Utilisé à des fins d'espionnage en nombre, le logiciel espion Pegasus a mis dans ses filets des responsables et personnalités de tous horizons (politiciens, défenseurs des droits de l'Homme, journalistes...) dans de nombreux pays. Un dernier rapport de Citizen Lab met en évidence que 65 individus incluant des parlementaires catalans européens (Diana Riba, Antoni Comin, Jordi Solé...), des indépendentistes calatans mais aussi des législateurs, juristes et membres d'organisations de la société civile ont été ciblés. « Les politiciens catalans ont été largement infectés par Pegasus. Le ciblage a eu lieu tout au long de négociations sensibles entre les gouvernements catalan et espagnol », peut-on lire dans l'enquête de Citizen Lab.

Selon ce rapport, plusieurs exploits sur iMessage ne nécessitant aucun clic ont été utilisés pour pirater les iPhone des cibles catalanes avec Pegasus entre 2017 et 2020. Ces derniers sont basés sur une faille zero day et zero clic baptisé HOMAGE et concernent les versions de systèmes d'exploitation mobile d'Apple inférieures à la iOS 13.1.3 et supérieures à iOS 13.5.1. « Parmi les cibles catalanes, nous n'avons vu aucune instance de l'exploit HOMAGE utilisé contre un terminal exécutant une version d'iOS supérieure à 13.1.3 », a expliqué Citizen Lab. « Il est possible que l'exploit ait été corrigé dans iOS 13.2 ». L'association précise que ses outils de détection Pegasus ont été davantage développés pour les terminaux iOS, débouchant sur une « sous-estimation forte » des personnes dotées de terminaux Android. Une précision intéressante mais sans doute à relativiser au regard du fort taux d'adoption des iPhone dans les sphères du pouvoir.

Les services secrets britanniques sur la brèche

L'exploit HOMAGE vient compléter un autre vecteur d'attaque déjà bien connu, KISMET, qui visait de son côté les terminaux équipés des versions 13.5.1 et 13.7 de l'OS mobile d'Apple. Citizen Lab a par ailleurs précédemment confirmé que plusieurs catalans faisaient partie des personnes ciblées par Pegasus lors de l'attaque WhatsApp de 2019, qui s'appuyait sur la vulnérabilité CVE-2019-3568 depuis corrigée. « De nombreuses victimes ont été visées à l'aide d'attaques par SMS, et nous avons collecté plus de 200 messages de ce type », explique l'association. « Ces attaques impliquaient des opérateurs envoyant des messages texte contenant des liens malveillants conçus pour inciter les victimes à cliquer », indique l'organisme.

Citizen Lab a par ailleurs aussi trouvé que Pegasus avait été utilisé en juillet 2020 pour infecter un terminal connecté au réseau du 10 Downing Street, la résidence du premier ministre britannique Boris Johnson. Une information confirmée par The New Yorker d'après une source proche du dossier ayant précisé que le réseau de cette institution a été compromis. « Lorsque nous avons trouvé le cas n ° 10, ma mâchoire est tombée », se souvient John Scott-Railton, chercheur principal au Citizen Lab. « Nous soupçonnons que cela incluait l'exfiltration de données », a ajouté Bill Marczak, un autre chercheur en sécurité de l'association. Suite à cette révélation, plusieurs terminaux mobiles incluant celui de Boris Johnson, ont été passés au crible par le National Cyber Security Centre, une entité rattachée aux services secrets de Grande-Bretagne.