Cybersécurité: Pegasus 2.0, un (onéreux) malware pour voler les données des utilisateurs stockées dans le cloud

Sur la base de documents fournis par des sources proches du dossier, le Financial Times révèle l’existence d’un malware capable de dérober les données d’un utilisateur stockées dans les serveurs des géants du web. Le logiciel malveillant en question n’est autre qu’une évolution de Pegasus, célèbre malware conçu par le NSO Group et utilisé par les agences gouvernementales.

En mai dernier, une importante faille de sécurité nichée dans les systèmes de WhatsApp a été mise au jour. Une vulnérabilité notamment exploitée par le logiciel malveillant Pegasus, tristement célèbre après avoir été utilisé à des fins d’espionnage par plusieurs gouvernements. A l’origine de ce malware : le NSO Group, une firme israélienne de cybersécurité occupant une place centrale dans l’actualité cyber.

Initialement déployé pour collecter des données sur des smartphones de cibles précises, Pegasus a depuis évolué pour devenir un outil beaucoup plus puissant. Sources à l’appui, le Financial Times se fait l’écho d’une affaire pour le moins inquiétante : le cheval de Troie en question serait désormais capable de subtiliser la data stockée dans les serveurs des géants de la tech’ représentés par Google, Amazon, Facebook, Apple et Microsoft.

Pegasus, un virus hors de contrôle

Une fois installé sur un smartphone — iOS ou Android — , Pegasus copie les informations d’identification de connexion (ou clés d’authentification). Puis en utilisant un serveur distinct, il parvient à se faire passer pour le téléphone ciblé (jusqu’à afficher sa vraie géolocalisation), et de s’emparer dans la foulée des informations entreposées par l’utilisateur dans son service cloud. Des données comme l’historique de géolocalisation, les messages archivés ou encore les photos seraient ainsi facilement accessibles.

Ce stratagème se veut tout particulièrement efficace, puisqu’il contourne de précieux processus de sécurité, comme « l’authentification à deux facteurs et le courrier électronique d’avertissement », indiquent les documents cités par le Financial Times. Une technique qui permet également d’accéder aux données téléchargées à partir d’un ordinateur, d’une tablette ou d’un téléphone. En somme, de n’importe quel périphérique.

Les services cloud de Microsoft sont concernés par cette nouvelle affaire Pegasus. // Crédit photo : efes via Pixabay.
Cette nouvelle affaire a de quoi susciter l’inquiétude auprès des milliards utilisateurs, dont la confiance accordée aux services des géants du web pourrait s’effriter. De son côté, NSO réfute ces révélations, et balaye d’un revers de la main toute « promotion d’outils de surveillance de masse ou de hacking dédiés aux services cloud », lit-on dans les colonnes du média américain. « Cependant, il n’a pas spécialement nié avoir développé les capacités décrites dans le document », est-il précisé. Par peur de faire fuir des clients potentiels ?

Pour sa défense, la compagnie israélienne affirme que « son logiciel n’est vendu qu’à des gouvernements pour aider à lutter contre le crime et le terrorisme ». Soit. NSO Group n’a cependant aucun pouvoir d’action sur les pratiques des agences gouvernementales une fois le logiciel vendu, et ne contrôle donc pas le déploiement de son outil. À ce titre, Pegasus a été repéré sur des appareils mobiles de journalistes et militants des droits de l’homme.

Quelles réactions

Cette version améliorée de Pegasus a d’ailleurs été présentée au gouvernement ougandais plus tôt cette année. Sans que l’on puisse confirmer s’il a décidé d’acheter ou non ce logiciel « qui coûte plusieurs millions de dollars ». Excepté Google, chacune des firmes d’outre-Atlantique concernées a accepté de réagir aux sollicitations de Financial Times. Amazon « continue d’enquêter et de surveiller », malgré l’absence de preuve trouvée au sein de ses systèmes, tandis que Facebook « examine ces déclarations ».

Microsoft et Apple contournent quelque peu la polémique : le premier affirme que sa « technologie évolue continuellement pour fournir la meilleure des protections » à ses utilisateurs, lorsque le second juge sa plateforme comme « la plus sûre et la plus sécurisée du monde ». Et d’ajouter : « Bien que des outils onéreux capables de mener des attaques ciblées sur un petit nombre d’appareils existent, nous ne croyons pas qu’ils soient utilisés pour des attaques généralisées contre les utilisateurs ». Mais est-ce vraiment rassurant ?