Ce mois-ci, un groupe international de journalistes a présenté de nouvelles preuves de l'utilisation de logiciels espions fabriqués par la société israélienne NSO Group contre des militants, des chefs d'entreprise, des journalistes et des avocats du monde entier. Même l'iPhone d'Apple, souvent loué pour sa sécurité renforcée, n'a pas résisté au logiciel de surveillance, ce qui a conduit Matthew Green, cryptographe à Johns Hopkins, à craindre que les révélations de NSO n'aient conduit certains experts en piratage informatique à sombrer dans le "nihilisme de la sécurité".
Le nihilisme en matière de sécurité est l'idée que les attaques numériques sont devenues si sophistiquées qu'il n'y a rien à faire pour les empêcher de se produire ou pour atténuer leur impact. Une telle conclusion serait une erreur. D'une part, elle fait le jeu des pirates informatiques malveillants, qui ne demandent qu'à ce que leurs cibles cessent d'essayer de se défendre. C'est également une erreur factuelle : Vous pouvez vous défendre contre les logiciels espions de NSO, par exemple en suivant des techniques de sécurité concrètes, comme ne pas cliquer sur des liens inconnus, pratiquer la compartimentation des appareils (par exemple, utiliser des appareils distincts pour des applications distinctes) et disposer d'un réseau privé virtuel, ou VPN, sur les appareils mobiles. Ces techniques sont efficaces contre un certain nombre d'attaques numériques et sont donc utiles même si NSO Group s'avère avoir raison quand elle affirme que les prétendues preuves contre l'entreprise ne sont pas valables.
La sécurité parfaite n'existe peut-être pas, comme le dit un adage classique dans ce domaine, mais ce n'est pas une excuse pour être passif. Voici donc des conseils pratiques que vous pouvez suivre pour réduire votre "surface d'attaque" et vous protéger contre les logiciels espions comme ceux de NSO.
Pegasus offre un "accès illimité aux appareils mobiles de la cible".
Les récentes révélations concernent un logiciel espion spécifique de l'entreprise NSO connu sous le nom de Pegasus. Elles font suite à des études antérieures approfondies sur le logiciel de l'entreprise, menées par des entités telles que Citizen Lab, Amnesty International, Article 19, R3D et SocialTIC. Voici ce que nous savons sur Pegasus en particulier.
Les capacités du logiciel ont été décrites dans ce qui semble être une brochure promotionnelle de NSO Group datant de 2014 ou plus tôt et mise à disposition lorsque WikiLeaks a publié un ensemble d'e-mails liés à une autre société d'espionnage, la société italienne Hacking Team. L'authenticité de la brochure ne peut pas être confirmée, et NSO a déclaré qu'elle ne ferait pas d'autres commentaires sur Pegasus. Mais le document présente Pegasus de manière offensive, affirmant qu'il fournit "un accès illimité aux appareils mobiles de la cible" et permet aux clients de "collecter à distance et secrètement des informations sur les relations, la localisation, les appels téléphoniques, les activités et les projets de la cible, à tout moment et où qu'elle soit". La brochure indique également que le Pegasus peut :
* Surveiller les appels vocaux et VoIP en temps réel.
* Siphonner les contacts, les mots de passe, les fichiers et le contenu chiffré du téléphone.
* Fonctionner comme une "écoute électronique environnementale", en écoutant à travers le microphone.
* Surveiller les communications via des applications comme WhatsApp, Facebook, Skype, Blackberry Messenger et Viber.
* Suivre la localisation du téléphone par GPS.
Malgré tout le battage médiatique, Pegasus n'est qu'une version améliorée d'un ancien type de logiciel malveillant connu sous le nom de Remote Access Trojan ou RAT (cheval de Troie d'accès à distance) : un programme qui permet à une entité non autorisée d'accéder à un appareil cible. En d'autres termes, même si Pegasus est puissant, les professionnels de la sécurité savent comment se défendre contre ce type de menace.
Examinons les différentes façons dont Pegasus peut potentiellement infecter les téléphones - ses divers "vecteurs d'installation d'agents", selon la terminologie propre à la brochure - et comment se défendre contre chacun d'eux.
