Pegasus mobile RAT abusé pour surveiller les journalistes et les militants

Des questions sont posées sur le travail du spécialiste israélien de la cybersurveillance NSO Group après l’exposition de plus de 50 000 numéros de téléphone appartenant à des militants, des journalistes et d’autres personnes jugées « d’intérêt » pour certains des régimes les plus répressifs au monde qui utilisaient son Pégase cheval de Troie d’accès à distance (RAT).

Les détails de l’abus du logiciel espion Pegasus – qui est légitimement utilisé par les clients des forces de l’ordre et les agences antiterroristes, entre autres – ont été révélés le week-end des 17 et 18 juillet dans une publication coordonnée par plusieurs médias, incluant le Gardien au Royaume-Uni. Les journaux ont obtenu la liste des numéros d’un organisme de presse français à but non lucratif Histoires interdites et la charité Amnesty International.

Le vidage de données contiendrait des informations sur des journalistes d’importantes organisations médiatiques, notamment Al Jazeera, Bloomberg, CNN, le Économiste, les New York Times et le le journal Wall Street, entre autres.

Les gouvernements qui auraient ciblé leurs détracteurs à l’aide de Pegasus sont l’Azerbaïdjan, le Bahreïn, les Émirats arabes unis, la Hongrie, le Kazakhstan, l’Inde, le Mexique, le Maroc, le Rwanda et l’Arabie saoudite.

Dans une longue déclaration (éditée pour plus de clarté) partagé avec les organisations déclarantes initiales, NSO a vigoureusement nié les allégations contenues dans les histoires. Il a déclaré qu’il avait contrôlé tous ses clients gouvernementaux et qu’il n’exploitait pas les systèmes qui leur étaient vendus, ni n’avait accès aux données qu’ils pourraient collecter.

Il a nié les « fausses affirmations » et les « théories non corroborées » et a tenté de semer le doute sur les motifs de Forbidden Stories pour enquêter sur elle.

Ce n’est cependant pas la première fois que des questions ont été soulevées sur le logiciel Pegasus. En 2019, WhatsApp a découvert que Pegasus avait été utilisé pour infecter plus de 1 000 appareils avec des logiciels malveillants via une vulnérabilité zero-day. NSO a également été accusé d’exploiter les vulnérabilités des logiciels Apple pour cibler les appareils iOS. Analyse du laboratoire de sécurité d’Amnesty International suggère que NSO est constamment à la recherche de nouveaux zero-days dans les applications mobiles établies.

En plus d’exploiter les vulnérabilités ou via des attaques de spear-phishing sur des cibles, Pegasus peut également être installé sans fil si le téléphone cible est à portée d’un émetteur-récepteur spécifique, a déclaré Amnesty. Une fois présent, il peut exfiltrer tout le contenu d’un appareil, prendre le contrôle du microphone et de la caméra du téléphone et enregistrer les appels.

Jakub Vavra, analyste des menaces mobiles dans une entreprise de sécurité tchèque Avast, a déclaré qu’il suivait et bloquait les tentatives de Pegasus pour violer les appareils Android depuis 2016, avec un pic d’activité en 2019. Cependant, il n’est pas couramment observé dans la nature, donc le risque pour la personne moyenne est probablement plus faible.

« Pegasus a peu de prévalence par rapport aux autres logiciels espions Android. De toute évidence, il est utilisé comme un outil hautement ciblé, car contrairement aux logiciels espions qui sont souvent largement répandus pour collecter des masses de données utilisateur, Pegasus n’est utilisé que sur quelques individus, apparemment, à des fins de surveillance », a déclaré Vavra.

“La propagation minimale du logiciel espion ne le rend pas moins dangereux, pour chaque individu étant sous surveillance, l’étendue des atteintes à la vie privée est certainement très élevée.”

ProPrivacy’s Atila Tomaschek a déclaré que même si NSO Group prétendait contrôler minutieusement ses clients avant de leur vendre Pegasus, lorsque les clients de l’entreprise comprennent des gouvernements autoritaires avec de mauvais antécédents en matière de droits humains, il est clair que la demande serait inévitablement remise en question.

“Les révélations du logiciel espion Pegasus servent à montrer comment les gouvernements autoritaires du monde entier n’ont aucune réserve à mener des opérations de surveillance sur leurs citoyens et à faire taire les voix dissidentes”, a déclaré Tomaschek.

« Il est difficile de croire que le groupe NSO a été complètement naïf quant à la manière dont ses clients étaient susceptibles d’utiliser sa solution de logiciel espion Pegasus, ou qu’elle alimentait une offensive aussi massive contre les droits humains et les libertés civiles dans le monde entier. »

Tomaschek a exhorté les gouvernements à tenir les développeurs d’applications de surveillance légitimes plus responsables de la façon dont leurs produits sont utilisés : « L’industrie des logiciels espions privés ne fera que continuer à croître, et son influence s’intensifiera si cet espace reste aussi alarmant et non réglementé qu’il l’est aujourd’hui. Les entreprises technologiques doivent s’assurer que leurs produits sont sûrs à utiliser face à des logiciels espions de plus en plus sophistiqués qui peuvent être utilisés de manière aussi répandue et effrayante.

Comparitech Brian Higgins a ajouté : « Bien que le logiciel propriétaire Pegasus appartienne au groupe NSO et qu’il fasse de son mieux pour contrôler son déploiement par contrat, il y aura toujours des consommateurs qui chercheront à réutiliser ses fonctionnalités à leurs propres fins.

« Cette histoire est encore en développement, mais il est déjà évident que les nombres de victimes potentielles cités ne reflètent pas avec précision la quantité d’activités malveillantes actuellement facilitées par ce logiciel. C’est une triste réalité que les développeurs talentueux ne peuvent jamais totalement comprendre l’éventail complet des utilisations que leurs idées peuvent remplir à l’avenir.