Malware Pegasus : un simple appel WhatsApp peut vous infecter !

Plusieurs médias ont mis la main sur une liste de noms de personnes qui seraient sous la surveillance du logiciel « Pegasus ». Et ce sont loin d’être tous les criminels de guerre.

Sur Internet et nos téléphones, nous sommes constamment suivis par les cookies et les autorisations que nous donnons aux applications que nous installons. Le but de tout ça n’est pas un secret : cibler des publicités par rapport à nos envies et nos passions. Après tout, l’être humain de notre siècle n’est-il pas avant tout un porte-monnaie ? C’est intrusif, certes, mais tout le monde le sait.

L’espionnage de la vie privée des citoyens prend pourtant parfois des dimensions plus insidieuses, comme l’avait révélé Edward Snowden en 2013 en annonçant que l’agence américaine de sécurité nationale (NSA), tout comme celle du Royaume Uni, avait mis en place des services de surveillance de masse sans avoir à en justifier le choix des cibles.

Aujourd’hui, c’est un nouveau scandale qui éclabousse le monde de la cyber surveillance et elle porte sur un programme appelé Pegasus. Qu’en pense Snowden ? Comme il le dit sur son compte Twitter, ça va être « L’histoire de l’année » !

Pegasus : les ailes de l’enfer

Une enquête menée conjointement par le Guardian et 16 organisations médiatiques met en lumière que plus de 50 000 personnes (militants, journalistes, avocats…) auraient été potentiellement mis sous surveillance par le logiciel Pegasus. Ce logiciel de piratage est développé et vendu par la société israélienne NSO Group et fonctionne comme un malware.

Grâce aux failles de sécurité des logiciels de messagerie, Pegasus peut s’implanter sur les smartphones sans même que la cible ait à cliquer sur un lien. Il suffirait de recevoir un appel WhatsApp, sans même y répondre ! Réputé comme étant un des services les plus sécurisés du marché, même iMessage présent sur les iPhone peut être pénétré par le malware.

Une fois insidieusement installé sur un smartphone, Pegasus permet d’accéder à tout ! SMS, e-mails, discussions WhatsApp et iMessage, vos photos et vidéos, votre GPS, vos contacts, votre historique d’appel et votre calendrier sont à la portée du client. Encore plus fort, il peut activer votre micro ou votre caméra. On nage en plein James Bond.

Comme à chaque fois, ce genre de programme de surveillance est toujours au départ lancé pour lutter contre le terrorisme et la criminalité. Et comme à chaque fois, la dérive fait froid dans le dos.

Quand la lutte se trompe de direction

L’enquête se base en effet sur la fuite d’une liste de 50 000 noms de personnes qui auraient pu être des cibles de Pegasus sur les cinq dernières années.
L’enquête se base  sur la fuite d’une liste de 50 000 noms de personnes qui auraient pu être des cibles de Pegasus sur les cinq dernières années.

L’enquête se base en effet sur la fuite d’une liste de 50 000 noms de personnes qui auraient pu être des cibles de Pegasus sur les cinq dernières années. Forbidden Stories, une organisation médiatique à but non lucratif parisienne, et Amnesty International ont initialement eu accès à la liste sur laquelle on ne peut pas dire que l’on ne trouve que des noms de terroristes, bien au contraire.

Des militants des droits humains, des journalistes, des avocats, des centaines de dirigeants d’entreprise, des personnalités religieuses, des universitaires, des employés d’ONG, des représentants syndicaux et de gouvernements, y compris des ministres, des présidents et des premiers ministres y ont en effet une place de choix. Un chef d’État aurait même mis sur écoute une grande partie des membres de sa famille. La confiance règne !

La présence d’un nom sur la liste n’en signifie pas pour autant que le smartphone de la personne a été infecté et on pourrait presque parler de fake news si les preuves n’étaient pas corrélées scientifiquement.

Une analyse médico-légale a donc été menée sur un échantillon de téléphones dont les numéros figuraient sur la liste. Plus de la moitié comprenaient des traces du logiciel espion Pegasus. Le dossier semble donc solide et devrait s’épaissir de preuves tangibles dans les jours à venir.

Les premières révélations confirment la présence des noms de plus de 180 journalistes et rédacteurs en chef du Financial Times, de CNN, du New York Times, de France 24, de The Economist, d’Associated Press et de Reuters. Edwy Plenel de Mediapart et le chroniqueur Eric Zemmour apparaissent sur la liste.

Là où les choses se compliquent, c’est que l’on trouve par exemple sur la liste le numéro du journaliste mexicain Cecilio Pineda Birto, assassiné quelques semaines après qu’un client ait demandé à NSO de lui vendre sa technologie pour infecter son téléphone. Un accès à son GPS aurait pu en faciliter son assassinat. Ce détail troublant le restera néanmoins jusqu’au bout puisque le smartphone du Mexicain n’a jamais été retrouvé.

Le Mexique est d’ailleurs le pays le plus présent sur la liste avec plus de 15 000 demandes, devant le Maroc et les Émirats arabes unis avec chacun plus de 10 000 demandes. Dans les autres gouvernements très demandeurs, nous trouvons également l’Azerbaïdjan, le Bahreïn, le Kazakhstan, le Rwanda, l’Arabie saoudite, la Hongrie et l’Inde.

NSO : parole à la défense

Sur son site internet, la société NSO nie ce qu’elle appelle de fausses accusations dans une enquête qu’elle juge « bourrée de suppositions erronées et de théories non corroborées, les sources ayant fourni des informations qui n’ont aucune base factuelle ». Les traces du logiciel Pegasus dans les téléphones des ciblés de la liste semblent pourtant pour certaines bien réelles.

NSO a publié le mois dernier un rapport de transparence dans lequel elle affirmait avoir une approche de pointe concernant les droits de l’homme, présentant même des extraits de contrats dans lesquels les clients stipulaient que l’utilisation du logiciel ne se ferait que dans le cadre d’une enquête criminelle ou une affaire de sécurité nationale.

On souhaite bon courage aux attachés de presse de la société israélienne qui risquent d’avoir un peu de travail dans les prochains jours.