(Paris) Le logiciel Pegasus de la société israélienne NSO, accusé d’avoir servi à espionner des militants, journalistes et opposants du monde entier, est un système très sophistiqué, qui exploite en permanence de nouvelles vulnérabilités dans les téléphones intelligents.

Comment fonctionne le logiciel espion de NSO ?

Pegasus, une fois introduit dans le téléphone intelligent, exporte les données de celui-ci (courriers électroniques, contenu des messageries comme Whatsapp ou Signal, photos…) vers des sites internet mis en place par NSO ou ses clients, et constamment renouvelés pour échapper à la détection.  

C’est « comme si vous mettiez votre téléphone dans les mains de quelqu’un d’autre », souligne Alan Woodward, professeur en cybersécurité à l’université du Surrey.

Ces communications secrètes ne sont pas visibles par l’utilisateur.  Et il est extrêmement difficile d’en retrouver la trace sur des téléphones intelligents Android, raison pour laquelle l’enquête d’Amnistie internationale, à l’origine des révélations, se concentre sur les téléphones intelligents d’Apple.

Comment le code malveillant est-il introduit sur le téléphone intelligent de la victime ?

Dans son histoire, déjà longue et bien documentée, notamment par Amnistie, NSO a utilisé des textos piégés, des bogues dans Whatsapp, iMessage, Apple Music…  

Au début, un geste de l’utilisateur était requis pour déclencher l’injection du code piégé : cliquer sur un lien par exemple.

Mais les dernières attaques n’avaient plus besoin d’un geste actif du propriétaire du téléphone intelligent pour réussir.  

Comment NSO trouve des failles pour introduire son logiciel ?

Au moins autant, sinon plus, que le logiciel espion lui-même, c’est la capacité de NSO à trouver sans relâche de nouvelles portes d’entrée dans les téléphones intelligents et à les exploiter qui fait son savoir-faire.

NSO est une grosse entreprise (un millier d’employés), qui a recruté des cyberpirates d’élite pour rechercher elle-même les failles.  

Selon les experts, elle a aussi certainement recours au « marché gris », sur lequel des chercheurs en cybersécurité au comportement plus ou moins éthique monnayent les failles qu’ils ont trouvées. Les attaquants -qu’il s’agisse d’États, de sociétés privées comme NSO, ou de criminels- payent toujours beaucoup plus que les éditeurs de logiciels pour chaque vulnérabilité découverte.  

Les failles les plus prisées sont les « zero days », les failles que personne n’a encore détectées et qui sont donc imparables.

Selon Bastien Bobe, directeur technique pour l’Europe du sud de Lookout, éditeur d’un logiciel de protection des téléphones intelligents, les « zero days » les plus performants peuvent se monnayer jusqu’à 2 millions de dollars pour iOS (le système d’exploitation des téléphones intelligents Apple) et 2,5 millions de dollars pour Android. Pour des applications comme Whatsapp ou iMessage, la valeur peut atteindre 1,5 million de dollars.

Peut-on se protéger contre ces logiciels espions ?

Oui, et non.  

Certaines précautions simples permettent de limiter les risques, comme tout simplement éteindre son téléphone intelligent au moins une fois par jour : ce simple geste peut suffire à contrecarrer le fonctionnement de bon nombre de programmes-espions.

Ou encore, conserver les logiciels de son téléphone intelligent à jour. Dans le cas contraire, souligne M. Woodward, « certaines des anciennes failles qu’Apple a réparées, et que Google a réparées sur Android peuvent toujours être là ».

Le marché offre également des solutions de protection des téléphones intelligents, mais celles-ci sont encore peu utilisées, car « les gens se sentent plus en confiance sur leur mobile que sur leur PC », regrette Bastien Bobe.

Mais le spécialiste reconnaît aussi qu’il n’est pas possible de garantir une protection totale : « Si quelqu’un veut cibler un téléphone intelligent bien particulier, et s’en donne les moyens » — qu’il chiffre à « 7 ou 8 chiffres », donc des millions ou des dizaines de millions de dollars —, « il y arrivera. »

Pour les personnes gérant des informations très sensibles, il peut être utile d’utiliser un appareil non relié à internet, soit un vieux téléphone portable, soit un téléphone intelligent dont l’accès aux données est coupé.