« Pegasus », l’arme d’une firme israélienne fantôme qui fait trembler Apple

Apple vient de corriger en urgence de graves failles de sécurité sur iOS. Un logiciel espion, vendu par une entreprise de surveillance israélienne, les exploite pour transformer les iPhone en mouchards.


Inutile de chercher leur site internet, vous ne le trouverez pas. NSO Group a beau avoir le pouvoir de faire trembler Apple, la firme israélienne tient à sa discrétion. « Un fantôme absolu », disait en 2013 Omri Lavie, l’un de ses trois fondateurs.

Et pour cause, son business est la surveillance. Sa clientèle : des Etats. Ses produits : des mouchards capables d’écouter et de voir ce qui se passe sur un ordinateur ou un téléphone en demeurant indétectables. Jusqu’à maintenant.

Jeudi 25 août, Apple a appelé tous ses utilisateurs à installer une mise à jour développée en urgence pour des raisons de sécurité. Dix jours auparavant, des experts en cybersécurité alertaient l’entreprise : son système d’exploitation iOS était percé de failles jusque-là inconnues, utilisées par le produit phare de NSO Group, « Pegasus », pour pomper messages, appels, photos et contacts sur des téléphones.

Un SMS suspect envoyé à Emirati

C’est Citizen Lab, laboratoire rattaché à l’université de Toronto qui travaille de longue date sur les logiciels de surveillance, qui a remonté la piste. Dans un compte-rendu étoffé, les chercheurs expliquent avoir été contactés par Ahmed Mansoor, une figure du militantisme pro droits de l’homme aux Emirats Arabe Unis (EAU).

Déjà visé par des cyberattaques, ce dernier s’est méfié d’un même SMS reçu sur son iPhone, les 10 et 11 août derniers. Ce message promettait de révéler « de nouveaux secrets » sur la situation des détenus des prisons émiraties, et proposait à Mansoor de cliquer sur un lien pour y accéder.

Le SMS reçu par Ahmed Mansour, et transmis à Citizen Labs
Le SMS reçu par Ahmed Mansour, et transmis à Citizen Labs - Ahmed Mansour / Citizen Labs
En testant ce lien sur un de ses iPhone, Citizen Lab a pu observer l’attaque en direct, ce qui lui a permis de trouver plusieurs éléments (noms de domaines, mots-clés, adresse...) rattachés à l’infrastructure de NSO Group.

A en croire les chercheurs, c’était la première fois que Pegasus pouvait être disséqué en action. Jusque-là, précisent-ils, le logiciel faisait surtout l’objet de « rumeurs, de conjectures et de déclarations invérifiables ».

SMS, Gmail, Facebook... visés

Leurs découvertes sont à la hauteur de la réputation du programme. Cliquer sur le lien du SMS a provoqué l’activation d’un logiciel malveillant, qui a silencieusement transformé le téléphone en mouchard.

Sans que l’utilisateur s’en rende compte (tout juste voit-il que le navigateur plante une fois ouvert, comme cela arrive parfois), ce logiciel va exploiter trois failles jusque là non détectées par Apple – on parle de  « zero-days » car la firme visée par ces vulnérabilités doit les réparer sans délai une fois celles-ci découvertes. Il va ainsi :

Débloquer l’iPhone pour modifier son système hors du périmètre autorisé par Apple (on parle aussi de jailbraking, utilisé par exemple pour installer des apps non autorisées).
 
Modifier les apps installées avec du code malveillant, par exemple en les liant à un service qui permet d’écouter les conversations téléphoniques.
 
Activer le micro ou la caméra du téléphone.
L’entreprise de sécurité informatique Lookout, à qui Citizen Lab a transmis ses découvertes, écrit dans son rapport [PDF] que ce piratage peut « lire et exfiltrer les messages, appels, e-mails, identifiants, et bien plus » à partir d’apps comme iMessage, Gmail, Facetime, Facebook, Calendar, WhastApp, Viber, Skype, Telegram. La liste, précise l’entreprise, n’a rien d’exhaustif.

Mécanisme d’auto-destruction

Cette collecte d’information, poursuit Lookout, « est l’une des plus complètes et exhaustives que nous ayons observée dans un logiciel espion ».

Le logo d'Apple, le 13 juin 2016
Le logo d’Apple, le 13 juin 2016 - GABRIELLE LURIE/AFP
D’autant plus redoutable qu’elle n’aurait probalement pas pu être observée si le militant emirati avait cliqué sur le lien infecté. Citizen Lab dit en effet être déjà tombé sur des liens similaires, sans pouvoir en tirer grand chose. Selon les chercheurs, les prestataires de ces attaques « préfèrent désactiver de tels liens après un unique clic, ou après une courte période de temps », probablement pour éviter de se faire repérer.

Une hypothèse que tend à confirmer une autre perle trouvée dans l’iPhone infecté par Pegasus : un mécanisme « hautement sensible » d’auto-destruction, qui supprime les traces du logiciel malveillant quand ce dernier risque d’être repéré, détaille encore Lookout.

WikiLeaks et Hacking Team

Ces précautions ont porté leurs fruits : les pratiques du NSO Group sont passées relativement inaperçues jusqu’ici.

Citizen Lab dit n’avoir observé des attaques similaires à celle lancée contre Mansour qu’au Mexique et au Kenya, en 2015. Dans le premier cas, des journalistes étaient visés. Dans l’autre, il semblerait que ce soit l’opposition.

