Le fonctionnement de Pegasus commence à s’éclaircir. Exploitation de multiples failles critiques, en particulier de iOS, et usage des infrastructures d’AWS.

Ce qui se passe sur iPhone reste sur iPhone… sauf lorsque Pegasus est dedans ! iOS ou Android, faut-il préciser. Sauf que la préférence des personnalités surveillées (50 000 numéros de téléphone identifiés comme cibles potentielles) va à Apple.

Spécialiste de la sécurité des smartphones, la société Lookout avait déjà tiré la sonnette d’alarme en 2016. Elle avait déjà  identifié NSO Group à l’origine du logiciel d’espionnage. De leur côté, les chercheurs d’Amnesty International, qui traquaient Pegasus depuis plusieurs années aussi, disposaient de traces du spyware. Récemment, ils l’ont retrouvé sur le smartphone d’un opposant marocain. Quand il faisait une recherche sur Yahoo, une adresse de redirection (https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz ) était automatiquement générée. Cette URL correspondait à une trace liée à NSO Group. Soit une attaque par injection réseau -via une station de base corrompue ou directement via un opérateur mobile

Injection et exploitation de failles critiques dans iOS et Android

En fouillant un peu plus, les chercheurs ont trouvé au sein d’une des deux bases de données SQLite (en l’occurrence DataUsage.sqlite) présentes dans iOS l’enregistrement d’un processus suspect nommé «bh». En croisant les travaux menés par Lookout, Amnesty en a conclu que «bh» faisait référence à BridgeHead, nom d’un module de Pegasus. Mission du composant : préparer le terrain (navigateur, configuration du terminal…) à l’installation de Pegasus.

En dehors de l’injection réseau menée par les clients, la firme israélienne propose de s’appuyer sur l’exploitation de failles critiques dans les OS mobiles. Voire certaines applications en mode zero clic (sans intervention de l’utilisateur). Cela a été le cas notamment en 2019 avec plusieurs vulnérabilités découvertes sur iMessage et FaceTime, exploitées pour installer Pegasus sur des terminaux. Autre vecteur de compromission, le service Apple Music…

Data centers européens gérés par des acteurs américains

En s’intéressant à l’infrastructure IT derrière Pegasus, Amnesty a constaté que NSO Group s’est appuyé sur AWS CloudFront pour livrer ses premières attaques. Confirmant «la fermeture de toutes les infrastructures et les comptes concernés», Amazon a reconnu implicitement le lien contractuel avec l’éditeur israélien. Lequel héberge ses serveurs dans plusieurs data centers aux Etats-Unis, mais aussi au Royaume-Uni, en Suisse et en Allemagne. Hormis la France (35 serveurs chez OVHcloud), NSO Group utilise principalement les data centers européens gérés par des opérateurs américains pour une grande partie de l’infrastructure d’attaque de ses clients.

S’il ne s’agit pas de la première affaire de ce type, s’il ne s’agit pas davantage de pointer du doigt tel ou tel pays pour ses pratiques de surveillance hors norme, force est de constater que la cybersurveillance atteint désormais des proportions inédites. Depuis sa découverte, le logiciel espion n’a cessé d’évoluer. Pegasus donne le contrôle à l’acteur malveillant sur le terminal de la victime, les données qu’il peut extraire et son évolution en tant que logiciel ‘zero click’. Pegasus peut extraire des coordonnées GPS très précises, des photos, des fichiers de messagerie. Egalement des messages chiffrés à partir d’applications telles que WhatsApp et Signal. Il peut également activer le microphone des terminaux pour écouter des conversations privées. Ou des appels téléphoniques. Et activer la caméra pour enregistrer des vidéos.

Modèle de livraison ‘zero touch’

Conclusion, le phishing sur mobile reste le point d’entrée le plus efficace pour les cyber-attaquants. Tout comme les autres logiciels malveillants sur mobile, Pegasus est généralement transmis à ses victimes par un lien de phishing. L’ingénierie sociale est le moyen le plus efficace de transmettre ces liens.

Bien que Pegasus ait évolué vers un modèle de livraison ‘zero touch’ -la victime n’a pas besoin d’interagir avec le logiciel espion pour que son terminal soit compromis- le lien hébergeant le logiciel espion doit toujours être reçu par le terminal. Compte tenu du nombre incalculable d’applications iOS et Android dotées d’une fonction de messagerie, cela peut se faire par le biais de SMS, d’e-mails, de médias sociaux, de messageries tierces, de jeux ou même d’applications de rencontres.