L’organisation Forbidden Stories, en partenariat avec Les journalistes d’investigation de Radio France et d’autres médias français révélait il y a quelques jours l’entreprise d’espionnage numérique réalisée grâce au logiciel Pegasus. Il semblerait que plus de 50.000 numéros de téléphones aient été compromis par ce logiciel ultra performant.
L’affaire prend une grande ampleur puisque ce sont les téléphones de personnalités plus ou moins médiatiques qui ont été visés par les attaques de Pegasus.
L’affaire prend une grande ampleur puisque ce sont les téléphones de personnalités plus ou moins médiatiques qui ont été visés par les attaques de Pegasus.
Mais comment un logiciel d’une telle performance peut-il être mis en place ?
Pegasus fait partie d’une catégorie bien spécifique de logiciels, les spyware. Logiciel espion, son fonctionnement est expliqué dans l’ouvrage « Cybersécurité, méthode de gestion de crises ». Son « objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur ». Présents depuis de nombreuses années parmi les outils de piratage informatiques, leur évolution est concomitante à celle des niveaux de sécurité des téléphones et il semble de plus en plus difficile de les détecter, voire de les contrer.
Le groupe Pandaros, dans son ouvrage « Cybersécurité, méthode de gestion de crises » explique par quels moyens il est possible de prendre le contrôle d’un téléphone.
« Il est indispensable d’exploiter une faille de sécurité. Cette dernière peut provenir du matériel (hardware), par exemple une puce électronique, ou logiciel (software) en passant par les systèmes d’exploitation iOS ou Android. Les clients de NSO, en général des états, n’ont pas à chercher les failles eux-mêmes, ils n’ont besoin que du numéro de téléphone de la cible et Pegasus s’occupe du piratage et de l’exfiltration des données. Pour chaque cible visée, le client paye une licence à NSO de quelques dizaines de milliers d’euros.
Selon le SGDSN[1], la réalisation d’une attaque informatique suppose la détention d’un certain nombre de savoir-faire techniques et d’infrastructures. Il s’agit tout d’abord d’une panoplie complète de logiciels permettant à l’attaquant de faire son office (détecteurs de Zero-Day, implants et canaux de communication, logiciel de pilotage pour l’attaque). En complément, l’attaquant aura besoin d’une infrastructure de commande-contrôle, c’est-à-dire un ensemble de serveurs contrôlés par l’attaquant lui permettant de piloter son attaque.
Enfin, dernière infrastructure, une infrastructure technique d’exfiltration et de traitement des données récoltées. La principale difficulté à surmonter pour l’attaquant est de piloter de manière coordonnée l’ensemble de ses outils afin d’obtenir l’effet recherché sur la cible.
Très tôt dans l’expansion d’internet des outils d’attaque accessibles aux non-initiés, dits script kiddies, apparaissent. Ces outils sont principalement d’origine américaine, russe ou chinoise. Outils sur étagères, leur prolifération a favorisé la multiplication d’attaques cyber plus sophistiquées. Simples, modulaires et pratiques, ils permettent d’intégrer très facilement de nouvelles fonctionnalités ou de prendre en compte l’exploitation de nouvelles vulnérabilités. »
Le groupe Pandaros, dans son ouvrage « Cybersécurité, méthode de gestion de crises » explique par quels moyens il est possible de prendre le contrôle d’un téléphone.
« Il est indispensable d’exploiter une faille de sécurité. Cette dernière peut provenir du matériel (hardware), par exemple une puce électronique, ou logiciel (software) en passant par les systèmes d’exploitation iOS ou Android. Les clients de NSO, en général des états, n’ont pas à chercher les failles eux-mêmes, ils n’ont besoin que du numéro de téléphone de la cible et Pegasus s’occupe du piratage et de l’exfiltration des données. Pour chaque cible visée, le client paye une licence à NSO de quelques dizaines de milliers d’euros.
Selon le SGDSN[1], la réalisation d’une attaque informatique suppose la détention d’un certain nombre de savoir-faire techniques et d’infrastructures. Il s’agit tout d’abord d’une panoplie complète de logiciels permettant à l’attaquant de faire son office (détecteurs de Zero-Day, implants et canaux de communication, logiciel de pilotage pour l’attaque). En complément, l’attaquant aura besoin d’une infrastructure de commande-contrôle, c’est-à-dire un ensemble de serveurs contrôlés par l’attaquant lui permettant de piloter son attaque.
Enfin, dernière infrastructure, une infrastructure technique d’exfiltration et de traitement des données récoltées. La principale difficulté à surmonter pour l’attaquant est de piloter de manière coordonnée l’ensemble de ses outils afin d’obtenir l’effet recherché sur la cible.
Très tôt dans l’expansion d’internet des outils d’attaque accessibles aux non-initiés, dits script kiddies, apparaissent. Ces outils sont principalement d’origine américaine, russe ou chinoise. Outils sur étagères, leur prolifération a favorisé la multiplication d’attaques cyber plus sophistiquées. Simples, modulaires et pratiques, ils permettent d’intégrer très facilement de nouvelles fonctionnalités ou de prendre en compte l’exploitation de nouvelles vulnérabilités. »
[1]République Française, SGDSN, Stratégie nationale de cyberdéfense, Economica, 2018, 1re édition.