An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
Une femme israélienne utilise son iPhone devant le bâtiment abritant la société israélienne NSO Group, le 28 août 2016, à Herzliya, près de Tel-Aviv. NSO Group a été accusé de faciliter la surveillance des journalistes par la vente de son logiciel espion Pegasus. (AFP/Jack Guez)

Avis de sécurité du CPJ : les journalistes cibles du logiciel espion Pegasus

Mis à jour le 27 septembre 2022

Pegasus est un logiciel espion créé pour les appareils mobiles qui transforme un téléphone portable en dispositif de surveillance mobile. Les chercheurs ont documenté des cas dans lesquels ce logiciel est utilisé pour espionner des journalistes dans le monde entier. Cette situation a d’importantes répercussions pour la sécurité des journalistes et celle de leurs sources.

Contenu

Le logiciel Pegasus peut être inséré sur un téléphone de plusieurs façons décrites en détail ci-dessous. Une fois sur l’appareil, le logiciel espion donne à l’auteur de l’attaque la possibilité de surveiller, d’enregistrer et de recueillir les données existantes et futures contenues dans le téléphone, notamment les appels et les renseignements provenant des applications de messagerie et les données de localisation en temps réel. Le logiciel espion est capable d’activer à distance la caméra et le microphone pour surveiller la personne ciblée et son environnement.

Le Groupe NSO basé en Israël, qui produit Pegasus, commercialise des outils d’enquêtes criminelles et terroristes auprès d’organismes gouvernementaux. (Le Groupe NSO a déclaré à maintes reprises au CPJ qu’il ne ferait aucun commentaire sur des cas individuels, mais qu’il enquêtait sur des allégations selon lesquelles ses produits seraient utilisés à mauvais escient en violation de ses contrats.)

Guide pour les journalistes et les salles de presse

Pegasus est conçu pour être installé sur des téléphones dotés des systèmes Android et iOS sans alerter la personne ciblée de sa présence. Les journalistes ne s’apercevront probablement pas que leur téléphone a été infecté à moins de le faire inspecter par un expert en technologie de confiance. Les journalistes concernés sont invités à partager ce guide avec lui.

Si vous avez des raisons de croire que vous avez été ciblé(e) et que le logiciel espion est présent sur votre appareil :

  • Cessez immédiatement d’utiliser l’appareil.
  • Rangez le téléphone dans un endroit où le microphone et la caméra capteront la plus petite quantité de vos activités personnelles, loin du travail et d’autres endroits où vous passez beaucoup de temps, comme votre chambre à coucher.
  • Déconnectez-vous de tous les comptes et dissociez-les de votre appareil.
  • À partir d’un autre appareil, modifiez tous les mots de passe de vos comptes.
  • Consultez un expert en sécurité numérique. Si vous êtes pigiste ou si vous n’avez pas accès à une assistance technique, contactez l’Assistance téléphonique d’Access Now.
  • Si vous devez absolument utiliser l’appareil avant de pouvoir le remplacer, effectuez une réinitialisation des paramètres d’usine et assurez-vous que les toutes dernières versions de votre système d’exploitation, de vos applications et de vos navigateurs y sont installées. Cela ne garantit en rien que le logiciel espion sera supprimé de l’appareil. Cependant, en juillet 2021, Amnesty International a constaté que Pegasus semblait être supprimé sur les appareils réinitialisés. Si vous utilisez un iPhone iOS 16, activez le mode de verrouillage.
  • Le rapport d’Amnesty International indique également que 700 noms de domaine ont été utilisés par Pegasus pour infecter des appareils et recommande que les médias vérifient si ces sites figurent sur leurs journaux de télémétrie réseau et DNS, ce qui laisserait penser qu’ils pourraient avoir été la cible du logiciel espion.
  • La Boîte à outils de vérification mobile d’Amnesty destinée aux experts en technologie peut aider à confirmer si un appareil a été infecté par Pegasus.

Défense d’iOS contre les logiciels espions 

L’iOS 16 d’Apple a introduit le mode de verrouillage, une fonctionnalité de sécurité permettant de réduire le nombre de façons dont les logiciels espions peuvent être insérés sur un iPhone, ainsi que sur les iPads exécutant iOS 16 et MacOS Ventura.

Le mode de verrouillage restreint certaines fonctionnalités, notamment les appels FaceTime provenant de numéros inconnus et ce que des tiers peuvent partager avec vous via les applications iMessage et Photos. 

Les journalistes pensant être la cible de Pegasus doivent activer le mode de verrouillage. Pour ce faire :

  • Activez le mode de verrouillage dans les paramètres de confidentialité et de sécurité.
  • Redémarrez votre téléphone pour l’activer.

Conseils relatifs aux différents types d’attaques

Pegasus peut être installé de plusieurs façons. Les journalistes doivent se tenir informés de ces méthodes et prendre les mesures appropriées pour se protéger et protéger leurs sources.

Attaques « jour zéro »

Les attaques « jour zéro », aussi appelées attaques zéro clic,  exploitent les logiciels vulnérables, pas les gens. Elles ne nécessitent aucune interaction de l’usager.

Il est difficile de se protéger contre une attaque « jour zéro ». Les journalistes susceptibles d’être la cible d’un adversaire sophistiqué comme un gouvernement doivent : 

  • utiliser un iPhone iOS 16 et activer le mode de verrouillage

Pour les journalistes utilisant d’autres téléphones et systèmes d’exploitation :

  • Sauvegardez votre contenu régulièrement et effectuez une réinitialisation des paramètres d’usine du téléphone.
  • Envisagez d’utiliser des téléphones Android bon marché et de les changer fréquemment par mesure de précaution – après quelques mois, semaines voire jours, selon votre niveau de risque. Assurez-vous que tous les téléphones ont été réinitialisés aux paramètres d’usine avant de les utiliser.
  • Mettez à jour régulièrement le système d’exploitation ainsi que les applications et les navigateurs de leur téléphone.
  • Si possible, contactez un expert en sécurité numérique pour obtenir un soutien personnalisé.

