Si vous avez prêté attention aux nouvelles ce week-end, vous avez peut-être entendu quelque chose à propos de « Pegasus ». Dans ce cas, Pégase n’est pas un cheval volant mythique, mais puissant logiciel espion de piratage téléphonique vendu par une société israélienne qui aurait été utilisée pour espionner des journalistes, des politiciens, des militants et même des chefs d’entreprise du monde entier. Mais si vous n’entrez pas dans ces catégories ou si vous êtes par ailleurs peu susceptible d’être la cible d’une opération de piratage sophistiquée, la façon dont tout cela s’applique directement à vous n’est peut-être pas si évident.
La personne moyenne doit-elle vraiment se soucier du gouvernement de L’Azerbaïdjan s’introduit dans son téléphone et écouter leurs conversations ou les surveiller à travers les caméras de leur téléphone ? Probablement pas. Mais les rapports suggèrent que les personnes qui ont adhéré de tout cœur au marketing d’Apple sur la sécurité de ses appareils – et à quel point Apple se bat pour assurer cette sécurité – voudront peut-être réfléchir à nouveau : les iPhones peuvent être piratés.
Cela pourrait être surprenant pour beaucoup, car Apple a longtemps cultivé sa réputation d’alternative privée et sécurisée à ses rivaux Microsoft et Google, dont le système d’exploitation Android alimente la plupart des téléphones dans le monde qui ne sont pas des iPhones. Apple a pris une position très médiatisée contre le gouvernement fédéral des États-Unis à deux reprises en refusant pour aider le FBI à débloquer des téléphones ayant appartenu à des terroristes présumés. Mais le fait que le FBI ait pu entrer dans ces téléphones sans l’aide d’Apple devrait être votre premier indice que les iPhones et Mac ne sont pas des forteresses impénétrables.
À présent, plusieurs rapports basé sur une fuite de 50 000 numéros de téléphone appartenant à des personnes considérées comme des cibles potentielles – y compris des journalistes, des dissidents, des défenseurs des droits de l’homme et des chefs d’État – disent que des milliers d’iPhones ont peut-être été piratés par Pégase. Ce logiciel espion sophistiqué, qui a été développé par la société de renseignement israélienne NSO Group, peut collecter les données du téléphone d’une cible, accéder à sa position et les enregistrer via son microphone et sa caméra à son insu – et sans qu’une cible ne clique même sur un lien.
ONS maintient qu’il ne vend sa technologie qu’aux agences gouvernementales pour enquêter et combattre le terrorisme et le crime (« dans le seul but de sauver des vies ») et que les allégations faites dans le rapport sont fausses – bien que son cofondateur et PDG Shalev Hulio a également déclaré au Washington Post que les rapports étaient « concernants » et que la société « enquêtait sur chaque allégation ». Mais les organes de presse qui ont enquêté sur des appareils appartenant à des numéros de téléphone figurant sur la liste ont découvert que certaines personnes étaient ciblées parce qu’elles enquêtaient ou dénonçaient des gouvernements ou d’autres personnes puissantes, et non parce qu’elles étaient des criminels ou des terroristes.
UNE rapport détaillé d’Amnesty International, qui, avec l’organisation à but non lucratif Forbidden Stories, a mené l’enquête, montre comment Pegasus a utilisé les propres applications d’Apple, notamment Apple Photos, Apple Music et iMessage, comme vecteurs d’attaque. Et certains des exploits étaient déjà connus des experts en sécurité et des chercheurs. Par exemple, le fait qu’un pirate puisse envoyer des logiciels malveillants sur iMessage qui infectent un téléphone cible même si le destinataire ne clique jamais sur quoi que ce soit – connu sous le nom d’exploit « zéro clic » – a été signalé sur pour plusieurs années.
Initiés à la pomme a déclaré au Washington Post ils pensaient que la société ne faisait pas assez pour se protéger contre les vulnérabilités connues ou vérifier les nouveaux produits pour les exploits avant qu’ils ne soient rendus publics.
Apple a déclaré à Recode que l’iPhone est « l’appareil mobile grand public le plus sûr et le plus sécurisé du marché » et qu’il faut plusieurs étapes pour détecter et corriger les nouvelles menaces.
« Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits humains et d’autres personnes cherchant à rendre le monde meilleur », a déclaré Apple dans un communiqué. « Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu’ils ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients. »
Que vous soyez une cible probable de piratage de logiciels espions ou non, vous pouvez prendre certaines mesures pour rendre vos appareils plus sûrs, comme la mise à jour fréquente de votre système d’exploitation et de vos applications. L’exploit zéro-clic d’iMessage, par exemple, semble avoir été abordé par « Blastdoor » de la mise à jour iOS 14, qui isole les iMessages entrants du reste du téléphone (y compris l’application iMessage elle-même) et les teste pour le code malveillant. Mais le mot clé ici est « plus sûr ». Ce n’est pas la même chose que « sûr » et ce n’est pas une garantie de quoi que ce soit.
L’enquête de Pegasus montre que les iPhones – et tout autre appareil, Apple ou autre – ne sont pas sécurisés à 100 pour cent et feront toujours du rattrapage pour corriger les vulnérabilités que les pirates trouvent et exploitent. Même les appareils les plus sécurisés et les applications de messagerie cryptées peuvent potentiellement être piratés. Il est extrêmement peu probable qu’ils soient utilisés contre l’appareil que vous possédez, le lecteur moyen. Mais vous ne devriez pas supposer qu’il est impossible pour quelqu’un d’autre d’entrer.