{"id":18515,"date":"2022-02-08T16:49:42","date_gmt":"2022-02-08T14:49:42","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18515"},"modified":"2022-02-08T16:49:42","modified_gmt":"2022-02-08T14:49:42","slug":"how-to-protect-from-pegasus-spyware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-from-pegasus-spyware\/18515\/","title":{"rendered":"Pegasus, Chrysaor et autres malwares mobiles d’APT : comment vous prot\u00e9ger"},"content":{"rendered":"

Il s\u2019agit certainement de l\u2019histoire la plus marquante de 2021 : une \u00e9tude publi\u00e9e en juillet par le Guardian et 16 autres organisations m\u00e9diatiques a laiss\u00e9 entendre que plus de 30 000 militants des droits de l\u2019homme, journalistes et avocats partout dans le monde auraient \u00e9t\u00e9 victimes de Pegasus. Pegasus, est un \u00ab\u00a0programme l\u00e9gal de surveillance\u00a0\u00bb d\u00e9velopp\u00e9 par l\u2019entreprise isra\u00e9lienne NSO. Selon ce rapport, intitul\u00e9 Pegasus Project<\/a> (Projet Pegasus), le malware a \u00e9t\u00e9 largement d\u00e9ploy\u00e9 gr\u00e2ce \u00e0 plusieurs exploits, dont plusieurs attaques sans clic et zero-day sous iOS.<\/p>\n

Selon l\u2019analyse m\u00e9dico-l\u00e9gale de plusieurs dispositifs mobiles, le laboratoire de s\u00e9curit\u00e9 d\u2019Amnesty International a d\u00e9couvert que le programme \u00e9tait souvent utilis\u00e9 de mani\u00e8re abusive \u00e0 des fins d\u2019espionnage. La liste des individus pris pour cible comprend 14 dirigeants politiques et de nombreux activistes, militants des droits de l\u2019homme, dissidents et opposants.<\/p>\n

Un peu plus tard en juillet, les repr\u00e9sentants du gouvernement isra\u00e9lien se sont rendus au si\u00e8ge de NSO<\/a> dans le cadre d\u2019une enqu\u00eate sur ces plaintes. En octobre, la Cour supr\u00eame de l\u2019Inde a demand\u00e9 \u00e0 un comit\u00e9 technique d\u2019enqu\u00eater sur l\u2019utilisation de Pegasus<\/a> pour espionnage de ses citoyens. En novembre, Apple a annonc\u00e9 avoir intent\u00e9 une action en justice contre NSO Group<\/a> pour avoir d\u00e9velopp\u00e9 un programme, avec un \u00ab\u00a0programme malveillant et un logiciel espion\u00a0\u00bb, qui prend ses utilisateurs pour cible. Enfin et surtout, Reuters a publi\u00e9 en d\u00e9cembre que les t\u00e9l\u00e9phones du D\u00e9partement d\u2019\u00c9tat am\u00e9ricain ont \u00e9t\u00e9 pirat\u00e9s<\/a> par le logiciel malveillant Pegasus de NSO, comme Apple l\u2019avait dit.<\/p>\n

Ces derniers mois, de nombreux utilisateurs inquiets des quatre coins du monde m\u2019ont demand\u00e9 comment prot\u00e9ger leurs dispositifs mobiles de Pegasus et d\u2019autres outils et logiciels malveillants similaires. C\u2019est ce dont je vais vous parler dans cet article, tout en soulignant qu\u2019aucune technique de d\u00e9fense n\u2019est superflue. De plus, les cybercriminels changent r\u00e9guli\u00e8rement de mode op\u00e9ratoire et les m\u00e9thodes de protection doivent \u00eatre adapt\u00e9es.<\/p>\n

Comment vous prot\u00e9ger de Pegasus et d\u2019autres logiciels espions avanc\u00e9s pour mobiles<\/h2>\n

Nous devrions avant tout rappeler que Pegasus est un toolkit vendu aux <\/strong>\u00c9tats-nations \u00e0 des prix relativement \u00e9lev\u00e9s<\/strong>. Le co\u00fbt d\u2019un d\u00e9ploiement complet peut facilement s\u2019\u00e9lever \u00e0 des millions de dollars. De m\u00eame, d\u2019autres malwares mobiles d\u2019APT peuvent \u00eatre d\u00e9ploy\u00e9s gr\u00e2ce \u00e0 des exploits sans clic et zero-day. Ces derniers co\u00fbtent extr\u00eamement chers. Zerodium est un tr\u00e8s bon exemple puisqu\u2019une soci\u00e9t\u00e9 de courtage d\u2019exploits a pay\u00e9 2,5 millions de dollars pour une cha\u00eene d\u2019infection sans clic persistante sous Android\u00a0:<\/p>\n