Esquiver les appâts d'ingénierie sociale
Les rapports sur les attaques de Pegasus contiennent de nombreux exemples de journalistes et de défenseurs des droits de l'homme qui reçoivent des SMS et des messages d'appât sur WhatsApp les incitant à cliquer sur des liens malveillants. Les liens téléchargent des logiciels espions qui se logent dans les appareils à travers les failles de sécurité des navigateurs et des systèmes d'exploitation. Dans la brochure qui a fait l'objet de la fuite, ce vecteur d'attaque est appelé "Enhanced Social Engineer Message" (ESEM). Elle précise que "les chances que la cible clique sur le lien dépendent totalement du niveau de crédibilité du contenu. La solution Pegasus fournit une large gamme d'outils pour composer un message adapté et innocent afin d'inciter la cible à ouvrir le message."
Comme l'a détaillé le Comité pour la protection des journalistes, les messages d'appât ESEM liés à Pegasus se répartissent en plusieurs catégories. Certains prétendent provenir d'organisations établies comme des banques, des ambassades, des agences de presse ou des services de livraison de colis. D'autres ont trait à des questions personnelles, comme le travail ou des preuves présumées d'infidélité, ou prétendent que la personne ciblée est confrontée à un risque de sécurité immédiat.
Les futures attaques ESEM pourraient utiliser différents types de messages appâts, c'est pourquoi il est important de traiter avec prudence toute correspondance qui tente de vous convaincre d'effectuer une action numérique. Voici quelques exemples de ce que cela signifie en pratique :
*Si vous recevez un message contenant un lien, en particulier s'il comporte un sentiment d'urgence (indiquant qu'un colis est sur le point d'arriver ou que votre carte de crédit va être débitée), évitez le réflexe de cliquer immédiatement dessus.
*Si vous faites confiance au site lié, tapez l'adresse web du lien manuellement.
* Si vous vous rendez sur un site Web que vous visitez fréquemment, enregistrez ce site dans un dossier de signets et n'accédez au site qu'à partir du lien contenu dans votre dossier.
* Si vous décidez de cliquer sur un lien plutôt que de le saisir ou de visiter le site via un marque-page, examinez au moins le lien pour vous assurer qu'il pointe vers un site Web que vous connaissez bien. Et n'oubliez pas que vous pouvez encore vous faire avoir : certains liens d'hameçonnage utilisent des lettres d'apparence similaire provenant d'un jeu de caractères non anglais, dans ce que l'on appelle une attaque par homographe. Par exemple, un "О" cyrillique peut être utilisé pour imiter le "O" latin habituel que nous voyons en anglais.
* Si le lien semble être une URL raccourcie, utilisez un service d'expansion d'URL tel que URL Expander ou ExpandURL pour révéler le long lien réel vers lequel il pointe avant de cliquer.
* Avant de cliquer sur un lien apparemment envoyé par une personne que vous connaissez, confirmez que cette personne l'a vraiment envoyé ; son compte peut avoir été piraté ou son numéro de téléphone usurpé. Confirmez avec elle en utilisant un canal de communication différent de celui par lequel vous avez reçu le message. Par exemple, si le lien a été envoyé par SMS ou par courrier électronique, appelez l'expéditeur. C'est ce qu'on appelle la vérification ou l'authentification hors bande.
* Pratiquez la compartimentation des appareils, en utilisant un appareil secondaire ne contenant aucune information sensible pour ouvrir des liens non fiables. Gardez à l'esprit que si l'appareil secondaire est infecté, il peut toujours être utilisé pour vous surveiller via le microphone ou la caméra. Gardez-le donc dans un sac Faraday lorsqu'il n'est pas utilisé - ou au moins loin des endroits où vous avez des conversations sensibles (une bonne idée même s'il est dans un sac Faraday).
* Utilisez des navigateurs autres que ceux par défaut. Selon une section intitulée "Échec de l'installation" dans la brochure Pegasus qui a fait l'objet d'une fuite, l'installation peut échouer si la cible utilise un navigateur non pris en charge et en particulier un navigateur autre que "le navigateur par défaut de l'appareil". Mais le document date maintenant de plusieurs années, et il est possible que Pegasus supporte aujourd'hui toutes sortes de navigateurs.
* En cas de doute sur un lien donné, la mesure de sécurité la plus sûre consiste à ne pas l'ouvrir.
Déjouer les attaques par injection de réseau
Dans de nombreux cas, Pegasus a également infecté des appareils en interceptant le trafic réseau d'un téléphone à l'aide de ce que l'on appelle une attaque de type "man-in-the-middle" (MITM). Pegasus intercepte le trafic réseau non chiffré, comme les requêtes web HTTP, et le redirige vers des données malveillantes. Pour réussir cette attaque, il fallait soit tromper le téléphone pour qu'il se connecte à un appareil portable malveillant qui se fait passer pour une tour de téléphonie cellulaire à proximité, soit obtenir l'accès à l'opérateur cellulaire de la cible (ce qui est plausible si la cible se trouve dans un régime répressif où le gouvernement fournit des services de télécommunications). Cette attaque fonctionnait même si le téléphone était en mode "données mobiles uniquement" et n'était pas connecté au Wi-Fi.