Ironie de l’histoire, c’est grâce à la fuite des e-mails de Hacking Team, une entreprise italienne concurrente, que les experts en sécurité informatique ont pu, avant de les observer directement, en savoir plus sur les promesses faites par NSO Group à ses clients.

Extrait de la brochure placée en pièce jointe des emails de Hackin Team, révélés par WikiLeaks 
Extrait de la brochure placée en pièce jointe des emails de Hackin Team, révélés par WikiLeaks - WikiLeaks/Citizen Lab
Dans l’un des nombreux échanges dévoilés par WikiLeaks en 2015, un employé américain de Hacking Team demande à un potentiel revendeur mexicain de lui transmettre « la proposition technique de NSO afin de [lui] proposer une offre compétitive ».

La brochure (aujourd’hui inaccessible) renvoyée par l’interlocuteur de Hacking Team, éditée fin 2013, décrit déjà par le menu l’attaque menée contre le dissident emirati.

Le marché des armes de surveillance

NSO Group fait donc son beurre en vendant des programmes capables de surveiller des gens via les failles d’appareils grand public tels que l’iPhone. A l’heure où les élus de nombreux pays (comme en France) veulent taper sur les méchants pirates qui repèrent et s’enrichissent sur des bugs sans les signaler (ou « black hats »), l’affaire laisse songeur : en quoi peut-elle bien être légale ?

La réponse est simple : elle appartient officiellement à la petite famille des entreprises de surveillance. A la manière d’Amesys ou de Thales en France, NSO Group a reçu la bénédiction de son pays d’origine pour mener ses petites affaires.

En 2011, WikiLeaks révélait le business de ces marchands d’armes électroniques, estimé à cinq milliards de dollars. A priori, les démocraties veillent à ne pas exporter ce genre de produits chez n’importe qui. Un accord (l’arrangement de Wassenaar), signé notamment par la France, définit ces règles.

Sans l’avoir ratifié, Israël assure s’être aligné sur les exigences de l’arrangement. C’est pourquoi, interpellé par le New York Times, le porte-parole du NSO Group assure que son employeur « ne vend qu’aux agences gouvernementales autorisées, et se soumet pleinement aux lois et régulations de contrôle des exportations ». Et ajoute que tout cela ne se fait que « de manière légale ».

Des centaines d’employés

Pas facile de gratter au-delà de ce vernis relations publiques. Dans la mesure où ce qui est légal ou non peut différer d’un pays à un autre, vendre un outil de surveillance à un régime qui espionne ses dissidents politiques a tôt fait de faire des vagues dans les démocraties. Les fleurons de ce marché très particulier ont donc tout intérêt à se faire discrets.

Surtout depuis les déconvenues récentes enregistrées par Amesys, accusée d’avoir vendu des technologies de surveillances à la Libye de Kadhafi dès 2007.

Extrait d'une brochure de 2013 éditée par le gouvernement israélien pour le Japon
Extrait d’une brochure de 2013 éditée par le gouvernement israélien pour le Japon - Capture d’écran
Malgré son cœur de métier, NSO Group est donc peu présent en ligne. Pas de site, plus de groupe Facebook, et une maigre page Linkedin qui permet tout de même de se rendre compte que la firme israélienne n’a rien d’un gringalet, avec ses centaines d’employés.

Néanmoins, l’activité marketing de l’entreprise la trahit parfois, et le Web recrache de vieilles brochures : ici [PDF] l’annonce d’une démonstration de cyberattaque via Pegasus à un salon de Brasilia, en 2011 ; là [PDF], la publicité en image pour ce même logiciel au milieu d’une revue à destination du Japon, éditée par les ministères de la Défense et de l’Economie israéliens.

Grosse montre, yacht et entreprises

A priori, l’entreprise ne se porte pas mal puisqu’elle a vendu pour 120 millions de dollars une majorité de ses actions à Francisco Partners Management, une boîte californienne. C’était en 2014 et, là encore, le ministère de la Défense israélien a donné son feu vert.

Les déplacements de Shalev Hulio, signalés sur Facebook de 2010 à aujourd'hui
Les déplacements de Shalev Hulio, signalés sur Facebook de 2010 à aujourd’hui - Capture d’écran
Côté clientèle, ça marche aussi : selon l’une des enquêtes les plus complètes sur NSO Group, publiée en 2012 par le quotidien israélien Calcalist, l’entreprise a bouclé un deal de 12 millions de dollars avec le Mexique. Et s’apprêtait alors à signer « au moins deux autres contrats avec les autorités de deux pays asiatiques ».

Les voyages de Shalev Hulio, l’un des créateurs de la firme que Calcalist présente comme le VRP de luxe de Pegasus, tendent à confirmer ce marché. Discret mais néanmoins adepte de Foursquare et Facebook, Shalev Hulio fait état ces dernières années de plusieurs voyages au Mexique, au Kenya, en Corée du Sud ou en Thaïlande.

Extrait du compte Facebook d'Omar Lavie
Extrait du compte Facebook d’Omar Lavie - Capture d’écran
Plus bling-bling, Omar Lavie, l’autre homme fort de NSO Group est à la tête du développement de l’entreprise en Amérique du Nord, et finance aussi plusieurs start-up israéliennes. Outre sa grosse montre, son yacht et ses entreprises, l’homme a aussi l’esprit taquin : le jour de sa publication, il partageait sur sa page Facebook l’enquête à charge de Calcalist.
Dimanche 28 Août 2016
Dakaractu




Dans la même rubrique :