Plus de six ans après les divulgations d’Édouard Snowden sur les pratiques d’espionnage numérique de la NSA sur les grands de ce monde, la récente affaire du logiciel Pegasus a fait l’effet d’une bombe partout dans le monde.
Une affaire qui aura mis en évidence la manière dont certains États ont utilisé le logiciel malveillant de la société israélienne NSO Group Technologies pour espionner en masse les smartphones de plusieurs personnalités. Mais si cette affaire n’est pas une grande surprise pour les experts en cybersécurité, l’usage d’outils puissants et les nouvelles pratiques de renseignement font entrer l’espionnage numérique dans une autre dimension.
L’affaire Pegasus, c’est quoi ?
C’est l’histoire d’un logiciel malveillant qui a fait la une de l’actualité durant une bonne partie de l’été suite à une série de révélations portées par le consortium Forbidden Stories (association regroupant 17 médias internationaux) et l’ONG Amnesty International. Son nom : Pegasus.
Utilisé depuis des années, il a permis à plusieurs gouvernements de surveiller les smartphones de nombreuses personnalités du monde politique et médiatique. Mais aussi de militants des droits de l’Homme, d’universitaires, de syndicalistes ou encore de chefs d’entreprise. Au total, 50 000 numéros ont été pris pour cibles. S’il « ne collecte que les données provenant des appareils mobiles de personnes soupçonnées d’être impliquées dans des activités criminelles graves et terroristes », comme l’affirme NSO Group Technologies qui commercialise ce logiciel espion, son usage est allé finalement bien au-delà de ses prérogatives, indique Forbidden Stories dans son enquête baptisée « The Project Pegasus ». « La fuite de données révèle l’écart entre la réalité d’utilisation du logiciel et les promesses de l’entreprise portant sur sa transparence {…}, indiquant qu’il ne s’agit pas d’un outil de surveillance de masse », écrit-il sur son site internet. Pendant six mois, et avec l’aide de plusieurs partenaires, les journalistes du consortium sont ainsi parvenus à analyser techniquement les données des smartphones touchés et « ont pu confirmer une infection ou tentative d’infection dans 85 % des cas ».
« Ce n’est pas une surprise »
Si l’onde de choc a été mondiale, portée par la puissance des enquêtes des 80 journalistes internationaux qui ont travaillé sur les pratiques et les dérives de l’usage du logiciel Pegasus vendu par l’entreprise israélienne à des pays clients, pour plusieurs experts, cette affaire ne choque pas plus que cela pour autant. « À l’ouest rien de nouveau, l’affaire Pegasus n’est pas sans rappeler l’affaire Snowden et les révélations de Wikileaks qui ont porté respectivement à la connaissance du monde la capacité d’espionnage numérique de la NSA et ipso facto des États-Unis. Si Pegasus est indéniablement l’affaire de cyberespionnage la plus débridée et massive depuis, elle a ceci de particulier que la solution émane d’une société privée pourtant sous contrôle du gouvernement israélien supposé superviser ses exportations », avance Yannick Chatelain, professeur associé Digital / IT, GEMinsights Content Manager à Grenoble École de Management (GEM). « Cela ne me surprend pas. Les gens sont plutôt naïfs avec l’utilisation de leur smartphone », critique Cyril Bras, vice-président de l’Institut national pour la cybersécurité et la résilience des territoires (IN.CRT). « Dans cette affaire, ce qui diffère finalement, ce ne sont pas les causes, mais les moyens mis en œuvre », souligne Benoît Grunemwald, expert en cybersécurité pour ESET France et Afrique francophone, entreprise spécialisée dans l’industrie de la sécurité informatique et leader dans son domaine.
Depuis le 18 juillet, date des révélations, les réactions se sont multipliées. Rapidement Israël a ouvert une enquête parlementaire, des journalistes ont porté plainte les uns après les autres, plusieurs chefs d’État ont réagi et l’ONU a soutenu en septembre un moratoire. Quant à NSO, elle « nie fermement les fausses affirmations, basées sur des hypothèses erronées ».
Mais au fait, quel est ce logiciel et comment parvient-il à infester des téléphones ?
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Comment fonctionne le logiciel employé ?
