Comment fonctionne le logiciel espion Pegasus ?

Les derniers rebondissements de ce que l’on appelle l’affaire Pegasus touchent maintenant le monde politique français. En effet, selon le consortium Forbidden Stories, le Maroc aurait utilisé en 2019 le logiciel de NSO Group pour espionner le smartphone d’Emmanuel Macron, mais également celui d’Edouard Philippe, alors Premier ministre ainsi que ceux de membres du gouvernement et de personnalités politiques (François Bayrou ou Adrien Quatennens). Outre les discussions diplomatiques qui vont suivre, le logiciel développé par NSO Group interroge sur sa manière de procéder.

Dans son enquête, le consortium de médias a fait appel au Security Lab d’Amnesty International pour réaliser une analyse forensique des terminaux infectés (iOS et Android) de militants et de journalistes. Un rapport mené par Lookout en 2016 donnait déjà quelques indications sur le modus operandi de Pegasus : « il est très avancé et modulaire dans son utilisation des vulnérabilités de type zero-day, de modification de code et du chiffrement. Il utilise des fonctions sophistiquées pour contourner la sécurité des systèmes d'exploitation mobiles iOS et Android et des applications comme Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, les solutions de messagerie et de courrier électronique intégrées d'Apple, etc. ».

Des injections réseaux pour préparer le terrain

Les chercheurs de l’ONG traquent Pegasus depuis plusieurs années et disposaient de quelques traces du spyware. Récemment, ils l’ont retrouvé sur le smartphone d’un opposant marocain. Quand il faisait une recherche sur Yahoo, une adresse de redirection (https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz ) était automatiquement générée. Cette URL correspondait à une trace liée à NSO Group. Question, comment le logiciel a pu arriver sur le smartphone ? Dans ce cadre-là, il s’agit d’une attaque par injection réseau soit via une station de base corrompue ou directement via un opérateur mobile. Toujours est-il que ces URL de redirection ne contentaient pas de surveiller la navigation sur le web, mais aussi dans d’autres applications comme Twitter via les liens partagés.

En fouillant un peu plus, les chercheurs ont trouvé au sein d’une des 2 bases de données SQLite (en l’occurrence DataUsage.sqlite) présentes dans iOS l’enregistrement d’un processus suspect nommé « bh ». En croisant les travaux menés par Lookout, ils pensent que « bh » fait référence à BridgeHead, nom d’un module de Pegasus chez NSO Group . Ce composant a pour mission de préparer le terrain (navigateur, modifier la configuration du terminal,…) à l’installation de Pegasus.

L’exploitation de multiples failles critiques et des infrastructures cloud

En dehors de l’injection réseau menée par des clients de NSO Group, la firme israélienne propose de s’appuyer sur l’exploitation de failles critiques dans les OS mobiles (iOS ou Android) ou certaines applications en mode zero clic, c’est-à-dire sans intervention de l’utilisateur. Cela a été le cas notamment en 2019 avec plusieurs vulnérabilités découvertes sur iMessage et FaceTime, exploitées pour installer Pegasus sur des terminaux. Le service Apple Music est également suspecté d’être un vecteur de compromission.

L’ONG s’est aussi intéressé à l’infrastructure IT derrière Pegasus et les nombreux domaines glanés au fil de ses enquêtes. Ces dernières ont montré que récemment NSO Group s’appuie sur l’offre AWS CloudFront (CDN) pour livrer ses premières attaques. Après cette découverte, le fournisseur de cloud a vite réagi en annonçant dans un communiqué « la fermeture de toutes les infrastructures et les comptes concernés » (reconnaissant ainsi explicitement le lien contractuel entre AWS et NSO Group). Par ailleurs, l’étude montre que la firme israélienne héberge ses serveurs dans plusieurs datacenters en Allemagne, au Royaume-Uni, en Suisse, aux États-Unis et en France (OVH). Dans l’hexagone, elle disposerait de 35 serveurs chez l'hébergeur roubaisien. Amnesty International constate que NSO Group utilise principalement les datacenters européens gérés par des opérateurs américains pour gérer une grande partie de l'infrastructure d'attaque de ses clients.

Une détection difficile

La détection de Pegasus  peut s’avérer particulièrement difficile. Pour son enquête, le laboratoire de sécurité d’Amnesty International s’est appuyée sur un outil nomme Mobile Verification Toolkit et s’adresse uniquement aux iPhone. Il fonctionne à l'aide de l'application macOS Terminal, recherche la dernière sauvegarde d'iPhone sur le Mac. Il faudra installer libusb ainsi que Python 3 en utilisant Homebrew. L’utilisation de cet outil n’est donc pas à la portée de tous.

Des sociétés disposent aussi des compétences pour détecter la présence du logiciel espion. Les américains Lookout (à l’origine d’un rapport sur Pegasus en 2016) et Crowdstrike. En France, Tehtris est aussi capable d’analyser et de trouver les traces du spyware en se servant de sa solution Mobile Threat Defense. Elena Poincet, CEO de Tehtris et élue personnalité IT 2020 du Monde Informatique, distinguait en janvier dernier deux fléaux : le cyber-espionnage et le cyber-sabotage. Sur le premier, elle visait « toutes les entités qui vont tenter de voler des données. En réalité, on devrait dire qu’elles copient les données plutôt que de les voler, leur but est de prendre tout ce qui est important, tels que les secrets des brevets ». Elle ajoutait « Ce métier est pratiqué par les cyberespions, cybercriminels, hackers non éthiques, voire même par des cybermercenaires ». On peut y ajouter des sociétés privées comme NSO Group.