Mon iPhone est-il infecté par le logiciel espion Pegasus ?

Les logiciels espions Pegasus du célèbre groupe NSO sont utilisés par les gouvernements et d'autres acteurs puissants à travers le monde pour espionner les journalistes, les avocats, les hommes d'affaires, les scientifiques, les politiciens, les militants et même leurs amis et leurs proches.

Une base de données divulguée de 50 000 numéros de téléphone appartenant à des victimes présumées a été analysée par Forbidden Stories et Amnesty International. Certains appareils examinés par les enquêteurs montrent des preuves d'attaques de Pegasus. Le groupe NSO conteste les conclusions et affirme que son logiciel est uniquement destiné à être utilisé contre les criminels.

Alors, que fait le logiciel espion Pegasus ? Et comment pouvez-vous vérifier si c'est sur votre iPhone ?

Comment le logiciel espion Pegasus infecte-t-il les appareils ?

Le logiciel espion peut attaquer à distance les iPhones et les appareils Android en utilisant des méthodes « zéro clic » sans que les utilisateurs ne fassent quoi que ce soit.

Pegasus peut être installé via WhatsApp, iMessage, un SMS silencieux, des appels manqués et d'autres méthodes actuellement inconnues.

Que peut faire le logiciel espion Pegasus ?

Le logiciel espion permet aux attaquants un accès complet à vos données et leur permet de faire des choses que même vous, le propriétaire, êtes empêché de faire. Tous vos messages, e-mails, chats, données GPS, photos et vidéos, et plus encore, peuvent être envoyés en silence depuis votre appareil à toute personne intéressée par vous.

Les attaquants peuvent utiliser votre microphone pour enregistrer vos conversations privées et utiliser la caméra pour vous filmer en secret.

Comment puis-je supprimer les logiciels espions Pegasus ?

Pour le moment, il n'existe aucun moyen sûr de supprimer Pegasus. Il n'est pas clair si même une réinitialisation d'usine fonctionnerait, car le logiciel espion peut persister dans les niveaux inférieurs du code d'un système.

Si votre téléphone est infecté, la meilleure solution peut être de changer votre appareil et votre numéro. Bien sûr, un nouvel Android ou iPhone pourrait être facilement compromis comme le précédent, bien qu'Apple ait publié la mise à jour iOS 14.7.1 qui est censée remédier à certains des exploits impliqués.

Existe-t-il des alternatives sérieuses aux téléphones iOS et Android ?

Au moment de la rédaction de cet article, l'écosystème des systèmes d'exploitation mobiles souffre d'un grave manque de diversité et même les forks Android durcis tels que Graphene OS ou Calyx peuvent n'offrir aucune protection. La sécurité par l'obscurité peut être applicable dans ce cas et un appareil exécutant Sailfish OS de Jolla ou peut-être un Librem 5 exécutant Pure OS sont les principales alternatives.

Connexe : Téléphones les plus sécurisés pour la confidentialité

Comment puis-je vérifier si mon iPhone a été infecté par un logiciel espion Pegasus ?

Heureusement, Amnesty International apublié un outil appelé MVT qui permet aux utilisateurs de vérifier si leur appareil a été attaqué par le malware NSO. Bien que l'outil de ligne de commande soit conçu pour les enquêteurs judiciaires, une partie de la détection est automatisée et devrait fournir suffisamment d'informations pour décider si cela vaut la peine d'approfondir l'enquête, même si vous n'êtes pas un professionnel de la sécurité.

À l'heure actuelle, les iPhones semblent être la cible la plus courante et les enquêteurs ont également découvert que les appareils Apple fournissent les preuves les plus détaillées des intrusions. Lisez la suite pour notre guide d'installation et d'utilisation du logiciel de détection avec votre iPhone.

De quoi ai-je besoin pour rechercher les logiciels espions Pegasus sur mon iPhone ?

Pour simplifier le processus et vous permettre d'exécuter l'outil sur macOS, Linux ou Windows, nous allons utiliser un conteneur Docker spécialement préparé pour MVT. Donc, tout d'abord, vous allez devoir installer Docker sur votre machine. Nous avons des instructions pour installer Docker sur Ubuntu et comment démarrer Ubuntu sur votre ordinateur Windows ou Apple .

Comment configurer mon ordinateur pour rechercher Pegasus sur mon iPhone ?

Nous donnons chaque commande étape par étape ci-dessous et les commandes multilignes doivent être saisies en entier avant d'appuyer sur la touche Entrée.

Tout d'abord, ouvrez un terminal et créez un dossier pour contenir les fichiers que nous utiliserons en tapant cette commande et en appuyant sur Entrée :

 mkdir Pegasus

Accédez ensuite au dossier Pegasus en tapant :

 cd Pegasus

Vous devez maintenant créer des dossiers pour MVT. Taper:

 mkdir ioc backup decrypted checked

Ensuite, vous devez obtenir un fichier contenant des indicateurs de comportement suspect. Entrer:

 wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2

Votre prochaine étape consiste à récupérer le fichier MVT Docker. Taper:

 wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile

Maintenant, pour configurer l'image Docker, tapez :

 docker build -t mvt

Comment préparer mon iPhone pour l'analyse MVT ?

Tout d'abord, vous voudrez probablement empêcher l'écran de votre iPhone de s'éteindre pendant le processus. Appuyez sur l'icône Paramètres , puis sur Affichage et luminosité > Verrouillage automatique > Jamais pour vous assurer que l'écran de votre iPhone reste allumé.

