Pegasus : analyses et recommandations

La résurgence actuelle du logiciel espion Pegasus met en lumière un problème fondamental soulevé depuis des années par les terminaux mobiles : Dans quelle mesure les données mobiles sont-elles confidentielles ?

Le projet Pegasus avait révélé en juillet 2021 que 50 000 personnes ont été directement touchées par le logiciel espion, mais les informations volées concernent également toutes les personnes en contact avec les victimes. Parfois, il est simplement plus facile d’atteindre une cible à travers son réseau, et c’est aussi ce que fait Pegasus.

En février 2024, la détection du logiciel espion Pegasus sur les téléphones de deux députées européennes, ainsi que dans celui d'un collaborateur du Parlement européen, a remis en lumière la menace :

« Mon téléphone a été infecté par le logiciel espion Pegasus » 

Nathalie Loiseau - Présidente de la sous-commission sécurité et défense du Parlement Européen

Bien que les systèmes d’exploitation Android et iOS soient développés en tenant compte des problématiques de sécurité mobile, avec Pegasus, le groupe NSO démontre que les protections standard des systèmes d’exploitation mobiles ne sont pas assez fiables pour protéger les données des utilisateurs, mettant en évidence la nécessité d’ajouter une couche supplémentaire de sécurité à tous les terminaux mobiles.

Pradeo, leader mondial de la sécurité mobile, aide activement ses utilisateurs à lutter contre le vol et la fuite de données mobiles depuis 2010. Voici notre analyse du logiciel espion Pegasus.

Le mode operatoire de pegasus

Pour compromettre des cibles critiques, le logiciel espion Pegasus exploite les vulnérabilités d’applications courantes telles que iMessage, FaceTime, Safari, WhatsApp, etc. possédant un module web (WebKit, WebView...) afin d’atteindre des URLs générées dynamiquement, invisibles et non classifiées.

Les pages atteintes exécutent alors du code JavaScript pour exploiter d’autres vulnérabilités afin de sortir des sandboxes des applications, contournant ainsi tous les mécanismes en place dans les systèmes Android et iOS.

Une fois dans les couches du système, Pegasus exploite une séquence de vulnérabilités connues et zeroday du processeur afin d’exécuter du code arbitraire (Arbitrary Code Execution) sans nécessiter que le système soit rooté ou jailbreaké. Le code est chargé directement dans la RAM et non en tant qu’application, ce qui le rend délicat à détecter. Après avoir franchi toutes ces étapes, Pegasus exfiltre massivement les données des utilisateurs, y compris les données chiffrées (conversations whatsapp, telegram, signal...).

Ce que pegasus nous apprend

Les terminaux mobiles sont incontestablement des cibles de grande valeur

En 10 ans, le smartphone est devenu l’appareil connecté le plus utilisé tant pour les usages professionnels que personnels. Toujours à portée de main, il permet d’accéder et de stocker presque toutes les données relatives à un individu : agenda, localisation, contacts, photos, conversations... Pourtant, à une époque où la protection des données est de plus en plus renforcée, les pratiques de cybersécurité courantes ne sont pas à la hauteur de la sensibilité de ces terminaux.

Récemment, nous avons été témoins d’une recrudescence des cyberattaques et de plus en plus de gros titres soulignent des fuites provenant de mobiles. Pegasus met en évidence la faillibilité à plusieurs niveaux d’un terminal mobile et la large portée d’une attaque mobile.

Un terminal mobile peut être compromis au niveau de l’application, du réseau et du système d’exploitation. Dans 76 % des fuites de données mobiles, les applications sont impliquées. En moyenne, trois applications sur cinq présentent des vulnérabilités et/ou des portes dérobées qui peuvent être exploitées pour exfiltrer des données. Outre les applications, les connexions réseau (cellulaire, WiFi, BlueTooth, NFC...) représentent un autre point d’accès direct aux données qui en transit, les exposant a de l’espionnage ou risquant d’infecter le terminal avec un code malveillant. Enfin, les failles de configuration et les vulnérabilités du système d’exploitation peuvent être exploitées pour gagner des privilèges et accéder aux données des utilisateurs stockées sur l’appareil. Pegasus agit à chacun de ces niveaux pour espionner ses victimes.

iOS n'est pas une forteresse impénétrable

Jusqu’à présent, la croyance commune était que l’approche fermée inhérente au système iOS la rendait resistante aux cyberattaques. Le projet Pegasus a définitivement mis à bas ce mythe urbain avec, entre autres, un iPhone 12 Pro Max exécutant la dernière version du système 14.6 ayant été compromis par une attaque zero-clic qui exploite une vulnérabilité zero-day de iMessage en juin 2021.

«Lorsque nous parlons de quelque chose comme un iPhone, ils exécutent tous le même logiciel dans le monde entier. Donc, s’ils trouvent le moyen de pirater un iPhone, ils ont trouvé le moyen de tous les pirater.» a commenté Edward Snowden.

Malgré les efforts considérables déployés par Apple, iOS est faillible autant que n’importe quel autre système, et le fait que la plupart des appareils fonctionnent simultanément avec la même version a ses inconvénients. Les cybermenaces évoluent en permanence et s’introduire dans le système d’Apple est une défi lucratif pour les pirates.

La surveillance à grande échelle n’est pas nouvelle

Pegasus souligne la profondeur d’une attaque à grande échelle visant des chefs d’État, des personnalités politiques et des journalistes. Cependant, il ne faut pas oublier que l’espionnage est une pratique courante réalisée quotidiennement dans le secteur de l’industrie, via des vols de données non ciblés ou encore via des pratiques marketing ordinaires. Le dark web regorge de revendeurs de données qui monétisent des informations relatives à des millions d’utilisateurs actifs pour une moyenne de 4 000 USD par mois.

Par conséquent, chaque utilisateur mobile et toutes les entreprises devraient se préoccuper de la manière dont les données sont traitées sur les terminaux mobiles et des mesures mises en place pour empêcher l’exfiltration de ces données.