Pegasus, le cheval de troie à l'ère du numérique

Pegasus ? En français, Pégase. Une créature mythologique dans un Zoom de l'alteractif, voilà ce qui est intéressant.
Personne sur son smartphone
Pixabay

Il y a différentes manières d'aborder un processus de documentation mais commençons simplement par une définition globale du sujet. Café dans la tasse, tasse sur le bureau : il est temps d'ouvrir le navigateur Web.

Une première recherche Wikipédia nous donne la définition suivante : « Pegasus est un logiciel espion destiné à attaquer les téléphones intelligents sous iOS et Android. Il est conçu et commercialisé dès 2013 par l'entreprise israélienne NSO Group [...] (1) »

« logiciel espion » - clic-droit, ouvrir dans un nouvel onglet. « NSO Group » - clic-droit, ouvrir dans un nouvel onglet.

Déjà deux nouveaux protagonistes sur la scène avant même la première gorgée de café.

Un logiciel espion, c'est un ensemble de lignes de code conçu pour opérer en deux temps : infecter une entité et collecter des informations sur celle-ci. Comme indiqué dans la définition ci-dessus, les entités ciblées par Pegasus sont les téléphones intelligents - malgré leur intelligence, ces téléphones sont victimes de l'exploitation de leurs vulnérabilités servant de vecteur d'entrée à Pegasus.

Par curiosité, une recherche sur la NVD (National Vulneratiblity Database) nous indique que sur les 3 derniers mois, plus de 6 000 vulnérabilités ont été recensées (2) - une centaine comportant le mot clé « android ». Ce système d'exploitation étant composé de plusieurs couches logicielles ,on ne peut imaginer le nombre de vulnérabilités auxquelles fait face notre téléphone, posé innocemment sur ce coin de bureau.

Clic-droit, fermer l'onglet

NSO Group maintenant : l'entreprise israélienne a contribué au développement d'un nouveau type de SAAS - non pas Software As A Service (3), mais Spying As A Service (4). Il est donc possible, pour un pays, de s'offrir une solution clé en main à un prix sans doute très inférieur au coût humain et temporel du développement maison d'une telle solution. De plus, la question du poids des entreprises privées dans la balance des relations internationales est soulevée : quelle est l'influence mutuelle entre une entreprise et son pays d'accueil sur les relations internationales, et comment sont partagées les responsabilités.

Les individus ciblés par Pegasus ne sont pas des quidams : personnalités politiques, engagées, influentes, les trois à la fois. La privatisation de ce genre de service permet légitimement de se poser les deux questions suivantes : « À qui le tour ? » et « Pourquoi pas moi ? ». Une porte vient de s'ouvrir et nous pouvons nous attendre à voir d'autres entreprises et d'autres « Pegasus » émerger : logiciels espions, composants électroniques avec des portes dérobées, ingénierie sociale, toute une mythologie.

Clic-droit, fermer l'onglet

Le tableau n'est pas si sombre, il est possible de réduire notre surface d'attaque. Afin de continuer à se protéger et à protéger notre entourage, il est conseillé d'adopter une certaine hygiène dans notre consommation numérique : ne pas repousser les mises à jour des appareils, faire régulièrement le point sur les identifiants et les sessions ouvertes et ne pas ouvrir des messages de sources inconnues. Pourquoi « Pegasus » au fait ? D'après le « S » de « NSO Group », Shalev Hulio, « Pegasus » est un cheval de Troie volant à travers les airs pour infecter un appareil (5).


(1) Wikipedia : https://fr.wikipedia.org/wiki/Pegasus_(logiciel_espion)
(2) National vulnerability database : https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&
search_type=last3months&isCpeNameSearch=false
(3) En français : « Logiciel en tant que service »
(4) En français : « Espionnage en tant que service »
(5) Jonathan Bouquet, 2019, « May I have a word about... Pegasus
spyware », The Guardian "en ligne" : https://www.theguardian.com/theobserver/commentisfree/2019/may/19/may-i-have-a-word-about-pegasus-spyware

13 janvier 2022
Mathieu Tortuyaux, membre de l'équipe Systèmes d'information
Thématique