Une compagnie privée doit-elle mettre ses compétences à la disposition de gouvernements et d’officines peu recommandables. C’est la question que tout le monde se pose depuis la récente attaque Pegasus.

Le 10 août dernier, il s’est passé une drôle de chose sur la toile. Ce jour-là, un activiste du nom d’Ahmed Mansoor, bien connu aux Emirats Arabes Unis, pour ses prises de positions en faveur du respect des droits civils dans ce pays, a été l’objet d’une attaque très curieuse, mais qualifiée d’hautement sophistiquée par les experts. Il a reçu quelques SMS apparemment anodins sur son iPhone, qui lui promettaient des informations concernant des détenus torturés par le régime des Emirats. Méfiant, car ce n’est pas la première fois que ce genre de proposition lui est faite, il s’est contenté d’alerter les chercheurs de Citizen Lab, un laboratoire interdisciplinaire à la « Munk School of Global Affairs » de l’Université de Toronto, situé à l’intersection des technologies de communication, des droits de l’homme et de la sécurité.

Ceux-ci ont eu vite fait de démontrer que le lien attaché aux SMS, les menait directement à des exploits « zero day », liés à une faille iOS dite « Trident », dont la finalité était d’installer un malware sur l’iPhone de Mansoor et de le « jailbreaker ». Malware dénommé Pegasus.

A la limite, Mansoor n’a pas été étonné, car il en est à sa troisième attaque, après le spyware FinFisher et les outils de la Hacking Team.

Ce qui est plus inquiétant, c’est que cette fois, c’est une compagnie israélienne qui est derrière l’attaque, NSO Group, fondée par Omri Lavie et installée à Tel-Aviv. C’est elle qui a « fabriqué » le malware Pegasus, dont l’objet une fois installé sur l’iPhone de la victime, est d’aspirer tout ce qui est véhiculé par iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram et Skype. Ainsi que les « credentials » du client, ses mots de passe Wi-Fi par exemple.

Selon Citizen Lab, NSO est une officine qui offre ses services à divers gouvernements, à des agences de renseignements, dont le point commun n’est pas d’être obsédés par le respect des droits de l’homme.

NSO Group n’en est d’ailleurs pas à son coup d’essai, cette compagnie étant à l’origine d’attaques contre le journaliste mexicain Rafael Cabrera, connu pour ses enquêtes sur la corruption en Amérique Latine et diverses cibles au Kenya, dont on ne connaît pas le détail.

Tout ce que l’on sait, c’est que NSO Group a réservé des noms de domaines dans de nombreux pays, comme la Turquie, le Qatar, le Nigeria, l’Ouzbékistan, le Maroc, le Yemen, l’Arabie Saoudite, le Barein, etc, de manière à pouvoir lancer des introspections ciblées à l’aide de son désormais fameux Pegasus. Sans pouvoir pour l’instant  faire des liens très précis avec des attaques connues.

Le SMS reçu par Ahmed Mansoor, l’incitait à cliquer sur un lien destiné à télécharger le malware Pegasus de jailbreaking, très sophistiqué et fondé sur plusieurs failles « zero day ».
Un nouveau métier

Ce qui est étonnant dans cette affaire, c’est d’abord que des gouvernements puissent faire appel à NSO Group et à ses compétences, en toute tranquillité et angélisme, mais surtout que NSO Group se rend complice dans les faits, d’attaques contre des activistes défenseurs des droits de l’homme, sans états d’âmes. Il est vrai qu’ils ne sont pas les seuls.

Ce qui est sûr, c’est que désormais, NSO Group ne pourra plus compter sur l’anonymat dont il s’est jalousement entouré jusqu’à présent. Désormais, il est en pleine lumière.

A noter enfin, côté technique, qu’Apple, informé sur les faiblesses de son iOS, a immédiatement réagi en corrigeant les failles incriminées.