Derrière cette affaire qui secoue le monde entier, c’est donc un logiciel développé et commercialisé par NSO qui pose problème. Un logiciel espion appelé Pegasus qui vise principalement les smartphones en les infestant dans le but de soutirer des données en quantité : des messages aux coordonnées GPS en passant par des écoutes de conversation, des photos, etc. « Le téléphone est un super ordinateur, toujours connecté composé d’un micro, d’une caméra, de capteurs de mouvements et de toute une panoplie permettant à l’attaquant de prendre le contrôle de l’objet et d’obtenir des informations précises sur sa cible », indique Benoît Grunemwald. Et pour pouvoir entrer dans le téléphone de la victime, l’entreprise israélienne a développé un mouchard appelé zéro click, comme l’explique, Thierry Berthier, maître de conférences en mathématiques, cybersécurité et cyberdéfense, chaire de cyberdéfense Saint-Cyr à l’Université de Limoges, dans son expertise publiée sur le site The Conversation. « NSO a développé un programme qui permet d’utiliser une faille de sécurité de l’appareil pour prendre le contrôle du téléphone pendant un court laps de temps pour y installer le spyware à distance. On va généralement cibler des failles « zero day » (jour 0), on les appelle comme cela, car elles n’ont jamais été publiées ni exploitées. La plupart des logiciels vendus dans le commerce peuvent avoir des failles. »
« Agir sans être détecté »
Installé sur le smartphone, Pegasus va alors pouvoir siphonner des milliers de données et les envoyer au commanditaire par l’intermédiaire d’une liaison 3G, 4G, ou encore via wifi s’il y a une proximité avec la victime. « C’est là où Pegasus est très performant, car il peut agir sans être détecté. Les données qu’il envoie à partir du téléphone sont chiffrées, on ne peut donc pas savoir ce qui a été envoyé. Il est ainsi très difficile de savoir, réellement, ce qui a été envoyé, une fois que l’on a été victime de l’attaque. D’autant plus qu’une fois que la mission a été remplie, Pegasus peut s’autodétruire et ne laisser aucune trace, selon son éditeur », indique Thierry Berthier.
Pour exploiter cette faille dite zero day, l’entreprise NSO va proposer son exploitation à qui le souhaite et surtout à qui peut débourser des milliers de dollars. Ce que des services de renseignement étatiques peuvent se permettre à des fins bien précises. Pour Benoît Grunemwald, « on est face à des armes numériques qui demandent des moyens considérables ». « La particularité majeure n’est pas tant la solution logicielle d’espionnage et ses performances technologiques qui sont redoutables, souligne Yannick Chatelain . À mon sens, c’est plutôt que cette solution est proposée par une société privée prête à vendre au plus offrant… ».
Et d’aller plus loin dans son propos : « En matière de logiciel de surveillance vendu à des États par des sociétés privées, il est à noter que la société privée israélienne n’est pas la première à vendre ce type de solutions à des États. Quand bien même l’affaire fait grand bruit… d’autres scandales similaires, ayant à l’origine des sociétés privées, ont régulièrement défrayé la chronique, mais de façon plus discrète, et des solutions logicielles pouvant de par leurs fonctionnalités s’apparenter à des armes de guerre vendues par des sociétés privées à des États peu fréquentables. »
Qui sont les pays qui ont espionné ?
Le consortium de médias internationaux a dévoilé dans plusieurs enquêtes que des pays d’Europe, d’Asie, d’Afrique ou encore d’Amérique du Sud ont été clients de NSO. Ainsi, il semblerait que la Suisse, l’Arabie saoudite, l’Azerbaïdjan, Bahreïn, les Émirats arabes unis, la Hongrie, l’Inde, le Kazakhstan, le Maroc, le Mexique, le Panama, le Rwanda et le Togo auraient fait usage du logiciel Pegasus pour surveiller des personnalités dans leur pays ou à l’extérieur. Et la France dans tout ça ? Si Emmanuel Macron a été une cible potentielle, l’État assure ne pas avoir employé le logiciel après un « non » catégorique du président, comme l’a révélé Europe 1. Pourtant, six mois avant la sortie de l’affaire, des services de renseignement français s’étaient intéressés à Pegasus…
Quelles sont les personnes victimes ?
Partout dans le monde, des personnalités ont été ciblées par le logiciel Pegasus. Au total, les smartphones de 180 journalistes dans 20 pays ont été attaqués entre 2016 et juin 2021 comme celui d’Edwy Plenel, fondateur du média en ligne Mediapart. En France, 1 000 personnes ont été potentiellement victimes comme Emmanuel Macron, l’ancien Premier ministre Édouard Philippe, des membres du gouvernement (Bruno Le Maire, Nicole Belloubet, ancienne ministre…), François Bayrou, Cédric Villani, Olivier Besancenot, etc. À l’étranger, un membre d’Amnesty International a été surveillé, mais également Maati Monjib, militant de la liberté d’expression au Maroc, l’ancien premier ministre libanais Saad Hariri, l’actuel président du Conseil européen Charles Michel, le roi du Maroc Mohammed VI, le président du PSG Nasser al-Khelaifi, etc.
Tout le monde attaque et espionne tout le monde ?
