L’onde de choc Pegasus en Espagne continue de s’amplifier. Le connu Un logiciel espion a infecté, entre autres, les téléphones portables de Pedro Sánchez et trois ministres du gouvernement espagnol. Après l’enquête pertinente, le juge du Tribunal national José Luis Calama a provisoirement archivé le procès en raison du « manque absolu de coopération juridique » de la part d’Israël, pays d’origine de NSO Group, la société responsable de ce logiciel espion.
Cependant, le juge Calama a rouvert le dossier après avoir reçu une ordonnance d’enquête européenne (OEI) émise par la France pour une enquête similaire, dérivée d’infections Pegasus qui ont touché le téléphone portable du président du gouvernement français, Emmanuel Macron, et celui de plusieurs ministres. et les députés. Même si tous les soupçons portent sur le Marocles autorités judiciaires françaises recherchent une faille dans l’architecture de l’outil d’espionnage qui leur permettrait de confirmer qui a profité du logiciel pour capturer tous types de données provenant de smartphones infectés.
L’objectif de démasquer qui est derrière les attaques est peut-être plus proche, puisque Le document transmis par la France comprend les indicateurs dits d’engagement ou IOC, qui aident les organisations à identifier et à confirmer la présence de logiciels malveillants sur un appareil ou un réseau. Les attaques, aussi indétectables soient-elles, peuvent laisser des traces, telles que des métadonnées, des noms de domaine ou des fichiers malveillants. Ces éléments sont essentiels pour aider les experts en cybersécurité à détecter, enquêter et résoudre tout incident.
Une autre nouveauté qui a conduit le juge espagnol à rouvrir l’enquête est que les autorités françaises ont déterminé que une seule attaque de Pegasus pourrait être à l’origine d’infestations massives qui affectent de nombreux objectifs, même de différents pays. « Il est donc possible d’établir des comparaisons entre les indices trouvés sur les différents téléphones infestés pour identifier une seule source d’infestation », explique Calama dans ses écrits.
Cependant, obtenir ces indicateurs de compromission et trouver des preuves définitives qui désignent une source comme responsable de cette infestation n’est pas facile, car la technologie d’espionnage développée par NSO Group est l’une des plus sophistiquées du monde.
vecteurs d’attaque
Pegasus a eu un grand impact au niveau international, grâce à sa grande efficacité à passer inaperçu et grâce aux rapports successifs qui reflètent plus de 50 000 victimes dans le monde, le dernier d’entre eux en Jordanie. En fait, c’est un chiffre qu’il faut mettre en quarantaine, car étant donné qu’il est si difficile à détecter, il pourrait y avoir beaucoup plus de personnes touchées, non seulement dans la sphère politique, mais aussi parmi les militants, les journalistes et les hommes d’affaires.
Justement, l’essence de la technologie développée par NSO Group réside dans la difficulté de retracer l’origine de l’infection. Son vecteur d’attaque le plus courant est SMS ou emails utilisés pour tromper les cibles pour qu’ils cliquent sur les liens, mais ceux-ci sont conçus pour paraître authentiques, exploités à partir de comptes officiels. Cependant, sa véritable origine est anonyme et ils détournent toute trace de son origine pour confondre ceux qui tenteraient d’enquêter sur elle.
[Cómo se infecta un móvil con Pegasus: las formas conocidas para espiar sin dejar rastro]
L’autre attaque courante de Pegasus, l’utilisation de vulnérabilités zero-day, ne rend pas non plus la tâche facile. Comme il s’agit de bugs inconnus dans les applications de messagerie comme WhatsApp et les systèmes d’exploitation comme Android ou iOS, il est quasiment impossible de contrôler ces éventuelles entrées. C’est plus tard, lors de l’analyse exhaustive, que la porte dérobée par laquelle le malware a accédé est découverte. Ce n’est qu’après l’attaque que les éditeurs de logiciels peuvent publier des correctifs pour prévenir de nouvelles infections.
L’analyse des appareils pour localiser des virus comme Pegasus nécessite des technologies très sophistiquées pour trouver la trace invisible laissée par les logiciels espions et peut prendre plusieurs mois d’enquête. Au contraire, le programme développé en Israël ne nécessite que quelques heures ou quelques jours pour entrer, voler des informations et quitter le système effaçant tout indice possible derrière lui.
En outre, compte tenu du fait que la majorité des attentats faisant l’objet d’enquêtes en Espagne et en France se sont produits il y a des années, entre 2020 et 2021, l’analyse médico-légale actuelle est très difficile à retracer l’origine de ces infections.
Imprenable
Pegasus « est introuvable par les logiciels antivirus et antispyware », selon un rapport de la Digital Freedom Alliancepuisque toutes les connexions entre les logiciels espions et les serveurs Pegasus sont cryptées avec des algorithmes robustes qui s’authentifient mutuellement. De plus, ses responsables ont pris un soin particulier à garantir une consommation minimale de données, de batterie et de mémoire sur les téléphones mobiles concernés, afin que la cible ne perçoive rien d’étrange dans l’utilisation quotidienne de son appareil.
« Pour garantir qu’il soit impossible de remonter jusqu’à l’organisme exploitant, le Réseau de relais anonymisant Pegasus (PATN), un réseau d’anonymiseurs au service de chaque client », poursuit le rapport. Les nœuds de ce réseau sont répartis dans le monde entier, « ce qui permet de rediriger les connexions des agents par différents chemins avant d’atteindre les serveurs de Pegasus ». . C’est le moyen de garantir que les identités des deux parties communicantes sont cachées.
Autre rapport, en l’occurrence d’Amnesty Internationaldont les militants ont également été victimes d’espionnage avec Pegasus, révèle que le logiciel espion a également la capacité de « manipuler les bases de données et les journaux système sur les appareils infectés pour masquer leurs traces.
[Cómo saber si tu móvil está infectado con Pegasus, el software que espió a independentistas catalanes]
Mais même sans tous ces aspects qui jouent contre les chercheurs, ce serait la propre dynamique de l’entreprise qui constituerait un mur infranchissable. « Ce qu’ils font, c’est une livraison clé en main […] et ils permettent aux utilisateurs qui achètent le logiciel d’accéder à un panneau qu’ils contrôlent pour mener les attaques », a expliqué Josep Albors, directeur de recherche et de sensibilisation d’ESET Espagne, à EL ESPAÑOL-Omicrono.
Ainsi, le logiciel ne montre pas dans les analyses médico-légales qu’il provient d’un pays spécifique. Pour ce chercheur, la seule manière de savoir avec certitude qui se cache derrière chaque espionnage est que la société NSO Group elle-même collabore aux enquêtes judiciaires et relier chaque téléphone mobile infecté au client qui l’a payé, ce qu’ils ont refusé de faire jusqu’à présent et qui semble très peu susceptible de changer à l’avenir.