présentateurs et des dirigeants d'Al Jazeera et d'Al Araby TV, basée à Londres en juillet-août 2020, en exploitant un jour zéro ( une vulnérabilité inconnue des développeurs) contre au moins iOS 13.5.1 qui pourrait pirater le dernier iPhone 11 d'Apple. Bien que l'attaque n'ait pas fonctionné contre iOS 14 et versions ultérieures, le rapport indique que les infections observées représentent probablement une infime fraction du total les attaques, étant donné la propagation mondiale de la clientèle du groupe NSO et la vulnérabilité apparente de presque tous les appareils iPhone avant la mise à jour iOS 14.
Le logiciel espion pénètre-t-il toujours dans n'importe quel appareil qu'il cible ?
Habituellement, un attaquant doit fournir au système Pegasus uniquement le numéro de téléphone cible pour une injection réseau. Le reste est fait automatiquement par le système, indique une brochure Pegasus, et le logiciel espion est installé dans la plupart des cas.
Dans certains cas, cependant, les injections réseau peuvent ne pas fonctionner. Par exemple, l'installation à distance échoue lorsque le périphérique cible n'est pas pris en charge par le système NSO ou que son système d'exploitation est mis à niveau avec de nouvelles protections de sécurité.
Apparemment, une façon d'esquiver Pegasus est de changer le navigateur par défaut de son téléphone. Selon une brochure Pegasus, l'installation à partir de navigateurs autres que ceux par défaut de l'appareil (ainsi que Chrome pour les appareils Android) n'est pas prise en charge par le système.
Dans tous ces cas, l'installation sera abandonnée et le navigateur de l'appareil cible affichera une page Web inoffensive prédéterminée afin que la cible n'ait pas la moindre idée de l'échec de la tentative. Ensuite, un attaquant est susceptible de se rabattre sur les appâts de clic ESEM. Tout le reste échouant, indique la brochure, Pegasus peut être injecté manuellement et installé en moins de cinq minutes si un attaquant obtient un accès physique à l'appareil cible.
|2019 et maintenant, le gouvernement ignore la question clé : a-t-il acheté Pegasus ?Quelles informations peuvent être compromises ?
Une fois infecté, un téléphone devient un espion numérique sous le contrôle total de l'attaquant.
Lors de l'installation, Pegasus contacte les serveurs de commande et de contrôle (C&C) de l'attaquant pour recevoir et exécuter des instructions et renvoyer les données privées de la cible, y compris les mots de passe, les listes de contacts, les événements de calendrier, les messages texte et les appels vocaux en direct (même ceux via -applications de messagerie cryptées à la fin). L'attaquant peut contrôler la caméra et le microphone du téléphone et utiliser la fonction GPS pour suivre une cible.
Pour éviter une consommation excessive de bande passante susceptible d'alerter une cible, Pegasus n'envoie que des mises à jour planifiées à un serveur C&C. Le logiciel espion est conçu pour échapper à l'analyse médico-légale, éviter la détection par un logiciel antivirus et peut être désactivé et supprimé par l'attaquant, quand et si nécessaire.
Quelles précautions peut-on prendre ?
Théoriquement, une cyber-hygiène astucieuse peut protéger contre les appâts ESEM. Mais lorsque Pegasus exploite une vulnérabilité dans le système d'exploitation de son téléphone, il n'y a rien que l'on puisse faire pour arrêter une injection réseau. Pire encore, on ne s'en rendra même pas compte à moins que l'appareil ne soit scanné dans un laboratoire de sécurité numérique.
Le passage à un combiné archaïque qui n'autorise que les appels et les messages de base limitera certainement l'exposition des données, mais ne réduira pas considérablement le risque d'infection. De plus, tous les appareils alternatifs utilisés pour les e-mails et les applications resteront vulnérables à moins que l'on ne renonce complètement à utiliser ces services essentiels.
Par conséquent, le mieux que l'on puisse faire est de se tenir au courant de chaque mise à jour du système d'exploitation et de chaque correctif de sécurité publié par les fabricants d'appareils, et d'espérer que les attaques zero-day deviennent plus rares. Et si l'on a le budget, changer périodiquement de combiné est peut-être le remède le plus efficace, bien que coûteux.
Étant donné que le logiciel espion réside dans le matériel, l'attaquant devra réussir à infecter le nouveau périphérique à chaque fois qu'il change. Cela peut poser des défis à la fois logistiques (coûts) et techniques (mise à niveau de la sécurité). À moins que l'on se heurte à des ressources illimitées, généralement associées au pouvoir de l'État.
Partage Avec Tes Amis:
