Dans un rapport publié le 18 septembre, Citizen Lab a déclaré avoir détecté Pegasus, un logiciel espion créé pour les dispositifs mobiles, dans plus de 45 pays. D’après le rapport, il semblerait que Pegasus, un logiciel espion qui transforme un téléphone portable en dispositif de surveillance mobile, aurait été déployé contre plusieurs journalistes et acteurs de la société civile au Mexique, en Arabie saoudite, à Bahreïn, au Maroc, au Togo, en Israël, aux États-Unis et dans les Émirats arabes unis.
Les chercheurs ont identifié plusieurs grandes campagnes Pegasus, notamment une campagne contre les journalistes d’investigation au Mexique et une autre contre les défenseurs des droits de l’homme en Arabie saoudite. La présence du logiciel espion dans 45 pays a des implications importantes pour les journalistes, tant pour leur sécurité personnelle que pour la sécurité de leurs sources.
Le logiciel espion donne à l’attaquant la possibilité de suivre, d’enregistrer et de recueillir des données existantes et futures à partir du téléphone mobile. Notamment les appels et les informations provenant des applications de messagerie et des données de localisation en temps réel. Le logiciel espion est capable d’activer la caméra et le microphone à distance, afin de surveiller la personne ciblée et son environnement.
Pegasus est conçu pour être installé sur des téléphones mobiles qui utilisent Android, BlackBerry OS, et iOS, sans alerter la personne ciblée de sa présence. Les journalistes ne s’apercevront probablement pas que leur téléphone a été infecté à moins de le faire vérifier par un expert technique.
Pegasus peut être installé de plusieurs façons. Les journalistes devraient en être conscients et prendre les mesures nécessaires pour se protéger et pour protéger leurs sources.
Attaques de spear phishing (harponnage)
Les attaquants créent des messages d’hameçonnage personnalisés qu’ils envoient à un journaliste spécifique. Ces messages suscitent un sentiment d’urgence et contiennent un lien ou un document sur lequel le journaliste est invité à cliquer. Ces messages prennent des formes diverses, SMS, courriels, ou messages envoyés au travers d’applications de messagerie telles que WhatsApp ou via des messages sur les plateformes de réseaux sociaux. Une fois que le journaliste a cliqué sur le lien, le logiciel espion s’installe sur son téléphone.
La recherche menée par Citizen Lab et Amnesty International a permis de constater que les messages ont tendance à prendre les formes suivantes :
- Des messages prétendument envoyés par une organisation connue telle qu’une ambassade ou une organisation de la presse locale
- Des messages avertissant la personne ciblée qu’elle pourrait être confrontée à une menace immédiate à la sécurité
- Des messages faisant allusion à n’importe quelle question liée au travail, comme la couverture d’un événement faisant habituellement l’objet de rapports établis par la personne ciblée
- Des messages qui se réfèrent à des affaires personnelles, telles que des photos compromettantes de partenaires
- Des messages financiers qui mentionnent des achats, des cartes de crédit, ou des coordonnées bancaires
Ces messages suspects peuvent également émaner de numéros inconnus.
Les attaquants peuvent cibler les téléphones personnels ou à usage professionnel. Pour mieux se protéger et protéger leurs sources, les journalistes devraient :
- Vérifier le lien avec l’émetteur au travers d’un autre canal de communication. De préférence à l’aide d’une vidéo ou de la voix
- Si vous ne connaissez pas déjà l’émetteur, les canaux secondaires ne vous permettront peut-être pas de vérifier les liens, dans la mesure où les canaux secondaires peuvent être mis en place par l’adversaire dans le cadre d’une stratégie complexe de dissimulation d’identité
- Si le lien utilise un service de raccourcissement d’url comme TinyURL ou Bitly, entrez le lien dans un service d’allongeur d’URL comme Link Expander ou URLEX. Si le lien rallongé paraît suspect, par exemple s’il imite un site web de presse locale mais avec une apparence légèrement différente, ne cliquez pas sur lien et transmettez-le à phishtank@cpj.org
- Si vous estimez devoir cliquer sur le lien, n’utilisez pas votre dispositif principal. Cliquez sur le lien à l’aide d’un dispositif distinct, secondaire qui ne contient pas d’informations sensibles ni de coordonnées de contact, et qui sert uniquement à visualiser les liens. Rétablissez régulièrement la configuration d’usine du dispositif (en étant conscient du fait que cette démarche ne supprimera pas forcément le logiciel espion). Éteignez le dispositif secondaire et enlevez la batterie, lorsque vous ne vous en servez pas
- N’utilisez pas un navigateur par défaut pour le téléphone. Il semblerait que Pegasus cible les navigateurs par défaut. Le navigateur par défaut pour Android est Chrome et le navigateur par défaut pour iOS est Safari. Utilisez un autre navigateur comme Firefox Focus et cliquez sur le lien dans ce navigateur. Toutefois, rien ne garantit que Pegasus ne va pas cibler ou n’a pas déjà ciblé d’autres navigateurs
Installé physiquement par un adversaire
Pegasus peut également être installé sur votre téléphone portable si un adversaire trouve le moyen de mettre la main sur votre appareil. Pour réduire ce risque :
- Ne laissez pas votre dispositif sans surveillance et évitez de passer votre téléphone à d’autres personnes
- Lorsque vous traversez la frontière ou un poste de contrôle, assurez-vous de pouvoir voir votre téléphone en tout temps. Éteignez votre téléphone avant d’arriver au poste de contrôle, et ayez un mot de passe complexe contenant des lettres et des nombres. Soyez conscient du fait que si l’on prend votre téléphone, il peut être compromis
Si vous pensez que votre téléphone est infecté par Pegasus, cessez de l’utiliser immédiatement et achetez un nouveau téléphone. Laissez le dispositif suspect dans un endroit qui ne vous compromet pas, et ne compromet pas votre environnement. Si vous avez accès à l’assistance technique par le biais d’une organisation médiatique, contactez-la immédiatement pour obtenir de l’aide. Si vous êtes un journaliste indépendant ou un journaliste qui n’a pas accès à l’assistance technique, contactez l’Access Now Helpline.
Le CPJ travaille avec nos partenaires pour essayer de cerner l’étendue de la menace que Pegasus fait peser sur les journalistes. Si vous avez reçu un message suspect et que vous croyez avoir été ciblé par Pegasus, veuillez transmettre le message à phishtank@cpj.org. Cette information sera traitée en toute confidentialité.
Pour plus de renseignements sur la sécurité des technologies de l’information, nous encourageons les journalistes à consulter le chapitre du guide de sécurité des journalistes du CPJ intitulé Sécurité des technologies de l’information et à lire les informations sur la sécurité numérique incluses dans notre Centre de ressources.
Nous remercions le Citizen Lab pour ces renseignements précieux.