5 mois après les révélations sur l'exploitation de Pegasus, le spyware frappe à nouveau.
Récemment, des employés du U.S. State Department ont été pris pour cible par un groupe non identifié utilisant le logiciel Pegasus de NSO. Après les révélations de juillet exposant qu'il avait notamment frappé des journalistes et des hauts responsables, le malware d'espionnage continue de se propager sur les mobiles des cibles critiques.
En juillet 2021, on comptait pas moins de 50 000 personnes directement touchées par le logiciel espion Pegasus, bien que cela aille au-delà en concernant également toutes les personnes en contact avec les victimes. Parfois, il est simplement plus facile d’atteindre une cible à travers son réseau, et c’est aussi ce que fait Pegasus.
Alors que les systèmes d’exploitation Android et iOS sont développés en tenant compte des problématiques de sécurité mobile, avec Pegasus, le groupe NSO démontre que les protections standard des systèmes d’exploitation mobiles ne sont pas assez fiables pour protéger les données des utilisateurs, mettant en évidence la nécessité d’ajouter une couche supplémentaire de sécurité à tous les terminaux mobiles.
Le mode opératoire de Pegasus
Pour compromettre des cibles critiques, le logiciel espion Pegasus exploite les vulnérabilités d’applications courantes telles que iMessage, FaceTime, Safari, WhatsApp, etc. possédant un module web (WebKit, WebView...) afin d’atteindre des URLs générées dynamiquement, invisibles et non classifiées.
Les pages atteintes exécutent alors du code JavaScript pour exploiter d’autres vulnérabilités afin de sortir des sandboxes des applications, contournant ainsi tous les mécanismes en place dans les systèmes Android et iOS.
Une fois dans les couches du système, Pegasus exploite une séquence de vulnérabilités connues et zero-day du processeur afin d’exécuter du code arbitraire (Arbitrary Code Execution) sans nécessiter que le système soit rooté ou jailbreaké.
Le code est chargé directement dans la RAM et non en tant qu’application, ce qui le rend délicat à détecter. Après avoir franchi toutes ces étapes, Pegasus exfiltre massivement les données des utilisateurs, y compris les données chiffrées (conversations Whatsapp, Telegram, Signal...)
Ce que Pegasus nous apprend
Les terminaux mobiles sont des cibles de grande valeur
En 10 ans, le smartphone est devenu l’appareil connecté le plus utilisé tant pour les usages professionnels que personnels. Toujours à portée de main, il permet d’accéder et de stocker presque toutes les données relatives à un individu : agenda, localisation, contacts, photos, conversations... Pourtant, à une époque où la protection des données est de plus en plus renforcée, les pratiques de cybersécurité courantes ne sont pas à la hauteur de la sensibilité de ces terminaux.
Récemment, nous avons été témoins d’une recrudescence des cyberattaques et de plus en plus de gros titres soulignent des fuites provenant de mobiles. Pegasus met en évidence la faillibilité à plusieurs niveaux d’un terminal mobile et la large portée d’une attaque mobile.
Un terminal mobile peut être compromis au niveau de l’application, du réseau et du système d’exploitation. Dans 76 % des fuites de données mobiles, les applications sont impliquées. En moyenne, trois applications sur cinq présentent des vulnérabilités et/ou des portes dérobées qui peuvent être exploitées pour exfiltrer des données. Outre les applications, les connexions réseau (cellulaire, WiFi, BlueTooth, NFC...) représentent un autre point d’accès direct aux données qui en transit, les exposant a de l’espionnage ou risquant d’infecter le terminal avec un code malveillant. Enfin, les failles de configuration et les vulnérabilités du système d’exploitation peuvent être exploitées pour gagner des privilèges et accéder aux données des utilisateurs stockées sur l’appareil. Pegasus agit à chacun de ces niveaux pour espionner ses victimes.
iOS n’est pas une forteresse imprenable
Jusqu’à présent, la croyance commune était que l’approche fermée inhérente au système iOS la rendait resistante aux cyberattaques. Le projet Pegasus a définitivement mis à bas ce mythe urbain avec, entre autres, un iPhone 12 Pro Max exécutant la dernière version du système 14.6 ayant été compromis par une attaque zero-clic qui exploite une vulnérabilité zero-day de iMessage en juin 2021.
«Lorsque nous parlons de quelque chose comme un iPhone, ils exécutent tous le même logiciel dans le monde entier. Donc, s’ils trouvent le moyen de pirater un iPhone, ils ont trouvé le moyen de tous les pirater.» a commenté Edward Snowden.
Malgré les efforts considérables déployés par Apple, iOS est faillible autant que n’importe quel autre système, et le fait que la plupart des appareils fonctionnent simultanément avec la même version a ses inconvénients. Les cybermenaces évoluent en permanence et s’introduire dans le système d’Apple est une défi lucratif pour les pirates.
La surveillance à grande échelle n’est pas nouvelle
Pegasus souligne la profondeur d’une attaque à grande échelle visant des chefs d’État, des personnalités politiques et des journalistes. Cependant, il ne faut pas oublier que l’espionnage est une pratique courante réalisée quotidiennement dans le secteur de l’industrie, via des vols de données non ciblés ou encore via des pratiques marketing ordinaires. Le dark web regorge de revendeurs de données qui monétisent des informations relatives à des millions d’utilisateurs actifs pour une moyenne de 4 000 USD par mois.
Par conséquent, chaque utilisateur mobile et toutes les entreprises devraient se préoccuper de la manière dont les données sont traitées sur les terminaux mobiles et des mesures mises en place pour empêcher l’exfiltration de ces données.
Recommandations globales
Une solution de sécurité efficace pour les mobiles doit offrir des fonctionnalités innovantes et avancées pour faire spécifiquement face à la cybercriminalité mobile. La principale recommandation de Pradeo est de mettre en place une solution de sécurité mobile dédiée plutôt qu’un service tout-en-un qui ne fera que survoler la réponse aux menaces mobiles.
- Sécurisez l’ensemble de votre environnement mobile
Android et iOS présentent des centaines de vulnérabilités détectées et corrigées chaque année, et il en va de même pour les applications mobiles utilisées sur ces environnements. - Utilisez des fonctions de sécurité adaptables
Chaque organisation attache une importance différente à chaque donnée en fonction de son activité, de ses normes de sécurité, du secteur auquel elle appartient, etc. Pour protéger les données auxquelles elles accordent le plus d’importance, les équipes de sécurité doivent s’appuyer sur des politiques de détection et de réponse granulaires personnalisables en fonction de leurs besoins spécifiques. - Conditionnez l’accès aux ressources de l’organisation
Pour vous assurer qu’aucune menace ne viendra espionner vos ressources sensibles via les terminaux mobiles qui y accèdent, l’accès conditionnel basé sur la sécurité est la meilleure pratique recommandée. Ainsi, lorsqu’un appareil présente une menace, l’accès aux ressources de l’entreprise lui sera refusé. - Analysez les événements de sécurité
La visibilité unifiée des événements de sécurité doit être obtenue via une solution SIEM (Security Information and Event Management). Cette solution vise à rassembler les événements de tous les environnements (PC, serveurs et mobiles) à des fins statistiques et à tirer parti de la granularité d’une détection mobile dédiée pour une analyse croisée et avancée.
