Alerte ! Le spyware Pegasus créé par par la firme israélienne NSO Group serait désormais capable de pirater les identifiants d’accès aux principaux services cloud grand public et d’y récupérer les données utilisateur sensibles stockées en ligne. Google Drive, iCloud, OneDrive et tous les autres grands acteurs du cloud sont visés.
Selon le Financial Times, qui s’appuie sur des documents promotionnels, NSO Group a mis au point un redoutable spyware nommé “Pegasus“. En effet, d’après les informations du Financial Times, le malware serait désormais capable de collecter les informations de n’importe qui via les différents clouds publics !
Pour cela, il opère en plusieurs étapes : d’abord, il infecte les smartphones Android ou iOS afin d’y dérober le jeton d’authentification (token) pour accéder aux différents services en ligne clouds (tels que Apple iCloud, Amazon Web Services, Facebook, Google Cloud ou encore Microsoft). Ensuite, une fois que le spyware a récupéré les clés d’authentification des services ciblés, ce dernier va déployer un faux serveur en local sur l’appareil dont le but va être de leurrer les plateformes cloud en imitant le smartphone et sa géolocalisation.
Rappelons que NSO Group est une entreprise de cybersécurité israélienne connues dans le monde entier pour développer des solutions de cyber-surveillance pour les Etats, y compris pour les dictatures…
“Pegasus fonctionne sur n’importe quel appareil y compris la plupart des derniers iPhone et smartphones Android, selon les documents, et permet un accès continu aux données téléchargées dans le nuage à partir des ordinateurs portables, tablettes et téléphones – même si Pegasus est retiré du smartphone initialement visé“, explique le Financial Times dans ses colonnes. “Pegasus, est utilisé depuis des années par les agences d’espionnage et les gouvernements pour collecter des données sur les smartphones de personnes ciblées.“
Suite aux accusation du Financial Times, NSO Group a nié commercialiser ce type de dispositif mais sans toutefois réfuter sa capacité à pouvoir accéder à des informations dans le cloud avec Pegasus. Mais l’entreprise n’en est pas à son premier coup d’essai puisqu’elle avait fait la Une des médias en mai dernier avec un malware capable d’espionner les conversations sur WhatsApp…
« Il existe une incompréhension fondamentale de NSO, de nos services et de notre technologie. Nos produits ne collectent les données d’applications, de services ou d’infrastructures dans le cloud » défend un porte parole de NSO, interrogé par Business Insider. « Nos produits sont concédés sous licence à petite échelle à des services de renseignements gouvernementaux et à des agences de maintien de l’ordre légitimes dans le seul but de prévenir ou d’enquêter sur les crimes graves, dont le terrorisme » précise le porte parole. “Notre logiciel est utilisé de façon abusive par certains régimes répressifs.”
Du côté des acteurs cloud, les GAFAM Google, Apple, Facebook, Amazon et Microsoft ont tous affirmé ne pas avoir détecté de trace de corruption de leur plateforme respective à ce jour mais l’enquête suit son cours de ce côté. NSO Group fait quant à lui l’objet de poursuites judiciaires en Israël et à Chypre suite à des usages de ses logiciels par des régimes dits répressifs.
A ce jour, aucun chiffre concernant les infections par Pegasus n’est disponible. Pour stopper son activité, il est nécessaire de changer son mot de passe des différents services (cela régénère le fameux token). Bien entendu, cela reste inutile dans le cas où le logiciel est toujours installé ou qu’il soit réinstallé par la suite sur l’appareil cible.
Ci-dessous, le commentaire de Mike Beck, Global Head of Threat Analysis chez Darktrace au sujet de l’affaire NSO Group et de son spyware Pegasus qui œuvre dans les clouds publics :
« Cette nouvelle met en lumière la réalité de l’industrie des cyber-armes. Des organisations privées, telles que NSO, développent et vendent des logiciels espions, qui sont ensuite souvent utilisés par les agences gouvernementales pour attraper des criminels avertis. Il va de soi que les gouvernements qui ne disposent pas de budgets de renseignement nationaux importants vont faire appel au secteur privé pour s’équiper.
Toutefois, si les entreprises du secteur privé sont autorisées à développer des cyber-armes, en dehors de la responsabilité des institutions gouvernementales, la manière dont ces outils peuvent être utilisés suscite des préoccupations. Entre de mauvaises mains, un logiciel malveillant pourrait être utilisé pour collecter des informations sur les citoyens, voire contre des États-nations dans le cadre d’une cyberguerre.
L’attitude du monde à l’égard de la cybersécurité gagnant progressivement en maturité, nous pouvons nous attendre à ce que le droit international contrôle l’utilisation de ces armes. Entre temps, Apple, Google et Facebook devront démontrer qu’ils peuvent identifier les menaces à la sécurité et intervenir rapidement avant que les données des utilisateurs ne soient violées. L’intelligence artificielle sera un allié nécessaire pour y parvenir, compte tenu de la complexité du paysage des menaces, ainsi que du volume et de la diversité des systèmes de données à protéger. »