Ensuite, branchez votre appareil iOS sur le port USB de votre ordinateur. Vous devez maintenant arrêter le démon USB qui gère les connexions entre votre ordinateur et votre appareil iOS. Taper:

 systemctl stop usbmuxd

Vous devrez peut-être attendre un peu la fin de ce processus et vous renvoyer à une invite de commande $ . Exécutez maintenant le conteneur Docker en tapant l'intégralité de cette commande :

 docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host 
 -v $PWD/ioc:/home/cases/ioc 
 -v $PWD/decrypted:/home/cases/decrypted 
 -v $PWD/checked:/home/cases/checked 
 -v $PWD/backup:/home/cases/backup 
 mvt

Appuyez sur Entrée après mvt . Vous travaillez maintenant dans le conteneur Docker et votre invite de commande devrait devenir quelque chose comme : root@yourmachine:/home/cases# Redémarrez le démon USB en entrant :

 usbmuxd

Votre iPhone devrait afficher un message vous demandant si vous voulez faire confiance à l'ordinateur, alors appuyez sur Trust et entrez le mot de passe de votre iPhone si demandé.

Galerie d'images (2 images)

Développer

Développer

Vérifiez que votre iPhone est connecté à votre ordinateur en tapant :

 ideviceinfo

Une connexion réussie devrait cracher des tonnes de données techniques dans le terminal. Si vous obtenez une erreur "périphérique non détecté", essayez de redémarrer votre iPhone et de répéter la commande.

Vous êtes maintenant prêt à effectuer une sauvegarde sur votre ordinateur. Une sauvegarde chiffrée permet au processus de collecter plus d'informations à partir de l'appareil, donc si vous n'avez pas de mot de passe protégeant votre appareil, vous devez activer le chiffrement en tapant :

 idevicebackup2 backup encryption on -i

Si vous avez déjà activé le cryptage, le terminal vous le dira. Sinon, choisissez un mot de passe et saisissez-le lorsque vous y êtes invité. Maintenant, pour exécuter la sauvegarde, tapez :

 idevicebackup2 backup --full backup/

Selon la quantité d'informations sur votre appareil, cette procédure peut prendre un peu de temps. Pour confirmer que la sauvegarde a réussi, saisissez :

 Run ls -l backup

Cela devrait vous donner le nom de la sauvegarde dont vous aurez besoin pour la prochaine étape. Maintenant que la sauvegarde est sur votre ordinateur, vous pouvez la déchiffrer en tapant :

 mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name here>

La commande que vous entrez devrait ressembler à ceci :

 mvt-ios decrypt-backup -p password1234 -d decrypted backup/4ff219ees421333g65443213erf4675ty7u96y743

Une fois la sauvegarde déchiffrée, vous pouvez passer à l'étape d'analyse. Pour analyser la sauvegarde, l'outil MVT la comparera à un fichier stix2 contenant des exemples d'activité malveillante. Pour lancer la comparaison, utilisez :

 mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted

MVT créera ensuite une série de fichiers JSON contenant les résultats de la comparaison. Vous pouvez vérifier ces résultats avec cette commande :

 ls l checked

Ouvrez maintenant le dossier appelé "vérifié" dans le dossier principal de Pegasus. Recherchez tous les fichiers JSON avec _detected à la fin de leurs noms de fichiers. S'il n'y en a pas, l'outil n'a pas pu trouver de preuves d'une infection par Pegasus. Si des fichiers _detected existent, vous souhaiterez peut-être copier les dossiers nommés backup, déchiffrés et vérifiés dans un emplacement chiffré sécurisé pour référence future.

Pour quitter le conteneur Docker, saisissez :

 exit

Que faire si MVT trouve des preuves d'une attaque Pegasus?

S'il y a des fichiers marqués _detected, il est probablement temps de contacter un professionnel de la cybersécurité et de changer votre téléphone et votre numéro.

Vous devez conserver votre téléphone infecté comme preuve, mais éteignez-le et gardez-le isolé et loin de toute conversation importante, de préférence dans une cage de Faraday.

Vous devez désautoriser votre téléphone de tous les services en ligne et utiliser une autre machine pour modifier le mot de passe de tous les comptes accessibles via l'appareil suspect.

Comment puis-je protéger mon iPhone de Pegasus ?

Ce logiciel espion utilise de nombreuses méthodes d'attaque connues et inconnues, mais vous pouvez prendre certaines mesures pour réduire vos risques d'être compromis :

• Il va sans dire que vous devez sécuriser votre téléphone avec un code PIN ou de préférence un mot de passe fort.
• Mettez régulièrement à jour le système d'exploitation.
• Désinstallez les applications que vous n'utilisez pas pour minimiser la surface d'attaque. Facetime, Apple Music, Mail et iMessage sont connus pour être vulnérables à l'infection Pegasus, mais vous en utilisez probablement au moins deux.
• Redémarrez votre téléphone au moins une fois par jour car cela peut effacer le logiciel espion de la RAM et rendre la vie plus difficile pour qu'il fonctionne correctement.
• Ne cliquez pas sur les liens dans les messages provenant de numéros inconnus, même si vous attendez une livraison de colis.

Pégase : faut-il s'inquiéter ?

Pegasus est l'un des pires exemples de logiciels espions que nous ayons vu jusqu'à présent. Bien que le nombre de personnes qui auraient été affectées à ce jour ne soit pas énorme au niveau mondial, le fait que les attaquants puissent cibler un appareil avec de telles méthodes sans clic signifie que tous les appareils avec les mêmes systèmes d'exploitation sont vulnérables.

Ce n'est peut-être qu'une question de temps avant que d'autres groupes ne reproduisent les techniques de Pegasus et cela devrait être un signal d'alarme pour que tout le monde prenne la sécurité mobile beaucoup plus au sérieux.