Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Pegasus, l'un des logiciels espions les plus sophistiqués a été détecté sur Android,
Google recommande cinq conseils de base pour s'en prémunir

Le , par Olivier Famien, Chroniqueur Actualités
Depuis les révélations de Snowden sur les campagnes d’espionnage menées par les gouvernements américains, les entreprises se tournent de plus en plus vers les outils de chiffrement pour renforcer la sécurité de leurs équipements et éviter ainsi des fuites de données. Depuis l’adoption de plus en plus généralisée de ces outils, deux groupes s’affrontent ouvertement avec les défenseurs qui mettent en avant la sécurité et la vie privée des utilisateurs et les détracteurs qui soulignent que ceux-ci peuvent être utilisés par des acteurs malveillants pour échapper à la surveillance des forces de l’ordre.

Conscient qu’il y a un créneau à exploiter auprès des entités qui souhaitent accéder aux informations des utilisateurs en dépit des mécanismes de chiffrement et autres outils de sécurité utilisés, un autre marché se développe en marge de ces outils afin de répondre à la demande de ces derniers (gouvernements et autres acteurs dotés de ressources financières importantes) qui souhaitent surveiller des personnes en toute discrétion en contournant les systèmes de sécurité comme le chiffrement des données.

L’an dernier, Ahmed Mansoor, un défenseur des droits de l’Homme vivant aux Émirats arabes unis (EAU), a reçu un SMS sur son iPhone qui lui suggérait de cliquer sur un lien pour avoir des informations sur des prisonniers torturés dans des prisons des Émirats arabes unis. Après avoir transféré le message à Citizen Lab, les chercheurs en sécurité de l’organisme ainsi que ceux de Lookout, l’éditeur de solutions de sécurité pour les entreprises et les particuliers, ont découvert que derrière ce message se cachait Pegasus, un des spywares les plus sophistiqués jamais rencontrés qui a été utilisé pour espionner des utilisateurs d’iPhone pendant plusieurs années. Pour ce faire, Pegasus exploitait trois failles (le trident) de type zero day afin de jailbreaker l’appareil ciblé et de récupérer des données de toutes sortes sur l’iPhone infecté. Depuis lors, Apple a sorti un correctif pour corriger les exploits utilisés par Pegasus pour infecter son système mobile.

Mais cette découverte assez bénéfique pour les utilisateurs d’iPhone dont l’épisode avec Pegasus semblait achever après la sortie du correctif a donné lieu à la découverte de signaux d’applications anormales à partir des données analysées par les chercheurs de Lookout. Intrigués, ces chercheurs ont alerté Google et depuis, une traque a été entreprise des deux côtés des entreprises qui n’ont pas hésité à partager les informations acquises. Cela a abouti à la découverte de la présence d’un logiciel espion (spyware) considéré par Lookout comme une variante de Pegasus pour Android et baptisé Chrysaor par Google.

Depuis quelques heures, Lookout et Google ont concomitamment publié des communiqués pour alerter les utilisateurs sur cette nouvelle menace découverte qui met en danger la confidentialité des informations des utilisateurs d’Android. Selon les deux entreprises, ce spyware a été développé par NSO Group Technologies, une entreprise basée en Israël et créée en 2010 avec pour objectif de développer et vendre des cyberarmes aux gouvernements afin de les aider à combattre le terrorisme et le crime. En 2013, le chiffre d’affaires de l’entreprise était de 40 millions. Deux années plus tard, c’est-à-dire en 2015, ce chiffre d’affaires a plus que triplé en passant à 150 millions de dollars. En se basant sur ces chiffres, c’est peu dire que d’affirmer que ce marché est en plein essor avec des clients qui ont de plus en plus recours à des entreprises tierces pour espionner les utilisateurs.

Pour ce qui concerne Pegasus version Android, une des choses qui rassurent est que ce spyware a été découvert en activité sur moins de trois douzaines d’appareils dans certains pays comme Israël, la Géorgie, le Mexique, la Turquie, les EAU, le Kenya, le Nigéria, l’Ukraine et plusieurs autres pays. Immédiatement, Google a contacté les utilisateurs des appareils infectés par cette variante de Pegasus après avoir recensé le nombre total de ces appareils.


Pour s’installer sur les appareils Android, Google estime que les attaquants auraient certainement persuadé les utilisateurs d’une manière ou d’une autre afin de les amener à télécharger le logiciel malveillant sur leurs appareils. Et une fois installé, le spyware utilise la technique Framaroot pour « rooter » l’appareil ciblé et avoir le contrôle total de celui-ci. Cette version de Pegasus n’utilise donc pas de failles zero day pour rooter les appareils Android comme ce fut le cas avec la version iOS. Par ailleurs, sur iOS, lorsque le spyware ne parvient pas à jailbreaker l’appareil ciblé, l’infection ne peut avoir lieu. Mais pour le cas d’Android, si le spyware ne parvient pas à rooter l’appareil avec l’exploit Framaroot, il utilise un binaire de super-utilisateur sur le système Android pour élever ses privilèges afin d’avoir accès aux données et de les exporter vers les serveurs distants des attaquants.

