Pegasus : un logiciel conçu pour surveiller des téléphones iOS et Android

Pegasus est un logiciel édité par la société NSO Group, et qui permet d’extraire des informations sur des téléphones iOS et Android. Les données récupérées peuvent être les messages envoyés ou reçus, les contacts, le micro et la caméra, les données GPS, ou encore les appels [1]. Cet article présente comment vérifier si votre téléphone a été infecté par Pegasus.

Comment Pegasus infecte-t-il un téléphone ?

Pegasus est installé sur un téléphone via des attaques informatiques, reposant :

  • sur une attaque de type « spear-phishing » (ou « hameçonnage ciblé » ), c’est-à-dire via l’envoi d’un piège qui demandera à la cible d’effectuer une action comme un clic, cette action déclenchant l’installation de Pegasus ;
  • sur l’exploitation d’une vulnérabilité affectant le système ciblé (iOS ou Android), via l’envoi d’un message contenant un exploit, c’est-à-dire un kit d’attaque pour utiliser la vulnérabilité.

Lorsque l’installation repose sur l’exploitation d’une vulnérabilité, il peut s’agir de vulnérabilités qui ne sont pas encore connues de la communauté internationale, aussi appelées « vulnérabilités Zero-Day ». Ces vulnérabilités, tenues secrètes, sont redoutables : étant inconnues de la communauté internationale, aucun dispositif ne permet alors de les identifier. En conséquence, elles coûtent aussi extrêmement cher.

L’intérêt d’une vulnérabilité Zero-Day réside d’ailleurs dans le maintien de ce secret : dès que ces vulnérabilités sont repérées, elles font l’objet d’une publication au niveau international et d’un correctif de sécurité qui les neutralise. Une fois découverte, cette vulnérabilité rejoint la famille des vulnérabilités « connues » ou « One-Day » référencées dans la base CVE (Common Vulnerabilities and Exposures).

Est-ce que Pegasus est installé sur votre téléphone et l’a infecté ?

L’acquisition du logiciel Pegasus est réservée à des organismes bien particuliers, d’une part en raison de l’investissement financier requis, d’autre part en raison d’une sélection des clients de NSO Group.

Dans ces conditions, il est statistiquement peu probable que Pegasus soit installé sur votre téléphone.

Comment vérifier si votre téléphone a été infecté par Pegasus ?

Amnesty International met à disposition un outil nommé MVT (Mobile Verification Toolkit), sous une licence dérivée de la Mozilla Public License v2.0. L’utilisation de MVT est soumise à l’accord préalable explicite du propriétaire du téléphone qui sera analysé.

Cet outil permet d’analyser des fichiers extraits d’un téléphone, et d’y rechercher des indicateurs de compromission (aussi appelés IoC pour Indicator of Compromise).

Outre MVT, Amnesty International fournit également un jeu de données au format STIX2 (Structured Threat Information Expression) sur GitHub.

L’utilisation de MVT avec le jeu de données au format STIX2 nécessite quelques compétences techniques, et Cyberwatch vous propose ici un tutoriel pour vérifier si votre téléphone a été infecté par Pegasus ou non.

Temps nécessaire : 4 heures.

Comment vérifier si votre téléphone a été infecté par Pegasus à l’aide de MVT (Mobile Verification Toolkit) ?

1. Téléchargez et installez le projet MVT L’installation de MVT est décrite de manière détaillée sur le dépôt Git du projet.

🐧 Pour installer MVT sur un système Linux :
Installez les prérequis avec la commande : sudo apt install python3 python3-pip libusb-1.0-0
Puis installez MVT avec la commande : pip3 install mvt

🍏 Pour installer MVT sur un système macOS :
Installez Brew à l’aide de la commande :

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Installez les prérequis avec la commande : brew install python3 libusb
Puis installez MVT avec la commande : pip3 install mvt

Google (Android 11) Pour installer MVT sur un système Windows :
Installez le WSL (Windows Subsystem for Linux) à l’aide de la documentation officielle de Microsoft.
Puis installez une machine Linux sur votre système Windows, et appliquez la procédure pour Linux.

2. Téléchargez le fichier des indicateurs de compromission de Pegasus Récupérez le fichier pegasus.stix2 à partir du lien GitHub suivant et notez son emplacement sur votre ordinateur.

3. Identifiez le type de téléphone Le processus de vérification du téléphone avec MVT dépend du système d’exploitation ciblé. Vous devez ainsi vérifier si le téléphone à analyser est sous Android ou sous iOS.

Si le téléphone à analyser est sous iOS, passez à l’étape 4.
Si le téléphone à analyser est sous Android, passez directement à l’étape 7.

4. Cas d’un téléphone iOS : préparation des données à analyser Le plus simple pour analyser un téléphone iOS consiste à effectuer une sauvegarde du téléphone, puis à analyser cette sauvegarde à l’aide de MVT.
Attention : pour obtenir un maximum de données, la sauvegarde doit être protégée par mot de passe ! Dans le cas contraire, elle contiendra moins d’informations par mesure de sécurité.

Pour effectuer la sauvegarde de votre téléphone, connectez votre iPhone à votre ordinateur à l’aide d’un câble USB.

Si vous disposez d’iTunes, lancez alors iTunes puis créez une sauvegarde locale de votre téléphone, en veillant à ce que celle-ci soit chiffrée.

Publié par supportconseil.com

evolu en m instruisant

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :