An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
Une femme israélienne utilise son iPhone devant le bâtiment abritant la société israélienne NSO Group, le 28 août 2016, à Herzliya, près de Tel-Aviv. NSO Group a été accusé de faciliter la surveillance des journalistes par la vente de son logiciel espion Pegasus. (AFP/Jack Guez)

Avis de sécurité du CPJ : les journalistes cibles du logiciel espion Pegasus

Mis à jour le 13 juillet 2020

Pegasus est un logiciel espion créé pour les appareils mobiles qui transforme un téléphone portable en dispositif de surveillance mobile. Les chercheurs ont documenté des cas dans lesquels ce logiciel est utilisé pour espionner les journalistes. Cette situation a des implications importantes pour la sécurité des journalistes et celle de leurs sources.

En 2018, Citizen Lab a déclaré avoir détecté Pegasus dans plus de 45 pays. Selon le rapport, Pegasus aurait pu être déployé contre des journalistes et des acteurs de la société civile au Mexique, en Arabie Saoudite, au Bahreïn, au Maroc, au Togo, en Israël, aux États-Unis et aux Émirats arabes unis.

Alors que les attaques précédentes consistaient à amener les utilisateurs, par la ruse, à installer le logiciel espion sur leurs appareils en cliquant sur les liens contenus dans les messages, les attaques plus récentes se concentrent plutôt sur l’exploitation des vulnérabilités des applications ou des logiciels du téléphone,  qui ne nécessitent aucune interaction de l’utilisateur, selon un rapport publié par Amnesty International en juin 2020.

Selon Citizen Lab, en mai 2019, une vulnérabilité a été identifiée dans l’application de messagerie WhatsApp qui, avant d’être rectifiée, a infecté les téléphones de certains de ses utilisateurs, parmi lesquels plus de 100 défenseurs des droits de l’homme et journalistes dans au moins 20 pays, avec un logiciel espion. WhatsApp, détenue par Facebook, a identifié par la suite qu’il s’agissait du logiciel espion Pegasus, ou d’une variante de celui-ci, produit par la société israélienne NSO Group qui commercialise des outils d’enquêtes criminelles et terroristes auprès d’organismes gouvernementaux. (NSO Group a déclaré à maintes reprises au CPJ qu’il ne ferait aucun commentaire sur des cas individuels, mais qu’il enquêtait sur des allégations selon lesquelles ses produits seraient utilisés à mauvais escient en violation de ses contrats.)

En juin 2020, une enquête réalisée par Amnesty International a révélé que le téléphone d’un journaliste marocain avait été infecté après que le trafic Internet sur le téléphone a été redirigé vers un site Web malveillant contrôlé par les auteurs des attaques. Selon le rapport, une fois que le navigateur Internet du téléphone a été connecté au site, les auteurs ont probablement exploité les vulnérabilités du logiciel pour compromettre l’appareil. Le rapport indique que cette attaque a été soit perpétrée en détournant le trafic Internet du téléphonie cellulaire à l’aide d’une fausse station de base, un dispositif qui imite le travail d’une station de base, ou en obtenant l’accès au fournisseur de téléphonie cellulaire de la personne ciblée.

Une fois sur l’appareil, le logiciel espion donne à l’auteur de l’attaque la possibilité de surveiller, d’enregistrer et de recueillir les données existantes et futures contenues dans le téléphone, notamment les appels et les renseignements provenant des applications de messagerie et les données de localisation en temps réel. Le logiciel espion est capable d’activer à distance la caméra et le microphone pour surveiller la personne ciblée et son environnement.

Pegasus est conçu pour être installé sur des téléphones dotés des systèmes Android, Blackberry OS et iOS sans alerter la personne ciblée de sa présence. Les journalistes ne s’apercevront probablement pas que leur téléphone a été infecté à moins de le faire inspecter par un expert technique.

Si vous avez des raisons de croire que vous avez été ciblé(e) et que le logiciel espion est présent sur votre appareil :

  • Cessez immédiatement d’utiliser l’appareil.
  • Mettez l’appareil dans un endroit qui ne vous compromet pas et ne compromet pas votre environnement.
  • Déconnectez-vous de tous les comptes et dissociez-les de votre appareil.
  • À partir d’un autre appareil, modifiez tous les mots de passe de vos comptes.
  • Consultez un expert en sécurité numérique. Si vous êtes pigiste ou si vous n’avez pas accès à une assistance technique, contactez l’Assistance téléphonique d’Access Now.

Pegasus peut être installé de plusieurs façons. Les journalistes doivent se tenir informés de ces méthodes et prendre les mesures appropriées pour se protéger et protéger leurs sources.

Attaques par injection réseau

Une attaque par injection réseau ne nécessite aucune interaction avec l’usager; il s’agit plutôt de rediriger automatiquement les navigateurs ou les applications vers des sites contrôlés par les auteurs des attaques. Cette technique est  également connue sous le nom d’attaque de l’homme du milieu  (HDM). Une fois connectés au site malveillant, les auteurs infectent le dispositif en exploitant les vulnérabilités du logiciel.

Il est peu probable qu’un(e) journaliste s’aperçoive qu’il(elle) a été la cible de ce type d’attaque par injection réseau, auquel cas il est difficile de s’en protéger. Pour minimiser les risques, les professionnels des médias doivent utiliser un réseau privé virtuel (VPN) sur leurs téléphones cellulaires et leurs ordinateurs.