Si l’affaire connaît un retentissement mondial, l’espionnage n’est pourtant pas une nouveauté. Chaque service de renseignement dispose de ses propres méthodes pour surveiller ses voisins et des personnes cibles. Et malgré les affaires, les habitudes perdurent. « Tant qu’on ne le voit pas, ça continue. Avec Pegasus, cela s’est vu… », remarque Cyril Bras. « Les scandales passent, les services de renseignements demeurent et… renseignent ! Que tout le monde espionne tout le monde n’est en rien nouveau, le petit espionnage entre amis (et ennemis) n’a jamais cessé, les amis d’hier ne sont-ils pas potentiellement les ennemis de demain ?, indique Yannick Chatelain de l’école de management à Grenoble. Cela se pratiquait bien avant l’avènement d’internet et le potentiel offert aux services de renseignements par le développement de logiciels malveillants. Ces derniers sont juste dotés de nouveaux outils… » « Sous Rome, on faisait déjà de l’espionnage », ajoute Benoît Grunemwald, expert en cybersécurité. Dès lors et malgré les conséquences de l’affaire Pegasus, rien ne pourra arrêter l’espionnage. Au contraire, une nouvelle ère de l’espionnage numérique semble même s’ouvrir avec cet épisode Pegasus, aussi bien du côté attaquant que du côté des moyens pour les contrer.
Une nouvelle ère de l’espionnage se dessine-t-elle ?
Avec les objets connectés, l’avènement du cloud, de l’intelligence artificielle, du télétravail, la surface d’attaque évolue au fur et à mesure des transformations numériques. La médiatisation de certaines affaires et la réglementation européenne (RGPD) obligeant les entreprises à déclarer si elles ont été victimes, tous ces facteurs participent à mettre en lumière les pratiques obscures du cyberespionnage et ses sombres marchés qui se multiplient, au risque d’être hors de contrôle. Entre la surveillance d’État à État, la cybersurveillance des États dédiée à la surveillance de leurs citoyens, à la surveillance que la crise du Covid a mise en exergue, aux outils de cybersurveillance entre particuliers (surveillance des usages de ses enfants, de son conjoint, etc.), les atteintes aux droits fondamentaux sont flagrants, tant les législations sont disparates selon les pays, et surtout tant la manne financière est démesurée…
« Le marché de la cybersurveillance est de mon point de vue à ce jour totalement hors de contrôle. D’une part, le côté invisible n’est pas quantifiable : les hackers d’États œuvrent pour leurs nations, les solutions qu’ils développent n’ont naturellement pas pour vocation à être portée à connaissance tout comme les achats de solutions clés en main de cybersurveillance n’ont pas vocation à être révélés. D’autre part, la partie émergée est soumise à des législations qui peuvent s’avérer disparates selon les nations, et peuvent s’avérer peu « scrupuleuses » vis-à-vis de leurs alliés », analyse Yannick Chatelain.
Si Pegasus a montré l’entière vulnérabilité des smartphones, s’inscrivant plus largement à tous les objets connectés – malgré les discours marketing sur leur sécurité et fiabilité – en face, la résistance s’active pour renforcer les systèmes et lutter contre toutes formes d’intrusion et d’attaque.
Une protection à 100 %, est-ce possible ?
« Les hackers ont toujours une longueur et un coup d’avance, néanmoins avec la communauté de professionnels de la cybersécurité maîtrisant les technologies et des formations spécifiques de plus en plus nombreuses, cet écart se réduit », se félicite Benoît Grunemwald. Si tous s’accordent à dire qu’une protection à 100 % n’existe pas, les experts défendent d’abord et avant tout une bonne pratique dans l’usage d’un téléphone pour anticiper toute cyberattaque. Concrètement – et comme dans le cas de Pegasus qui a ciblé des personnalités de haut rang -, elle repose sur une combinaison humaine et technologique. « Vous ne devez pas laisser votre matériel sans surveillance ni dans le coffre-fort de l’hôtel. En réunion, vous pouvez mettre votre téléphone dans une boîte à l’entrée par exemple », prévient Benoît Grunemwald. « Tout citoyen doit appliquer des règles d’hygiène numérique élémentaires, avance de son côté Cyril Bras de l’IN.CRT. Vous ne devez pas installer des applications dont vous ne connaissez pas l’origine ou ne pas rester connecté au wifi ou au Bluetooth. Malheureusement, nous avons une confiance aveugle dans le numérique, en Google, et Apple et les autres. Pourtant, c’est autant de vulnérabilités possibles pour un attaquant. »
Dès lors que nous sommes connectés au réseau, la menace existe donc, l’ingéniosité des hackers est sans fin, et la vigilance de rigueur. Que l’on soit un président de la République ou Monsieur Tout-le-Monde, les cyberattaquants n’ont pas de frontières ni de scrupules.
Le lab
Analyses et démocratisation de la cybersécurité
Le Lab est un espace contributif sur la cybersécurité où Guardia invite des professionnels et des experts du secteur à partager leurs travaux de recherche.
Qui sont les femmes et les hommes qui feront la... Voir la suite
Qui sont les femmes et les hommes qui feront la... Voir la suite
Qui sont les femmes et les hommes qui feront la... Voir la suite