La technologie de logiciel espion « intelligente » de NSO offre une cyber-arme « contre laquelle il n’y a aucune défense » et représente « un excellent travail, du point de vue de l’ingénierie », ont déclaré cette semaine des experts et des chercheurs en cybersécurité.
Le logiciel espion phare de la société israélienne, Pegasus, est considéré comme l’un des outils de cybersurveillance les plus puissants disponibles sur le marché, donnant aux opérateurs la possibilité de prendre efficacement le contrôle total du téléphone d’une cible, de télécharger toutes les données de l’appareil ou d’activer sa caméra ou microphone à l’insu de l’utilisateur. La société a de nouveau fait la une des journaux ces dernières semaines alors que les révélations sur la portée de sa technologie et ses conséquences ne cessent de s’accumuler.
Dans une plongée technique approfondie sur le fonctionnement des logiciels espions, les chercheurs en cybersécurité Ian Beer et Samuel Groß ont déclaré que NSO avait développé des capacités qui utilisent «l’un des exploits les plus sophistiqués sur le plan technique que nous ayons jamais vus», et auraient auparavant pensé qu’ils seraient «accessibles à seulement une poignée d’États-nations.
Beer et Groß sont des experts en cybersécurité chez Google Project Zero, l’équipe d’analystes en sécurité de l’entreprise chargée de trouver des vulnérabilités zero-day, des points de brèche potentiels dans des logiciels qui peuvent être inconnus des développeurs et pour lesquels un correctif n’a pas encore été développé. Ces failles de sécurité peuvent être exploitées par des pirates lors d’une cyberattaque.
Leur analyse a spécifiquement couvert les capacités de NSO contre les iPhones, pour lesquels Apple a intenté une action en justice contre la société basée à Herzliya. Mais NSO a des capacités similaires sans clic qui peuvent également cibler les appareils Android, ont déclaré les chercheurs.
NSO offrait à ses clients une «technologie d’exploitation sans clic» où les cibles, même les plus averties sur le plan technique, ignorent complètement qu’elles sont ciblées, ont déclaré Beer et Groß. Il s’agit essentiellement d’une cyber « arme contre laquelle il n’y a aucune défense », ont-ils ajouté.
« Dans le scénario zéro clic, aucune interaction de l’utilisateur n’est requise, ce qui signifie que l’attaquant n’a pas besoin d’envoyer des messages de phishing ; l’exploit fonctionne simplement en silence en arrière-plan », ont écrit Beer et Groß.
La brèche commence au moment où une cible reçoit un SMS, qu’elle le voie ou non, dans un exploit que Beer and Groß a qualifié de « assez incroyable, et en même temps, assez terrifiant ».
Dans un exploit zéro clic, « l’utilisateur est totalement passif, il n’a pas à cliquer sur quoi que ce soit, il n’a aucun contrôle », a déclaré Gili Moller, directeur général en Israël de la multinationale suisse de cybersécurité Acronis. La société de cyberprotection a récemment ouvert un centre d’innovation en Israël, où l’industrie locale a été l’un des trois principaux secteurs d’investissement mondiaux cette année.
Moller a déclaré au La Lettre Sépharade cette semaine que l’exploit, tel que NSO l’avait conçu, était « un excellent travail, d’un point de vue technique ». La faille était liée à la façon dont Apple a analysé (ou traité) les images GIF – les petites images animées populaires sur les réseaux sociaux et dans la culture des mèmes – envoyées et reçues via iMessage, la plate-forme de messagerie native des iPhones.
Sauf que NSO a utilisé un «faux GIF» en déguisant un PDF en fichier GIF et en lui injectant du code pour exécuter la violation sur le téléphone de la cible.
Les développeurs d’Apple avaient essentiellement réutilisé un code pour l’analyse des fichiers PDF initialement écrit par Xerox, une pratique très courante, a déclaré Moller. Le logiciel espion de NSO était capable de « masquer un code au niveau du pixel afin que lorsque le message texte est reçu, un code soit activé et le jeu est en quelque sorte terminé ».
« C’est un peu comme de la science-fiction. La cible n’a rien fait, tout ce qu’elle a fait a été de recevoir un message et l’attaquant prend le contrôle total », a expliqué Moller.
Trouver de telles vulnérabilités est très difficile et implique un travail long et difficile, a-t-il ajouté.
L’exploit, a déclaré le consultant en sécurité Gabriel Avner, était une « attaque intelligente et bien menée » qui « sape les précautions que les gens peuvent prendre ».
« Les experts en sécurité disent depuis des lustres, ‘ne cliquez pas sur des liens suspects’ même de personnes que vous connaissez peut-être, mais NSO est arrivé » avec un exploit zéro-clic, a déclaré Avner au La Lettre Sépharade.
La société israélienne avait précédemment utilisé des exploits en un clic, où les cibles devaient cliquer activement sur un lien dans le cadre d’une attaque de phishing, pour activer les puissants logiciels espions de Pegasus et les fonctions de contrôle sur un téléphone.