Lors du choix d’un VPN, les journalistes doivent :

  • Consulter la loi relative à l’utilisation d’un VPN dans le pays dans lequel ils vivent ou ils se rendent.
  • Faire des recherches sur la société VPN pour s’assurer qu’elle ne stocke pas les données sur les usagers, y compris l’historique de navigation et les détails de connexion, car les gouvernements pourraient y accéder.
  • Vérifier si le fournisseur VPN entretient des liens étroits avec des organismes gouvernementaux ou s’il appartient au gouvernement. Les journalistes doivent choisir un service situé en dehors du pays dans lequel ils vivent et qui a fait ses preuves en matière de protection de la vie privée.

Attaques « jour zéro »

Les attaques « jour zéro » exploitent les logiciels vulnérables, pas les gens. Elles ne nécessitent aucune interaction de l’usager.

Les rapports sur le piratage de WhatsApp ont révélé que l’attaque a consisté à  appeler des usagers à partir de numéros inconnus, ce qui entraîné le plantage de l’application. Les numéros ont disparu du registre des appels, ne laissant aucune trace d’un appel en absence ou de l’auteur de l’appel.

Il est difficile de se protéger contre une attaque « jour zéro ». Les journalistes susceptibles d’être la cible d’un adversaire sophistiqué comme un gouvernement devraient envisager de changer leurs téléphones prépayés bon marché tous les 2 ou 3 mois par mesure de précaution. Vous devez veiller à mettre à jour régulièrement le système d’exploitation ainsi que les applications et les navigateurs de votre téléphone. Examinez régulièrement les applications de votre téléphone et supprimez celles que vous n’utilisez pas. Si possible, contactez un expert en sécurité numérique pour obtenir un soutien personnalisé.

Attaques de harponnage

Les auteurs de ces attaques créent des messages personnalisés qui sont envoyés à un(e) journaliste spécifique. Ces messages véhiculent un sentiment d’urgence et contiennent un lien ou un document sur lequel le(la) journaliste est encouragé(e) à cliquer. Ces messages se présentent sous diverses formes, notamment des SMS, des courriels, des messages envoyés par des applications de messagerie telles que WhatsApp ou sur les plateformes de réseaux sociaux. Une fois que le (la) journaliste a cliqué sur le lien, le logiciel espion est installé sur son téléphone.

Des recherches menées par Citizen Lab et Amnesty International ont révélé que les messages ont tendance à se présenter sous les formes suivantes :

  • Des messages prétendument envoyés par un organisme connu tel qu’une ambassade ou un organe de presse local.
  • Des messages avertissant la personne ciblée qu’une menace imminente pourrait peser sur sa sécurité.
  • Des messages soulevant une question liée au travail, comme un événement que la personne ciblée à l’habitude de couvrir.
  • Des messages faisant allusion à des questions personnelles, telles que des photos compromettantes de partenaires.
  • Des messages financiers faisant référence à des achats, à des cartes de crédit ou à des coordonnées bancaires.

Les messages suspects peuvent également provenir de numéros inconnus.

Les auteurs d’attaques peuvent cibler des téléphones personnels et professionnels. Pour mieux se protéger et protéger leurs sources, les journalistes doivent :

  • Vérifier le lien auprès de l’expéditeur par une autre voie de communication, de préférence par vidéo ou voie téléphonique.
  • Si vous ne connaissez pas l’expéditeur, les voies secondaires ne vous permettront peut-être pas de vérifier avec succès les liens, dans la mesure où ces voies secondaires pourraient être mises en place par l’adversaire dans le cadre d’une dissimulation d’identité élaborée.
  • Si le lien utilise un service de raccourcissement d’URL tel que Tinyurl ou Bitly, saisissez le lien dans un service d’allongement d’URL tel que Link Expander ou URLEX. Si le lien allongé semble suspect, par exemple s’il imite un site d’information local sans être tout à fait le même, ne cliquez pas sur le lien.
  • Si vous estimez devoir ouvrir le lien, n’utilisez pas votre appareil principal. Ouvrez le lien à partir d’un appareil secondaire distinct qui ne contient pas de renseignements ni de coordonnées de nature sensible et qui est utilisé uniquement pour visualiser les liens. Rétablissez régulièrement la configuration d’usine de l’appareil (en gardant à l’esprit que cela pourrait ne pas supprimer le logiciel espion). Lorsque vous n’utilisez pas l’appareil secondaire, éteignez-le et retirez la batterie.
  • N’utilisez pas un navigateur par défaut pour le téléphone. Il semblerait que Pegasus cible les navigateurs par défaut. Le navigateur par défaut pour Android est Chrome et le navigateur par défaut pour iOS est Safari. Utilisez un autre navigateur tel que Firefox Focus pour ouvrir le lien. Cependant, rien ne garantit que Pegasus ne ciblera pas, ou n’a pas déjà ciblé, d’autres navigateurs.

Installation physique par un adversaire

Pegasus peut également être installé sur votre téléphone si un adversaire parvient à entrer en possession de l’appareil. Pour réduire ce risque :

  • Ne laissez pas votre appareil sans surveillance et évitez de le confier à quelqu’un d’autre.
  • Lorsque vous traversez une frontière ou un poste de contrôle, veillez à toujours avoir l’œil sur votre téléphone. Éteignez-le avant d’arriver au poste de contrôle et créez une phrase passe complexe, composée à la fois de lettres et de chiffres. Sachez que si l’on vous prend votre téléphone, celui-ci risque d’être compromis.

Pour de plus amples informations sur la manière de vous protéger et de protéger vos sources,  consultez le Kit de sécurité numérique du CPJ.

Nous remercions Citizen Lab pour sa précieuse contribution.

[NOTE DE LA RÉDACTION : Les conseils sur les attaques « jour zéro » ont été mis à jour afin d’inclure les mises à jour de sécurité.]