\"Dans<\/p>\n

D\u2019embl\u00e9e, nous en tirons une conclusion importante : si l\u2019espionnage informatique est financ\u00e9 par les \u00c9tats-nations, alors il dispose de vastes ressources. Lorsque l\u2019acteur d\u2019une menace peut d\u00e9penser des millions, voire des dizaines ou des centaines de millions de dollars dans des programmes d\u2019attaque, il est peu probable que la cible puisse \u00e9viter l\u2019infection. En d\u2019autres termes, si un acteur de cette envergure peut s\u2019en prendre \u00e0 vous, il ne s\u2019agit pas de savoir si \u00ab\u00a0vous serez infect\u00e9\u00a0\u00bb ; ce n\u2019est qu\u2019une question de temps et de ressources avant que l\u2019infection ne vous atteigne<\/strong>.<\/p>\n

Nous avons tout de m\u00eame de bonnes nouvelles. Le d\u00e9veloppement de l\u2019exploit et la guerre de l\u2019information tiennent plus de l\u2019art que de la science. Les exploits doivent \u00eatre adapt\u00e9s aux versions iOS et au mat\u00e9riel informatique, ce qui peut facilement \u00eatre d\u00e9jou\u00e9 avec la sortie d\u2019un nouveau syst\u00e8me d\u2019exploitation, de nouvelles techniques d\u2019att\u00e9nuation ou m\u00eame de petits \u00e9v\u00e9nements, comme ceux impr\u00e9vus.<\/p>\n

Cela \u00e9tant dit, l\u2019infection et le choix de l\u2019objectif d\u00e9pendent aussi du co\u00fbt et d\u2019\u00e9tablir \u00e0 quel point l\u2019attaque est difficile \u00e0 r\u00e9aliser. M\u00eame si nous ne pouvons pas toujours emp\u00eacher une exploitation et une infection r\u00e9ussies du dispositif mobile pris pour cible, nous pouvons essayer de rendre la t\u00e2che aussi complexe que possible.<\/p>\n

Comment le faire en pratique\u00a0? Voici quelques points assez simples.<\/p>\n

Comment vous prot\u00e9ger d\u2019un logiciel espion avanc\u00e9 sous iOS<\/h3>\n

Red\u00e9marrez tous les jours<\/strong>. Selon une recherche d\u2019Amnesty International and Citizen Lab, la cha\u00eene d\u2019infection Pegasus d\u00e9pend souvent d\u2019une vuln\u00e9rabilit\u00e9 sans clic et zero-day non persistante, ce qui signifie qu\u2019un red\u00e9marrage r\u00e9gulier permet de nettoyer le dispositif. Si l\u2019appareil est red\u00e9marr\u00e9 tous les jours, les cybercriminels doivent l\u2019infecter encore et encore. La probabilit\u00e9 de d\u00e9tection augmente avec le temps puisqu\u2019il pourrait y avoir un bug, ou l\u2019objet pourrait \u00eatre enregistr\u00e9 et r\u00e9v\u00e9ler la nature furtive de l\u2019infection. \u00c0 vrai dire, il ne s\u2019agit pas d\u2019une simple th\u00e9orie\u00a0; nous l\u2019avons mis en pratique. Nous avons analys\u00e9 un cas au cours duquel un dispositif mobile a \u00e9t\u00e9 pris pour cible via un exploit sans clic (FORCEDENTRY de toute \u00e9vidence). Le propri\u00e9taire de l\u2019appareil l\u2019a red\u00e9marr\u00e9 r\u00e9guli\u00e8rement et l\u2019a fait dans les 24 heures suivant l\u2019attaque. Les cybercriminels ont essay\u00e9 de s\u2019en prendre \u00e0 lui plusieurs fois, mais ont abandonn\u00e9 apr\u00e8s avoir \u00e9t\u00e9 expuls\u00e9s plusieurs fois apr\u00e8s un red\u00e9marrage.<\/p>\n

NoReboot : un faux red\u00e9marrage pour s\u2019installer dans le syst\u00e8me<\/a><\/p><\/blockquote>\n