John Scott-Railton, chercheur principal Citizen Lab, une organisation de surveillance de la cybersécurité à Toronto, a écrit sur Twitter cette semaine que l’analyse de Google a montré à quel point le logiciel espion était « extrêmement sophistiqué » et « dangereux ».
« Ce type de capacité n’était auparavant disponible qu’avec des cyberpouvoirs de premier plan. Ça devrait vous faire froid dans le dos », a-t-il écrit.
Un torrent de critiques
Citizen Lab mène des enquêtes sur NSO et d’autres sociétés de cybersurveillance depuis plusieurs années, traquant certaines de leurs technologies à travers le monde.
Cet été, Citizen Lab et Amnesty International ont dévoilé une enquête approfondie qui a révélé que le logiciel de l’entreprise avait été utilisé par de nombreux pays ayant de piètres antécédents en matière de droits humains pour pirater les téléphones de milliers de militants des droits humains, de journalistes et d’hommes politiques d’Arabie saoudite pour Mexique.
NSO a fait face à un torrent de critiques internationales sur les allégations. La question est devenue une préoccupation diplomatique avec de nombreux alliés israéliens, comme la France, qui ont exigé des réponses après que des rapports ont révélé que le logiciel était utilisé dans leur pays.
Début novembre, le département américain du Commerce a mis NSO sur liste noire, restreignant les liens de l’entreprise avec des entreprises américaines en raison d’allégations selon lesquelles il « permettait à des gouvernements étrangers de mener une répression transnationale ». Les États-Unis ont également mis sur liste noire une deuxième société israélienne, Candiru.
Cette décision aurait joué un rôle en poussant finalement Israël à réduire considérablement le nombre de pays auxquels les entreprises locales peuvent vendre des cybertechnologies et à imposer de nouvelles restrictions à l’exportation d’outils de cyberguerre. Le ministère israélien de la Défense doit autoriser la vente des produits des sociétés de logiciels espions à l’étranger.
Entre-temps, les accusations se sont enchaînées. Pas plus tard que cette semaine, le Washington Post a rapporté que le logiciel espion Pegasus de NSO avait été placé sur le téléphone portable de l’épouse du journaliste Jamal Khashoggi des mois avant son assassinat au consulat saoudien d’Istanbul en 2018. Cette évolution a été immédiatement précédée par des informations selon lesquelles le logiciel espion visait également politiciens de l’opposition polonaise et un militant indien.
La société israélienne a nié à plusieurs reprises que son logiciel espion ait été utilisé pour cibler Khashoggi ou ses proches, et a insisté sur le fait que ses produits étaient uniquement destinés à aider les pays à lutter contre la criminalité grave et le terrorisme. Cependant, en raison des définitions larges que certains de ses pays clients utilisent pour ces infractions, le logiciel semble avoir été utilisé contre un large éventail de chiffres.
Les retombées qui ont suivi ont grandement affecté l’entreprise, qui risquait de faire défaut sur environ 500 millions de dollars de dettes et a vu sa cote de crédit prendre un coup dramatique, entraînant des problèmes de solvabilité au sein de l’entreprise.
NSO envisageait maintenant de fermer son opération Pegasus et de vendre l’ensemble de la société à un fonds d’investissement américain, a rapporté Bloomberg la semaine dernière, citant des responsables impliqués dans les pourparlers.
Pas seulement l’ONS
Tim Willis, responsable de Project Zero chez Google, a dit qu’il y avait « de nombreuses entreprises qui fournissent des capacités et des services d’exploitation similaires » et que « prendre des mesures contre une entreprise (NSO), bien que noble et favorisant une discussion, ne s’attaque pas à la racine de ce problème ».
« Le plat à emporter ici n’est pas » l’exceptionnalisme NSO « . C’est juste que NSO a été attrapé cette fois et nous avons un aperçu de la façon dont ils attaquent iOS/iMessage », a écrit Willis sur Twitter, ajoutant que « nous devons continuer à rendre le 0-day de plus en plus difficile pour les attaquants ».
Moller, d’Acronis, a réitéré que NSO n’était en effet pas la seule entreprise à disposer de telles capacités de cybersurveillance offensives, mais qu’il y avait un « effet boule de neige sur NSO ».
Citizen Lab a révélé la semaine dernière dans une nouvelle enquête qu’une autre société israélienne, Cytrox, avait également développé un logiciel espion commercial récemment découvert sur un iPhone appartenant à un dissident égyptien. Le logiciel Predator de Cytrox ciblait le système d’exploitation iOS d’Apple en utilisant des liens en un seul clic envoyés via WhatsApp (propriété de Facebook/Meta), selon les recherches de l’organisation. Facebook a poursuivi le groupe NSO en 2019 pour avoir prétendument violé son application de messagerie WhatsApp.
