Un journaliste pour le New York Times, Ben Hubbard,a récemment découvert que son téléphone avait été piraté non pas une, mais deux fois par des personnes malveillantes au cours de son travail au Moyen-Orient.
Les deux fois, son iPhone a été infiltré à l’aide du logiciel espion Pegasus de NSO Group, que The Pegasus Project travaille depuis longtemps pour démanteler et identifier ses victimes (dont certaines ont fini par être assassinées). En fait, il y a eu un total de quatre tentatives découvertes dans le code sur le téléphone d’Hubbard : les deux premières sont venues sous la forme de liens dangereux envoyés via un message WhatsApp et un message texte.
NSO Group, le créateur et propriétaire du logiciel Pegasus utilisé dans ces attaques, est une grande entreprise de surveillance basée en Israël, qui accorde généralement la licence d’utilisation du logiciel espion aux agences gouvernementales dans le but de traquer les criminels et les terroristes.
Cependant, un tel outil est très facilement sujet à des abus et a déjà été largement abusé par plusieurs gouvernements dans de nombreux pays, où il a été illégalement utilisé pour garder un œil sur des dizaines de civils innocents.
En fin de compte, je n’ai même pas eu à cliquer sur un lien pour que mon téléphone soit infecté.
En tant que correspondant du New York Times qui couvre le Moyen-Orient, je parle souvent à des personnes qui prennent de grands risques pour partager des informations que leurs dirigeants autoritaires veulent garder secrètes. Je prends beaucoup de précautions pour protéger ces sources car si elles étaient attrapées elles pourraient finir en prison, ou mortes […]
Il s’est avéré que je n’ai même pas eu à cliquer sur un lien pour que mon téléphone soit infecté.
Pour essayer de déterminer ce qui s’était passé, j’ai travaillé avec Citizen Lab, un institut de recherche de la Munk School of Global Affairs de l’Université de Toronto qui étudie les logiciels espions.
Les deux premières tentatives ont été effectuées via un message texte et un message WhatsApp. Ceux-ci n’auraient fonctionné que si Hubbard avait cliqué sur les liens, et il était trop avisé pour tomber dans le piège. Mais il n’y a aucun moyen d’empêcher un exploit sans clic.
Bill Marczak, senior fellow au Citizen Lab […] a découvert que j’avais été piraté deux fois, en 2020 et 2021, avec des exploits dits « zéro clic », qui ont permis au pirate de pénétrer dans mon téléphone sans que je clique sur aucun lien. C’est comme être volé par un fantôme […]
Sur la base du code trouvé dans mon téléphone qui ressemblait à ce qu’il avait vu dans d’autres cas, M. Marczak a déclaré qu’il avait « une grande confiance » que Pegasus avait été utilisé les quatre fois.
Il y avait également des preuves solides suggérant que l’Arabie saoudite était derrière chacune des attaques. NSO a suspendu à deux reprises l’utilisation de Pegasus par le pays en raison d’abus.
Hubbard explique en outre qu’il a depuis pris des précautions spécifiques pour se protéger. D’une part, il a commencé à utiliser Signal, une application de messagerie cryptée. De cette façon, même « si un pirate informatique réussit, il n’y aura pas grand-chose à trouver », dit-il.
Une bonne chose à savoir, explique Hubbard, est que parmi d’autres sociétés de logiciels espions, NSO n’autorise pas ses utilisateurs autorisés à cibler des numéros de téléphone aux États-Unis, pour éviter des problèmes politiques. Cependant, les contacts étrangers stockés dans le téléphone sont loin d’être sûrs, c’est pourquoi Hubbard a pris l’habitude de stocker tous ses contacts et informations sensibles hors ligne, en dehors de son téléphone.
Il n’y a pas de garanties, mais il y a des mesures préventives
La leçon importante que Hubbard a soulignée était que la réalité est que n’importe qui peut être piraté en utilisant un exploit sans clic, et ils ne le sauraient probablement même pas. Apple a corrigé les vulnérabilités révélées par les attaques précédentes, mais il en a clairement manqué d’autres qui continuent d’être exploitées. Et même une fois ceux-ci corrigés, nous ne pouvons jamais être sûrs à 100% de les avoir tous couverts.
Être hors ligne est la seule garantie infaillible de cybersécurité, mais bien que ce ne soit pas une option pour la plupart d’entre nous, nous pourrions au moins apprendre quelque chose des précautions détaillées par Hubbard pour au moins essayer de rester aussi en sécurité que possible.
Ce n’est pas la première fois de loin…
NSO a fermement nié toute implication, mais la partie macabre de cette enquête était que c’était peut-être cette infiltration permise par Pegasus qui a conduit à la mort macabre et au démembrement de Jamal Khashoggi, un journaliste saoudien. Sa femme avait été piratée et surveillée via son téléphone pendant les mois qui ont précédé la mort de Jamal.
