Le fabricant de logiciels espions NSO Group est poursuivi par Apple et interdit de commerce avec les États-Unis.
Même cinq ans après sa découverte par Lookout et Citizen Lab, le logiciel d’espionnage mobile Pegasus reste d’actualité, car des révélations sur son utilisation répandue et ses capacités évolutives – telles que la possibilité de lancer des attaques sans clic – continuent de faire surface. Le développeur du logiciel espion, NSO Group, basé en Israël, fait également l’objet d’une surveillance accrue de la part d’agences gouvernementales et d’organisations privées pour ses relations avec des régimes douteux dans le monde entier. Début novembre, le ministère américain du commerce a interdit aux sociétés américaines de faire des affaires avec NSO. Par la suite, Apple, Inc. alléguant que des citoyens américains ont été ciblés par le logiciel espion, est devenue la dernière entreprise à poursuivre le fabricant de logiciels espions, près d’un an après qu’un groupe de sociétés technologiques de premier plan, dont Microsoft, Google, Cisco et VMware, se soit joint à l’action en justice de Meta contre le groupe.
Lors de l’enquête conjointe menée en juillet 2021 sur la fuite d’une liste de plus de 50 000 numéros de téléphone, 17 organisations médiatiques ont constaté une forte concentration d’individus provenant de pays connus pour leur surveillance. Les rapports ont confirmé que Pegasus ait été utilisé sur des dirigeants d’entreprise, des militants des droits de l’homme, des journalistes, des universitaires et des représentants du gouvernement. Ces régions sont également connues pour avoir été des clients du groupe NSO. Peu importe que votre numéro de téléphone ne figure pas sur la liste, cette révélation montre que les tablettes et les smartphones ne sont pas à l’abri des cyberattaques et que les logiciels espions ne ciblent pas uniquement les personnes travaillant dans des organisations gouvernementales. Les appareils Android et iOS font désormais partie intégrante de notre façon de travailler et de gérer notre vie quotidienne. Cela signifie que les cyberattaquants peuvent voler une multitude de données sensibles sur ces appareils, notamment des informations personnelles sensibles et des données d’entreprise exclusives.
Tout d’abord, qu’est-ce que Pegasus ? Considéré autrefois comme le logiciel espion mobile le plus avancé au monde, Pegasus peut être déployé sur les appareils iOS et Android. Depuis sa découverte, le logiciel espion n’a cessé d’évoluer. Ce qui rend Pegasus très sophistiqué, c’est le contrôle qu’il donne à l’acteur malveillant sur l’appareil de la victime, les données qu’il peut extraire et son évolution vers une charge utile sans clic. Pegasus peut extraire des coordonnées GPS très précises, des photos, des fichiers de messagerie et des messages chiffrés à partir d’applications telles que WhatsApp et Signal. Il peut également activer le microphone des appareils pour écouter les conversations privées dans les chambres ou les appels téléphoniques et activer la caméra pour enregistrer des vidéos. Pendant des années, le groupe NSO a nié que Pegasus soit utilisé par des acteurs malveillants. L’entreprise affirme qu’elle ne vend Pegasus qu’aux services de renseignement et d’application de la loi d’une quarantaine de pays et que les antécédents de tous les prospects en matière de droits de l’homme sont rigoureusement vérifiés. L’assassinat en 2018 du journaliste Jamal Khashoggi a soulevé un doute important à ce sujet, car il était largement admis que le gouvernement saoudien avait suivi Khashoggi en compromettant son téléphone portable avec Pegasus.
Les citoyens comme les gouvernements doivent s’inquiéter
Cette révélation de l’ampleur de l’utilisation du logiciel espion Pegasus devrait alarmer tous les citoyens, et pas seulement les entités gouvernementales. La commercialisation des logiciels espions, à l’instar des outils de phishing, met tout le monde en danger. Vous ou vos employés ne serez peut-être pas les cibles directes d’un logiciel espion comme Pegasus, mais vous pourriez être pris entre deux feux ou devenir un point de pivot pour l’attaquant afin d’atteindre sa cible.
Les appareils mobiles peuvent accéder aux mêmes données qu’un PC, où qu’ils soient. Cela augmente considérablement la surface d’attaque et le risque pour les organisations, car les appareils mobiles sont généralement utilisés en dehors du périmètre de sécurité. Une fois que quelque chose comme Pegasus s’installe sur un mobile, il a accès à tout, qu’il s’agisse de vos comptes Microsoft 365 ou Google Workspace. À ce stade, le fait que quelque chose soit crypté n’a aucune importance. L’attaquant voit ce que l’utilisateur voit. Cela fait de tout cadre ou employé ayant accès à des données sensibles, à des recherches technologiques ou à des infrastructures, une cible lucrative pour les cybercriminels. Si les développeurs de systèmes d’exploitation et d’applications mobiles améliorent constamment la sécurité de leurs produits, ces plateformes deviennent également plus complexes. Cela signifie qu’il y aura toujours de la place pour des vulnérabilités à exploiter et pour que des logiciels espions comme Pegasus puissent prospérer.
