L’affaire Pegasus n’a pas fini de faire parler d’elle. Un nouveau chapitre s’est ouvert ce 19 avril en Espagne. 35 députés européens auraient été victimes du logiciel espion.
Retour sur Pegasus et sur son actualité hispanique.
Qui est Pegasus ?
Pegasus est un logiciel espion édité par la société israélienne NSO Group.
Initialement prévu pour faire du renseignement et lutter contre la criminalité et le terrorisme, son usage a dépassé ces frontières et semble avoir été utilisé à mauvais escient.
Le consortium de rédactions Forbidden Stories a révélé en juillet 2021 que ce logiciel aurait infiltré 17 médias à travers le monde, mais également 600 hommes politiques, des militaires, des avocats… Au total 50000 numéros de téléphones touchés.
C’est l’affaire de cyber espionnage qui a fait la une des journaux et qui continue de faire parler d’elle.
Le fonctionnement du logiciel espion
Pegasus agit sans intervention humaine. Il n’est pas nécessaire que la victime clique pour être infectée, et c’est là toute la dangerosité de l’outil, il se diffuse tout seul.
Il est ainsi capable de s’introduire à distance sur n’importe quel smartphone (iOS et Android) et de siphonner toutes les données (photo, message, liste des contacts, enregistrement de conversations téléphoniques, WhatsApp…), il permet même d’activer la caméra ou le micro du téléphone. Pour ce faire, il utilise des fonctions sophistiquées permettant de contourner la sécurité des systèmes d’exploitation.
Selon Amnesty International « NSO Group s’appuie sur l’offre AWS CloudFront (CDN) pour livrer ses premières attaques ». La société s’appuie sur des failles zero day.
Pegasus en Espagne
Le 19 avril, l’affaire PEGASUS refaisait parler d’elle. Cette fois-ci en Espagne.
Citizen Lab a révélé qu’entre 2017 et 2020, 65 personnes au total ont été victimes du logiciel, dont des indépendantistes catalans.
Parmi les personnes visées figurent ainsi l’actuel président régional catalan Pere Aragoné, mais aussi, Carles Puigdemont, Jordi Solé, Quim Torra et Artur Mas.
Les soupçons se portent sur le gouvernement espagnol qui pourrait être le commanditaire.
Les dates correspondraient au moment où avait lieu le référendum pour l’indépendance de la Catalogne.
Le gouvernement quant à lui dément et s’engage à faire la lumière sur cette affaire.
Comment Pegasus a infecté le téléphone de ces victimes ?
Les analystes ont constaté deux vecteurs d’infection :
- Des exploits sans clic : ce genre d’attaque est réalisé via des failles existantes sur l’appareil.
- Des SMS malveillants, au total on en recense plus de 200. Certains étaient personnalisés et donc d’autant plus crédibles, d’autres sous forme d’alertes sur l’actualité politique espagnole.
Les messages émanaient de fausses institutions, telles que la Sécurité sociale ou le ministère de la santé. Cette affaire réveille les tensions entre Madrid et la Catalogne qui s’étaient pourtant apaisées depuis 2020 grâce aux actions de Pedro Sanchez. Le gouvernement du socialiste avait en effet gracié neuf indépendantistes et avait permis la reprise du dialogue.
Le président de la généralité de Catalogne a déclaré suspendre tout dialogue avec le gouvernement :
« Jusqu’à l’ouverture d’une investigation interne, supervisée de façon indépendante ».
Pere Aragonès, Président de la généralité de Catalogne- Developer
Les tensions sont palpables.
TEHTRIS, une protection
Face à ce type d’attaque TEHTRIS préconise quelques conseils comme :
- Éteindre au minimum une fois par jour son téléphone
- Mettre à jour ses applications et des logiciels
- Privilégier une bonne protection de votre Endpoint
Vous pouvez suivre nos conseils mentionnés dans notre article : Comment de protéger des cyberattaques sur son smartphone ?
Notre solution Mobile Threat Defense, TEHTRIS MTD est capable, grâce à sa base de connaissances en perpétuelle évolution, d’identifier les applications malveillantes, d’analyser et de détecter la présence du spyware.
Dans le cas de l’affaire Pegasus de 2021, les pirates avaient utilisé de nombreux noms de domaines pour masquer leurs attaques et placer des opérations malveillantes. A chaque fois qu’un téléphone d’entreprise protégé par TEHTRIS MTD cherche un domaine, l’action est tracée. Quand les domaines sont inconnus ou suspicieux ou bien encore malveillants, une protection DNS est activée et va couper court à la requête, protégeant ainsi le téléphone en amont.
Chaque installation de programme est également historisée. Lorsqu’il s’agit d’un programme non autorisé par Apple, par exemple, une alerte de sécurité remonte. L’écran console de la TEHTRIS XDR Platform permet alors de retrouver tous les téléphones qui auraient été compromis.
Notre solution assure une surveillance des éléments qui échappent généralement aux autres solutions.