Attaques par injection réseau

Une attaque par injection réseau ne nécessite aucune interaction avec l’usager; il s’agit plutôt de rediriger automatiquement les navigateurs ou les applications vers des sites contrôlés par les auteurs des attaques. Cette technique est également connue sous le nom d’attaque de l’homme du milieu  (HDM). Une fois connectés au site malveillant, les auteurs infectent le dispositif en exploitant les vulnérabilités du logiciel.

Il est peu probable qu’un(e) journaliste s’aperçoive qu’il(elle) a été la cible de ce type d’attaque par injection réseau, auquel cas il est difficile de s’en protéger.

Pour réduire au minimum les risques :

  • Utilisez un réseau privé virtuel (VPN) sur les téléphones cellulaires et les ordinateurs.
  • Consultez la loi relative à l’utilisation d’un VPN dans le pays dans lequel vous vivez ou vous vous rendez.
  • Faites des recherches sur la société VPN pour s’assurer qu’elle ne stocke pas les données sur les usagers, y compris l’historique de navigation et les détails de connexion, car les gouvernements pourraient y accéder.
  • Vérifiez si le fournisseur VPN entretient des liens étroits avec des organismes gouvernementaux ou s’il appartient au gouvernement.
  • Choisissez un service situé en dehors du pays dans lequel vous vivez et qui a fait ses preuves en matière de protection de la vie privée.

Attaques de harponnage

Les auteurs de ces attaques créent des messages personnalisés qui sont envoyés à un(e) journaliste spécifique. Ces messages véhiculent un sentiment d’urgence et contiennent un lien ou un document sur lequel le(la) journaliste est encouragé(e) à cliquer. Ces messages se présentent sous diverses formes, notamment des SMS, des courriels, des messages envoyés par des applications de messagerie telles que WhatsApp ou sur les plateformes de réseaux sociaux. Une fois que le (la) journaliste a cliqué sur le lien, le logiciel espion est installé sur son téléphone.

Des recherches menées par Citizen Lab et Amnesty International ont révélé que les messages ont tendance à se présenter sous les formes suivantes :

  • Des messages prétendument envoyés par un organisme connu tel qu’une ambassade ou un organe de presse local.
  • Des messages avertissant la personne ciblée qu’une menace imminente pourrait peser sur sa sécurité.
  • Des messages soulevant une question liée au travail, comme un événement que la personne ciblée à l’habitude de couvrir.
  • Des messages faisant allusion à des questions personnelles, telles que des photos compromettantes de partenaires.
  • Des messages financiers faisant référence à des achats, à des cartes de crédit ou à des coordonnées bancaires.

Les messages suspects peuvent également provenir de numéros inconnus.

Les auteurs d’attaques peuvent cibler des téléphones personnels et professionnels. Pour mieux se protéger et protéger leurs sources, les journalistes doivent :

  • Vérifier le lien auprès de l’expéditeur par une autre voie de communication, de préférence par vidéo ou voie téléphonique.
  • Si vous ne connaissez pas l’expéditeur, les voies secondaires ne vous permettront peut-être pas de vérifier avec succès les liens, car ces voies secondaires pourraient être mises en place par l’adversaire dans le cadre d’une dissimulation d’identité élaborée.
  • Si le lien utilise un service de raccourcissement d’URL tel que Tinyurl ou Bitly, saisissez le lien dans un service d’allongement d’URL tel que Link Expander ou URLEX. Si le lien allongé semble suspect, par exemple s’il imite un site d’information local sans être tout à fait le même, ne cliquez pas sur le lien.
  • Si vous estimez devoir ouvrir le lien, n’utilisez pas votre appareil principal. Ouvrez le lien à partir d’un appareil secondaire distinct qui ne contient pas de renseignements ni de coordonnées de nature sensible et qui est utilisé uniquement pour visualiser les liens. Rétablissez régulièrement la configuration d’usine de l’appareil (en gardant à l’esprit que cela pourrait ne pas supprimer le logiciel espion). Lorsque vous n’utilisez pas l’appareil secondaire, éteignez-le et retirez la batterie.
  • N’utilisez pas un navigateur par défaut pour le téléphone. Il semblerait que Pegasus cible les navigateurs par défaut. Le navigateur par défaut pour Android est Chrome et le navigateur par défaut pour iOS est Safari. Utilisez un autre navigateur tel que Firefox Focus pour ouvrir le lien. Cependant, il n’y a aucune garantie que Pegasus ne ciblera pas, ou n’a pas déjà ciblé, d’autres navigateurs.

Installation physique par un adversaire

Pegasus peut également être installé sur votre téléphone si un adversaire parvient à entrer en possession de l’appareil. Pour réduire ce risque :

  • Ne laissez pas votre appareil sans surveillance et évitez de le confier à quelqu’un d’autre.
  • Lorsque vous traversez une frontière ou un poste de contrôle, veillez à toujours avoir l’œil sur votre téléphone. Éteignez-le avant d’arriver au poste de contrôle et créez une phrase passe complexe, composée à la fois de lettres et de chiffres. Sachez que si l’on vous prend votre téléphone, celui-ci risque d’être compromis.

Pour de plus amples informations sur la manière de vous protéger et de protéger vos sources, consultez le Kit de sécurité numérique du CPJ. Suivez la couverture médiatique des logiciels espions par le CPJ et sa sensibilisation à cet égard pour en savoir plus sur leur impact sur les journalistes de votre région. 

Nous remercions Citizen Lab pour sa précieuse contribution.