Les attaques de phishing mobile restent à la base
Même si les choses changent, le phishing mobile reste la première étape la plus efficace pour les cyberattaquants. Tout comme les autres logiciels malveillants mobiles, Pegasus est généralement transmis à ses victimes par un lien de phishing. L’ingénierie sociale est le moyen le plus efficace de transmettre des liens de phishing. Par exemple, Pegasus a été porté à notre attention par un journaliste qui a reçu un lien d’un numéro de téléphone mobile anonyme lui promettant des informations sur un reportage sur les droits de l’homme sur lequel il travaillait. Bien que Pegasus ait évolué vers un modèle de livraison sans contact – ce qui signifie que la victime n’a pas besoin d’interagir avec le logiciel espion pour que son appareil soit compromis – le lien hébergeant le logiciel espion doit toujours atteindre l’appareil. Compte tenu du nombre incalculable d’applications iOS et Android dotées d’une fonction de messagerie, cela peut se faire par le biais de SMS, d’e-mails, de médias sociaux, de messageries tierces, de jeux ou même d’applications de rencontres.
Comment ces attaques fonctionnent et comment Lookout peut vous aider à vous protéger.
Les tactiques avancées utilisées par Pegasus sont similaires à de nombreuses autres menaces persistantes avancées (APT). Voici comment Lookout peut aider à protéger votre organisation dans le contexte de ces principales tactiques que les APT utilisent pour mener une attaque :
- Livraison de la charge utile
La première étape pour Pegasus et toute APT est généralement le phishing. Lookout Phishing and Content Protection (PCP) peut protéger votre organisation contre chacun des scénarios suivants utilisés par Pegasus et d’autres APT :
- Scénario : Pegasus peut être exécuté sous la forme d’une infection à « zéro clic » ou à « un clic ». Quelle que soit la tactique utilisée, la charge utile réelle du logiciel espion est toujours sur le réseau.
- Comment Lookout vous protège : Lookout découvre, acquiert et analyse en permanence les domaines et les sites Web nouvellement enregistrés afin de découvrir ceux qui ont été conçus à des fins de phishing et de malveillance. L’anti-hameçonnage de Lookout fournit une protection en temps quasi réel contre les attaques de phishing de type “zero-hour”.
- Action administrative de Lookout : Activez Lookout PCP sur l’ensemble de votre flotte mobile et activez la politique par défaut qui exige que les utilisateurs l’activent sur leur appareil afin d’accéder à Internet et aux ressources de l’entreprise.
- 2. Exploitation des vulnérabilités
Les logiciels espions exploitent fréquemment les vulnérabilités au niveau de l’application et de l’appareil afin d’accéder au système d’exploitation (OS) de l’appareil ou d’exfiltrer des données de certaines parties du système.
- Scénario : Lookout Mobile Endpoint Security (MES) détecte la présence d’une vulnérabilité d’application sur un appareil mobile et lorsque l’appareil exécute un système d’exploitation ou une version d’Android Security Patch Level (ASPL) présentant des vulnérabilités connues. Dans chaque cas, Lookout peut alerter à la fois l’utilisateur et l’administrateur de la sécurité.
- Comment Lookout vous protège : Lookout Mobile Vulnerability Management découvre toutes les vulnérabilités et expositions communes (CVE) connues pour iOS et Android au niveau du système d’exploitation et des applications. Elle signale automatiquement les appareils de votre parc qui présentent des vulnérabilités.
- Action de l’administrateur de Lookout : Configurer des politiques exigeant une version minimale du système d’exploitation ou de l’ASPL et la mise à jour des applications vulnérables à la dernière version.
- Compromission de l’appareil
Pegasus et d’autres APTs vont silencieusement jailbreaker ou rooter l’appareil de la victime. De plus, bien que les exploits de type “zero-day” ne soient pas connus par nature, ils laissent le système dans un état compromis. Lookout Mobile Endpoint Security peut protéger la flotte mobile de votre entreprise contre ces exploits de la manière suivante :
- Scénario : Lookout détecte les indicateurs de compromission des appareils et alerte les propriétaires des appareils. La détection est basée sur l’analyse des données de télémétrie du périphérique, notamment les données du système de fichiers, le comportement du système et les paramètres. En fonction des détails du logiciel espion, tels que son mode de fonctionnement ou son emplacement sur les systèmes des appareils, Lookout détecte les traces qu’il peut produire.
- Comment Lookout vous protège : Lookout ingère en permanence les artefacts des logiciels malveillants et la télémétrie de l’écosystème mobile. Cela alimente notre intelligence artificielle pour identifier automatiquement les comportements malveillants sur tout appareil ou application.
- Action de l’administrateur Lookout : Assurez-vous que la politique par défaut Root/Jailbreak est activée, définissez la priorité sur élevée, et définissez l’action pour alerter l’appareil et bloquer l’accès à Internet.
- Communication de la charge utile
Comme d’autres logiciels malveillants, Pegasus communique avec un serveur de commande et de contrôle (C2) qui reçoit les ordres de l’acteur malveillant et auquel il envoie les données exfiltrées.
- Scénario : Comme tout site Web, les serveurs C2 sont hébergés sur des systèmes distants que Lookout peut identifier comme étant malveillants.
- Comment Lookout vous protège : Lookout détecte lorsque l’appareil tente de se connecter à un serveur C2 et met fin à la connexion. Cela peut aider à prévenir l’exfiltration de données sensibles et le téléchargement de logiciels malveillants supplémentaires.
- Action de l’administrateur Lookout : Activez Lookout PCP dans toute votre organisation et activez la politique par défaut qui exige que les utilisateurs l’activent sur leur appareil afin d’accéder à Internet et aux ressources de l’entreprise.