Affaire Pegasus: comment un logiciel peut-il exploiter les failles de nos smartphones ?

Le 18 juillet, dix-sept médias, dont Le Monde ou The Guardian, ont révélé l'existence d'une affaire de cyberespionnage d'ampleur mondiale. L'entreprise israélienne NSO, spécialisée dans la surveillance numérique, vend un logiciel nommé Pegasus et qui serat en mesure d'espionner les smartphones de cibles dans le monde entier.

L’enquête se base sur un premier fichier de 50.000 numéros de téléphone, communiqués aux médias par Amnesty International. Les analyses et le recoupement des données ont permis d'identifier la présence du logiciel espion sur les smartphones des cibles. Pegasus est capable d’aspirer tous les fichiers, messages, appels téléphoniques et contacts présents sur un smartphone.

Un logiciel indétectable

Le logiciel Pegasus est un outil particulièrement avancé. Il s’introduit dans le logiciel d’exploitation d’un smartphone, et va l’infecter discrètement. En règle générale, pour déclencher un logiciel espion sur un appareil, une action est nécessaire de la part du propriétaire. Il faut, par exemple, cliquer sur un lien envoyé par SMS ou par mail. Or, l’effacité de Pegasus est telle que la simple réception du lien rend effective l’intrusion.

Le rôle de NSO, outre la vente de ce type de logiciel, est également de détecter des failles dans les appareils pour pouvoir être le plus efficace possible en termes de surveillance. L’entreprise israélienne recrute régulièrement des pirates informatiques qui vont, sans relâche, identifier toutes les failles existantes dans les milliers de lignes de code informatiques qui constituent les logiciels d'exploitation du téléphone ou les applications que l’on y installe.

Des failles "zero days"

Les failles sont très récurrentes dans le milieu numérique. Pour remédier, les développeurs apposent régulièrement des correctifs. Regarder, dans le détail, les mises à jour proposées par nos appareils permet de se rendre compte de la quantité de correctifs en jeu.

Mais, comme l’a démontré le rapport technique du Security Lab d’Amnesty International, les failles exploitées par le logiciel de NSO sont particulières. On les appelle les “zero days” pour “vulnérabilité du jour zéro”. Aucun correctif n’a été déployé pour les régler. Les maîtriser, c’est s’assurer une garantie de pouvoir les exploiter jusqu’à ce que les constructeurs y remédient.

C’est de cette manière que fonctionne Pegasus. Le logiciel espion entre par la petite porte sur un appareil, et réalise son travail de manière indétectable. Pour cette raison, identifier Pegasus sur un appareil demande un travail minutieux et de nombreux recoupements, comme l'a indiqué le rapport d'Amnesty.

Une surveillance ciblée et non de masse

Si ce type d'espionnage est peu courant et concerne, aujourd'hui, peu de personnes civiles, il reste toutefois nécessaire de mettre régulièrement à jour le système d'exploitation de son téléphone, mais aussi ses applications.

Cela permettra d'avoir les versions les plus optimisées et de disposer de tous les correctifs mis en place par les développeurs. Comme le précise également le spécialiste en cybersécurité Baptiste Robert, "utiliser la messagerie Signal, un gestionnaire de mot de passe et un VPN sont un bon début".