Mais la plus grande découverte, dans une enquête conjointe du Citizen Lab avec Facebook/Meta, était que Cytrox avait des clients dans des pays autres que l’Égypte, notamment l’Arménie, la Grèce, l’Indonésie, Madagascar, Oman, l’Arabie saoudite et la Serbie.
Meta a annoncé jeudi dernier une vague de suppressions de comptes affiliés à sept sociétés de surveillance pour compte d’autrui – dont Cytrox et quatre autres sociétés israéliennes – et a informé environ 50 000 personnes dans plus de 100 pays, dont des journalistes, des dissidents et des membres du clergé qui pourraient avoir été ciblés par leur. Il a déclaré avoir supprimé environ 300 comptes Facebook et Instagram liés à Cytrox, qui semble opérer depuis la Macédoine du Nord.
Le chercheur du Citizen Lab, Bill Marzak, a déclaré à l’Associated Press que le malware Cytrox semble tirer les mêmes astuces que le produit Pegasus du groupe NSO – en particulier, transformer un smartphone en un appareil d’écoute et siphonner ses données vitales. Un module capturé enregistre tous les côtés d’une conversation en direct, a-t-il déclaré.
Cytrox faisait partie d’une alliance ténébreuse de sociétés de technologie de surveillance connue sous le nom d’Intellexa qui a été formée pour concurrencer le groupe NSO. Fondée en 2019 par un ancien officier militaire et entrepreneur israélien nommé Tal Dilian, Intellexa comprend des entreprises qui ont enfreint les autorités de divers pays pour des abus présumés.
Sur son site Internet, Intellexa s’est décrit comme « basé dans l’UE et réglementé, avec six sites et laboratoires de R&D dans toute l’Europe », mais n’indique aucune adresse. Sa page Web est vague sur ses offres, bien qu’en octobre dernier, elle ait déclaré qu’en plus de la « collecte de masse secrète », elle fournit des systèmes « pour accéder aux appareils et réseaux cibles » via le Wi-Fi et les réseaux sans fil. Intellexa a déclaré que ses outils sont utilisés par les forces de l’ordre et les agences de renseignement contre les terroristes et les crimes, y compris la fraude financière.
Cyberdéfense
Au niveau individuel, la plupart des gens « n’ont pas à s’inquiéter des exploits sans clic », a déclaré Avner, le consultant en sécurité. Ils ont juste besoin de « mieux s’entraîner [cyber] l’hygiène, comme vérifier de près les URL et utiliser des seconds canaux de communication »pour vérifier tout message suspect provenant de personnes que nous pourrions connaître, a-t-il ajouté.
« La plupart des cyberattaques peuvent être évitées grâce à l’authentification à deux facteurs », ou 2fa, a déclaré Avner, une méthode qui ajoute une couche de protection supplémentaire pour assurer la sécurité des comptes en ligne au-delà d’un nom d’utilisateur et d’un mot de passe.
Si une agence de sécurité « veut accéder à votre téléphone, il y parviendra probablement », a déclaré Moller. « Il n’y a pas de protection à 100%. »
Mais les cyberattaques ne sont pas un destin prédéterminé, a déclaré Moller. Les entreprises et les organisations peuvent se protéger en déployant des services de cybersécurité qui réduisent leurs surfaces d’attaque, le nombre de tous les points possibles auxquels un utilisateur non autorisé peut accéder, en testant leurs systèmes et en éduquant leur personnel contre l’ingénierie sociale, a expliqué Moller.
L’ingénierie sociale est une technique de manipulation, utilisée par les sociétés de cyberrenseignement et de cybersurveillance, pour amener les gens à divulguer des informations privées ou confidentielles ou à commettre des erreurs liées à la sécurité.
« Les particuliers et les entreprises peuvent empêcher la majorité des piratages potentiellement désastreux », a déclaré Moller. « En étant conscient des risques et en adoptant une approche de « défense en profondeur ». Par exemple, maintenir un protocole de mesure préventive, comme mettre régulièrement à jour le logiciel avec la dernière et la meilleure version du logiciel, utiliser l’authentification à deux facteurs (2fa), ne pas réutiliser les mots de passe, etc. Les entreprises peuvent externaliser ces composants et utiliser des solutions de gestion des correctifs (comme le celles fournies par Acronis).
« De plus, en tant qu’actions post-infraction (ou en cas de suspicion d’infraction), il existe des services qui permettent d’extraire des informations médico-légales de l’appareil (comme un smartphone) pour voir s’il a été piraté ».
Pour les individus, la protection devrait venir des gouvernements et des régulateurs, a fait valoir Moller.
« Tout comme nous avons la police, l’armée et le Shabak [Israel’s internal security service], il faut des cyber-défenseurs. Les autorités doivent assumer leurs responsabilités et assurer une plus grande surveillance des pratiques des entreprises », a-t-il conclu.
Les agences et le personnel de TOI ont contribué à ce rapport.