Lorsque Maati Monjib, cofondatrice de l'ONG Freedom Now et de l'Association marocaine pour le journalisme d'investigation, a ouvert le navigateur Safari de son iPhone et tapé yahoo.fr, Safari a d'abord essayé de se rendre sur http://yahoo.fr. Normalement, il aurait dû être redirigé vers https://fr.yahoo.com, une connexion chiffrée. Mais comme la connexion de Monjib était interceptée, il a plutôt redirigé vers un site tiers malveillant qui a fini par pirater son téléphone.
Le fait de taper uniquement le nom de domaine d'un site Web (tel que yahoo.fr) dans la barre d'adresse d'un navigateur sans spécifier de protocole (tel que https://) ouvre la voie aux attaques MITM, car votre navigateur tentera par défaut d'établir une connexion HTTP non chiffrée avec le site. En général, vous atteignez le site authentique, qui vous redirige immédiatement vers une connexion HTTPS sécurisée. Mais si quelqu'un cherche à pirater votre appareil, cette première connexion HTTP est une ouverture suffisante pour détourner votre connexion.
Certains sites Web se protègent contre ce phénomène à l'aide d'une fonction de sécurité complexe appelée HTTP Strict Transport Security, qui empêche votre navigateur de leur adresser une requête non chiffrée, mais vous ne pouvez pas toujours compter sur cette fonction, même pour certains sites Web qui l'appliquent correctement.
Voici quelques mesures que vous pouvez prendre pour éviter ce type d'attaques :
* Tapez toujours https:// lorsque vous vous rendez sur un site Web.
* Mettez en favoris les URL sécurisées (HTTPS) de vos sites préférés et utilisez-les au lieu de taper directement le nom de domaine.
* Vous pouvez également utiliser un VPN sur votre ordinateur de bureau et vos appareils mobiles. Un VPN canalise toutes les connexions de manière sécurisée vers le serveur VPN, qui accède ensuite aux sites Web en votre nom et vous les retransmet. Cela signifie qu'un pirate qui surveille votre réseau ne pourra probablement pas réussir une attaque MITM car votre connexion est chiffrée vers le VPN - même si vous tapez un domaine directement dans votre navigateur sans la partie "https://".
Si vous utilisez un VPN, gardez à l'esprit que votre fournisseur de VPN a la capacité d'espionner votre trafic Internet, il est donc important de choisir un fournisseur digne de confiance. Wirecutter publie une comparaison approfondie et régulièrement mise à jour des fournisseurs de VPN en fonction de leur historique d'audits de sécurité tiers, de leurs politiques de confidentialité et de conditions d'utilisation, de la sécurité de la technologie VPN utilisée et d'autres facteurs.
Attaques Zero-Click
Contrairement aux tentatives d'infection qui exigent que la cible effectue une action, comme cliquer sur un lien ou ouvrir une pièce jointe, les exploits "zéro clic" sont appelés ainsi car ils ne nécessitent aucune interaction de la part de la cible. Il suffit que la personne ciblée ait installé une application ou un système d'exploitation vulnérable particulier. Le rapport d'expertise d'Amnesty International sur les preuves Pegasus récemment révélées indique que certaines infections ont été transmises par des attaques à clics zéro exploitant les applications Apple Music et iMessage.
Ce n'est pas la première fois que les outils de NSO Group sont liés à des attaques de type "zero-click". Une plainte déposée en 2017 contre l'ancien président du Panama, Ricardo Martinelli, indique que des journalistes, des personnalités politiques, des militants syndicaux et des responsables d'associations civiques ont été ciblés par Pegasus et des notifications push malveillantes délivrées sur leurs appareils, tandis qu'en 2019, WhatsApp et Facebook ont déposé une plainte affirmant que NSO Group a développé des logiciels malveillants capables d'exploiter une vulnérabilité de zéro-clic dans WhatsApp.
Les vulnérabilités zéro-clic ne nécessitant par définition aucune interaction avec l'utilisateur, il est plus difficile de s'en protéger. Mais les utilisateurs peuvent réduire leurs chances de succomber à ces attaques en réduisant ce que l'on appelle leur "surface d'attaque" et en pratiquant le cloisonnement des appareils. Réduire la surface d'attaque signifie simplement minimiser les possibilités d'infection de votre appareil. La compartimentation des appareils consiste à répartir vos données et vos applications sur plusieurs appareils.