Que ce soit en rootant le téléphone ou en utilisant des privilèges élevés, lorsque le spyware parvient à infecter la cible, les attaquants peuvent l'utiliser pour réaliser les opérations suivantes :

  • enregistrer les frappes du clavier ;
  • effectuer des captures d’écran ;
  • effectuer des captures audio en direct ;
  • contrôler à distance le spyware par SMS ;
  • exfiltrer des données de messagerie à partir d’applications courantes, y compris WhatsApp, Skype, Facebook, Twitter, Viber, Kakao ;
  • extraire les données de l’historique du navigateur ;
  • exporter les données des courriers électroniques du client de messagerie natif d’Android ;
  • accéder aux contacts et messages textes.


Enfin, il faut savoir que cette variante de Pegasus n’est pas un malware comme tous les autres. Là où de nombreux logiciels malicieux chercheraient à rester à tout prix sur l’appareil infecté, Pegasus lui se détruit automatiquement s’il analyse et conclut que sa position sur l’appareil est à risque. En outre, plusieurs autres scénarios ont été détectés où cette variante de Pegasus se supprime d’elle-même. Nous avons par exemple le cas où le code du pays sur le mobile associé à la carte SIM est invalide. Lorsqu’également il détecte un antidote à l’emplacement /sdcard/MemosNoteNotes, il se détruit. Quand Pegasus pour Android n’a pas réussi à se connecter aux serveurs après 60 jours ou encore lorsqu’il reçoit une commande spécifique du serveur de commande et de contrôle, il se supprime automatiquement.

Pour s’en prémunir, Google explique que l’installation d’aucune application supplémentaire n’est nécessaire. Pour rester protégé, il suffit de suivre les consignes de base telles qu’installer les applications uniquement à partir de sources connues comme Google Play, activer le verrouillage de l’appareil avec un code PIN, un mot de passe ou un schéma, mettre à jour son appareil, s’assurer que l’outil Verify Apps de Google est activé sur l’appareil et renseigner son appareil dans le Gestionnaire d’appareils Android afin de sécuriser ses données en cas de perte ou vol de son appareil.

Source : Lookout, Google

Et vous ?

Que pensez-vous de la découverte de cette faille ?

Les utilisateurs Android devraient-ils se sentir rassurés ou plutôt être inquiets ?

Voir aussi

Apple corrige en urgence trois vulnérabilités zero day sur iOS qui ont permis à un logiciel espion de passer sous les radars pendant des années
Des documents du NSO Group indiquent comment l'entreprise choisit les clients à qui elle vend son spyware, mais aussi le montant de la facture

La Rubrique Android, Forum Android, Cours et tutoriels Android, FAQ Android


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de dlandelle dlandelle - Nouveau membre du Club https://www.developpez.com
le 06/04/2017 à 9:44
"des entités qui souhaitent accéder aux informations des utilisateurs en dépit des mécanismes de chiffrement"

C'est un peu de la langue de bois cette vérité sans verbe. Et aussi de la dissonnance cognitive : c'est chiffré mais on peut le lire quand même ?
NON, si c'est chiffré correctement, et que la clef n'est pas connue, PERSONNE ne peut déchiffrer.
Je met au défit qui que ce soit de déchiffer mes fichiers avec un cryptage maison.

Si les cryptages commerciaux ne fonctionnent pas, c'est comme le reste parce que c'est fait par des pourris et des corrompus (donc souvent incompétents) avec des backdoor installés dès le cahier des charges comme demandé par les lois à la con qui gouvernent malheureusement notre monde.

************************

Nous avertir qu'il existe sur terre des défenseurs des droits de l'Homme, c'est bien rassurant, mais le pauvre va avoir du boulot ! même en France la Constitution et la DDHC ont été débranchés par Valls avant de partir le 5 Décembre 2016 dernier !

https://www.legifrance.gouv.fr/affic...XT000033538164

La cour de Cassation a réagit à cette appropriation de la justice par le politique (qui était déjà presque totale pour les petites juridictions noyautées par la franc-maçonnerie) :

https://www.courdecassation.fr/venem...016_35652.html

Comment peut-on encore parler des droits de l'Homme en France ?

************************

Nous raconter que Apple et Google travaillent dur pour protéger notre vie privée, ça me fait rigoler.
Déjà ils utilisent des serveurs HP notoirement équipés de backdoor (compte admin sur la machine). Cela ne fait pas tout, mais ça aide bien non ? tout en gardant sa conscience.

Ces deux voleurs de Google et Apple n'ont rien inventé, ils sont partis de LINUX qui était à la base un système fiable inspiré d'UNIX, et l'ont rempli de saloperies pour le rendre totalement perméable et instable.
Félicitation à ces vrais faux inventeurs.

