Vous êtes persuadés que votre téléphone a été infecté par le logiciel espion Projet Pegasus, au cœur d’un scandale d’espionnage de masse depuis dimanche 18 juillet ? Ou alors vous êtes simplement curieux de savoir si vos données intéressent les clients de ce logiciel, dont fait par exemple partie le Maroc ? Marianne vous indique, grâce à un rapport d’Amnesty International et de Security Lab, quelles données surveiller, moyennant un peu d’huile de coude.
Pour rappel, ce logiciel espion développé par l’entreprise de sécurité informatique israélienne NSO aurait touché près de 1.000 Français et a principalement été utilisé contre des opposants politiques, des militants ou des journalistes. Jusqu’à mai 2018, il utilisait un processus assez basique pour s’infiltrer dans le téléphone : l’envoi d’un lien malveillant sur lequel la victime devait cliquer. Mais depuis trois ans, il permet une attaque dite « zéro clic », c’est-à-dire un piratage qui ne nécessite aucune interaction avec la personne ciblée.
REDIRECTIONS ET ADRESSES SUSPECTES
Si cette attaque passe complètement inaperçue auprès de l’utilisateur, elle laisse des traces dans le téléphone. Les premières trouvées par Amnesty International sont des redirections vers des noms de domaine frauduleux. Ainsi, l’analyse du portable d’une des victimes, l’historien marocain Maati Monjib, fait apparaître en 2019 des traces de redirection vers l’url « https://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz » (l’adresse est volontairement modifiée avec deux crochets pour ne pas vous rediriger accidentellement vers ces liens). En tout, l’organisme relève dans un dossier accessible librement plus de 1.400 adresses malveillantes, ressemblant souvent à de vrais noms de site web. Parmi celles-ci, deux noms de domaines reviennent fréquemment et sont donc à surveiller : free247downloads[.]com et urlpush[.]net
À LIRE AUSSI : Projet Pegasus : un pas de plus vers un espionnage de masse ?
Ces redirections ne s’activent pas uniquement sur les moteurs de recherche, mais aussi via des applications. L’analyse du portable du journaliste marocain Omar Radi, autre cible du logiciel, montre qu’il a été amené vers un lien depuis l’application Twitter. Toutefois ces liens ne sont pas toujours visibles dans l’historique. Le logiciel passe aussi par des adresses intermédiaires avant d’amener à « free247 » ou à « urlpush ». Or le moteur de recherche n’enregistre pas la chaine entière de redirections. Les liens intermédiaires documentpro[.]org, tahmilmilafate[.]com et baramije[.]net sont les plus récurrents.
« BRIDGEHEAD » ET LES AUTRES PROCESSUS À IDENTIFIER
Un autre indice permet de détecter directement sur le téléphone des traces du logiciel malveillant. Amnesty International soupçonne un processus – un ensemble d’instructions exécutées par l’ordinateur pour faire marcher un programme – baptisé « BridgeHead », apparaissant sous le code « bh », d’être le premier mouchard du logiciel espion Pegasus à s’installer dans le téléphone. Il apparait dans les deux fichiers de base de données de l’iPhone : « DataUsage.sqlite » et « netusage.sqlite ». Mais l’accès à ces bases de données n’est pas chose aisée. Il faudra certainement faire appel à un professionnel, à moins d’avoir des bases en codage et avoir accès à des logiciels dédiés.
À LIRE AUSSI : Cybersécurité : en Israël, la firme NSO accusée de faire du “profit au détriment des droits de l’homme”
Cependant, BridgeHead n’est qu’une première étape dans l’infection de votre téléphone. Plusieurs autres processus s’ajoutent pour espionner vos photos via iOS Photos ou Photostream et vos musiques sur Apple Music. On trouve notamment « roleaboutd », « msgacntd » ou les processus « pcsd » et « fmld », apparus en 2018. Enfin, Amnesty note que la plupart des noms de processus Pegasus semblent calquer les noms de processus de base de l’iOS pour se faire passer pour des logiciels authentiques, ce qui les rend plus difficiles à détecter.
UN LOGICIEL DE VÉRIFICATION PRÊT À L’USAGE
Afin de vous épargner toutes ces démarches, Amnesty International a mis à disposition un outil pour analyser les données des appareils Android et les enregistrements des sauvegardes iOS : Mobile Verification Toolkit (MVT). Il requiert le téléchargement et l’installation plusieurs outils. Si son insallation peut en effrayer certains, ce logiciel a l’avantage de direvtement détecter le SMS à l’origine de l’espionnage, ainsi que les autres vecteurs d’attaque informatique.
À LIRE AUSSI : Cyberattaques contre le Cned : « quasiment impossible de trouver leur source »