Plus précisément, les utilisateurs peuvent
* Réduire le nombre d'apps sur votre téléphone. Moins il y a de portes non verrouillées dans votre maison, moins un cambrioleur a de possibilités d'y pénétrer ; de même, moins il y a d'applications, moins il y a de portes virtuelles sur votre téléphone qu'un adversaire peut exploiter. Votre appareil doit contenir le strict minimum d'applications dont vous avez besoin pour fonctionner au quotidien. Il existe des applications que vous ne pouvez pas supprimer, comme iMessage ; dans ce cas, vous pouvez souvent les désactiver, mais si vous le faites, les messages texte ne fonctionneront plus sur votre iPhone.
* Vérifiez régulièrement les applications installées (et leurs autorisations) et supprimez celles dont vous n'avez plus besoin. Il est plus sûr de supprimer une application rarement utilisée et de la télécharger à nouveau lorsque vous en avez réellement besoin que de la laisser sur votre téléphone.
* Mettez régulièrement à jour le système d'exploitation de votre téléphone et les applications individuelles, car les mises à jour comblent les vulnérabilités, parfois même involontairement.
* Compartimentez vos applications restantes. Si un téléphone n'a que WhatsApp d'installé et qu'il est compromis, le pirate obtiendra les données WhatsApp, mais pas d'autres informations sensibles comme les e-mails, le calendrier, les photos ou les messages Signal.
* Même un téléphone compartimenté peut toujours être utilisé comme dispositif d'écoute et de suivi, alors gardez les appareils physiquement compartimentés, c'est-à-dire laissez-les dans une autre pièce, idéalement dans un sac d'inviolabilité (tamper bag).
Accès physique
Un dernier moyen pour un attaquant d'infecter votre téléphone est d'interagir physiquement avec lui. Selon la brochure, "lorsqu'il est possible d'accéder physiquement à l'appareil, l'agent Pegasus peut être injecté et installé manuellement en moins de cinq minutes" - bien qu'il ne soit pas clair si le téléphone doit être déverrouillé ou si les attaquants sont capables d'infecter même un téléphone protégé par un code PIN.
Il ne semble pas y avoir de cas connu d'attaques Pegasus lancées physiquement, bien que de tels exploits puissent être difficiles à repérer et à distinguer des attaques en ligne. Voici comment vous pouvez les limiter :
* Maintenez toujours une visibilité directe sur vos appareils. Perdre de vue vos appareils ouvre la possibilité d'une compromission physique. Il est évident qu'il y a une différence entre un agent des douanes qui prend votre téléphone à l'aéroport et vous qui laissez votre ordinateur portable dans une pièce de votre résidence lorsque vous allez aux toilettes, mais toutes ces situations comportent un certain risque, et vous devrez évaluer votre propre tolérance au risque.
* Placez votre appareil dans un sac inviolable lorsqu'il doit être laissé sans surveillance, en particulier dans des endroits plus risqués comme les chambres d'hôtel. Cela n'empêchera pas l'appareil d'être manipulé, mais vous serez au moins averti que l'appareil a été sorti du sac et qu'il pourrait avoir été manipulé, auquel cas l'appareil ne doit plus être utilisé.
* Utilisez des téléphones jetables et d'autres appareils compartimentés lorsque vous pénétrez dans des environnements potentiellement hostiles tels que des bâtiments gouvernementaux, y compris des ambassades et des consulats, ou lorsque vous passez des postes de contrôle aux frontières.
En général :
* Utilisez le Mobile Verification Toolkit d'Amnesty International si vous pensez que votre téléphone est infecté par Pegasus.
* Sauvegardez régulièrement les fichiers importants.
* Et enfin, il n'y a aucun mal à réinitialiser régulièrement votre téléphone.
Bien que Pegasus soit un logiciel espion sophistiqué, il existe des mesures concrètes que vous pouvez prendre pour minimiser les risques d'infection de vos appareils. Il n'existe pas de méthode infaillible pour éliminer complètement les risques, mais il y a certainement des choses que vous pouvez faire pour réduire ces risques, et il n'est certainement pas nécessaire d'avoir recours à la vision défaitiste selon laquelle nous ne sommes "pas de taille" pour Pegasus.
source :
https://theintercept.com/2021/07/27/pegasus-nso-spyware-security/