Bon, je suis méchant, Apple a quand même inventé la peinture blanche
Avatar de sanzalure sanzalure - Membre à l'essai https://www.developpez.com
le 06/04/2017 à 15:45
« ... et les détracteurs qui soulignent que ceux-ci peuvent être utilisés par des acteurs malveillants pour échapper à la surveillance des forces de l’ordre. »

Ces détracteurs ne semblent pas avoir compris grand chose dans la vie sur cette planète où les « forces de l'ordre » sont infiniment plus dangereuses que n'importe qui d'autre.
Avatar de Francois_C Francois_C - Membre actif https://www.developpez.com
le 07/04/2017 à 12:01
les petites juridictions noyautées par la franc-maçonnerie
Et aussi les juifs, peut-être Triste période que ces élections : on voit des forums aussi peu suspects de bêtise que celui-ci trollés par des complotistes « noyautés » eux-mêmes par quelque candidat marron (je crois deviner lequel). On a donc oublié les leçons de l'histoire ? on est nostalgique des années quarante ?

Un « nouveau membre du club », évidemment.
Avatar de TidiusFF TidiusFF - Nouveau membre du Club https://www.developpez.com
le 11/04/2017 à 15:52
Citation Envoyé par dlandelle Voir le message
Nous avertir qu'il existe sur terre des défenseurs des droits de l'Homme, c'est bien rassurant, mais le pauvre va avoir du boulot ! même en France la Constitution et la DDHC ont été débranchés par Valls avant de partir le 5 Décembre 2016 dernier !

https://www.legifrance.gouv.fr/affic...XT000033538164
Quitte a balancer des liens bidons pour faire du complotisme, utilisez en un indigeste avec plein d'articles... La dessus, il n'y a qu'une agence d'audit de la justice. On est loin du débranchage de la constitution...

Citation Envoyé par dlandelle Voir le message
Je met au défit qui que ce soit de déchiffer mes fichiers avec un cryptage maison.
Moi je met au défi a tout spécialiste de la cryptographie de ne PAS réussir à déchiffrer un cryptage maison. C'est pourtant la base du domaine, "don't roll your own..."
Avatar de dlandelle dlandelle - Nouveau membre du Club https://www.developpez.com
le 13/04/2017 à 10:51
Citation Envoyé par Francois_C Voir le message
Et aussi les juifs, peut-être Triste période que ces élections : on voit des forums aussi peu suspects de bêtise que celui-ci trollés par des complotistes « noyautés » eux-mêmes par quelque candidat marron (je crois deviner lequel). On a donc oublié les leçons de l'histoire ? on est nostalgique des années quarante ?

Un « nouveau membre du club », évidemment.
Dans mon profil, se trouve un lien vers feu ma boite, il y a mon CV avec mon identité.
Mon prénom étant David, je suppose que mes parents antisémites l'ont choisi exprès pour rigoler

Le "nouveau membre" est inscrit depuis 2010.

En quoi ta leçon d'histoire démontre-elle que la franc-maçonnerie n'a pas gangrené tout le pays ? c'est de l'amalgame, tout comme le FN a été créé exprès pour évacuer du débat tous les sujets que l'on veut interdire en politique, c'est un peu facile l'amalgame comme raisonnement.

De plus, je ne reçois pas les notifications sur ce post, ce n'est pas normal, je suis retombé ici par hasard.
Avatar de dlandelle dlandelle - Nouveau membre du Club https://www.developpez.com
le 13/04/2017 à 11:04
Citation Envoyé par TidiusFF Voir le message
Quitte a balancer des liens bidons pour faire du complotisme il n'y a qu'une agence d'audit de la justice. On est loin du débranchage de la constitution..."
Le site legifrance.gouv.fr est un site bidon de complotisme ? tu peux préciser ta pensée ?

Le titre du décrêt est "création de l'inspection générale de la justice"

Cela signifie clairement que la justice est placée sous le contrôle de l'exécutif, et que donc il n'y a PLUS d'indépendance de la justice (pour le peu qui lui restait).

Citation Envoyé par TidiusFF Voir le message
Moi je met au défi a tout spécialiste de la cryptographie de ne PAS réussir à déchiffrer un cryptage maison. C'est pourtant la base du domaine, "don't roll your own..."
Je te fais cadeau de mon cryptage maison avec le code source, compilation avec GCC sous linux.
Le fichier crypté est dedans et se nomme "exemple.crypt".
N'hésite pas à m'envoyer un P.M. quand tu as réussi à le craquer.
Tu peux l'envoyer à la NSA sans aucun problème
Je donnerai la clef pour décoder après capitulation.

[ATTACH]264159d1/a/a/a" />
Offres d'emploi IT
Technicien maintenance installations de simulation H/F
DCNS - Provence Alpes Côte d'Azur - Toulon (83200)
Infographiste h/f
Menway Interim - Aquitaine - Aire-sur-l'Adour
Project manager soa h/f
Atos - Nord Pas-de-Calais - Lille (59000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil