Tweet
Les iPhone de journalistes d’Al-Jazira ciblés par des logiciels d’espionnage ultrasophistiqués
Des dizaines d’iPhone de journalistes de la chaîne d’informations qatarie ont été surveillés de manière indétectable grâce à des outils de l’entreprise israélienne NSO Group, révèle un rapport du Citizen Lab de Toronto, expert dans l’étude des logiciels espions.
Par Michaël Szadkowski
Le Monde du 22 decembre 2020
Les iPhone de dizaines d’employés de la chaîne d’information Al-Jazira auraient été espionnés, en 2019 et en 2020, grâce à des outils d’espionnage sophistiqués fourni par l’entreprise israélienne NSO Group. L’accusation, qui repose sur une analyse technique approfondie, menée directement à partir de certains iPhone des journalistes en question, est formulée par le Citizen Lab de Toronto, qui regroupe des experts en sécurité informatique spécialisés dans les logiciels espions.
Ils ont publié, dimanche 20 décembre, un rapport détaillant les méthodes avec lesquels les journalistes de la chaîne qatarie ont été espionnés directement sur leurs appareils. Cela plus particulièrement lors d’une attaque « coordonnée » perpétrée en juillet et en août 2020. Des « agents gouvernementaux » auraient alors utilisé « le logiciel d’espionnage Pegasus » de NSO Group pour espionner 36 smartphones personnels appartenant à des journalistes, producteurs, présentateurs ou cadres dirigeants d’Al-Jazira. L’iPhone d’une journaliste londonienne d’Al Araby TV a également été ciblé, ajoute le rapport.
Des infections « zéro clic »
Les chercheurs du Citizen Lab – qui avaient déjà, en 2016, révélé l’existence de Pegasus – notent une évolution particulièrement préoccupante dans le mode opératoire des personnes ayant réalisé cette attaque. L’infection par le logiciel Pegasus a eu lieu, selon eux, grâce à une technique reposant sur des failles de sécurité de logiciels et appareils Apple récents (iPhone 11 ou XS Max), tournant alors sous iOS 13, le système d’exploitation le plus à jour au moment des attaques.
Ces piratages ont été possibles à cause d’une vulnérabilité « zéro clic », qui ne nécessitait pas de piéger l’utilisateur par un lien frauduleux envoyé, par exemple, par SMS. Selon les explications données par le Citizen Lab, c’est à partir d’une simple notification apparue sur les iPhone en question, générée à partir d’applications vérolées préalablement installées, que le logiciel malveillant aurait pu ensuite infecter l’appareil afin de collecter et transmettre des données.
Sur l’iPhone 11 d’un journaliste d’investigation d’Al-Jazira analysé par le Citizen Lab, les chercheurs avancent que le logiciel Pegasus, dont ils ont trouvé la trace, aurait pu, en toute discrétion, enregistrer du son grâce au micro de l’appareil (et donc écouter des appels téléphoniques) ou prendre des photos.
Il semble aussi que les données géolocalisées des appareils, ou des identifiants et des mots de passe enregistrés localement, aient pu être accessibles à distance. « Cela a permis de transformer les iPhone de journalistes en puissants outils de surveillance, sans même nécessiter de devoir tromper leurs utilisateurs en les faisant cliquer sur des liens » malveillants, explique le Citizen Lab.
NSO Group ne commente pas
Ces failles semblent avoir été depuis corrigées. Contacté par le Citizen Lab, Apple a expliqué enquêter afin de pouvoir vérifier les données et informations exposées par les chercheurs. La firme a aussi expliqué à l’agence Associated Press que la dernière version de son système d’exploitation pour iPhone (iOS 14, sorti en septembre) comprenait de « nouvelles protections » destinées à empêcher « le genre d’attaques » décrites par le Citizen Lab. Ce dernier conseille vivement, dans son rapport, d’installer la mise à jour iOS 14 sur les appareils Apple compatibles pour éviter d’être infecté par des logiciels tels que ceux de NSO Group.
De son côté, NSO Group a déclaré à Associated Press ainsi qu’au quotidien britannique The Guardian ne pas « être en mesure de commenter » les informations du Citizen Lab, faute d’avoir pu les étudier dans le détail pour le moment. L’entreprise israélienne a également affirmé, dans ses déclarations à la presse, ne fournir ses technologies de surveillance que dans le seul but de permettre à « des agences gouvernementales » de mener des opérations antiterroristes ou contre le crime organisé. Et promet qu’en cas de « preuves crédibles » concernant des « mauvais usages » de ses logiciels de surveillance, toutes les « décisions nécessaires » seront prises pour enquêter sur le sujet.
NSO Group est régulièrement accusé de fournir des outils incompatibles avec le respect des droits de l’homme, car ayant permis notamment l’espionnage de journalistes et d’opposants politiques dans des affaires similaires, que ce soit au Maroc, au Togo, ou encore, comme l’a révélé Le Monde récemment, au Mexique.
En octobre 2019, WhatsApp, propriété de Facebook, a porté plainte directement contre NSO Group pour avoir permis d’utiliser une faille de sécurité de son application, qui aurait conduit à l’espionnage de journalistes ou de militants des droits de l’homme. L’infection avait lieu à partir d’un « appel manqué » passé sur WhatsApp, qui permettait d’infecter le destinataire de l’appel même si celui-ci ne décrochait pas.
L’Arabie saoudite soupçonnée
S’il est toujours extrêmement difficile de définir qui a pu, précisément, ordonner une attaque informatique, le rapport du Citizen Lab donne des éléments techniques. Il explique que les logiciels espions repérés ont envoyé des données à des serveurs en Arabie saoudite et aux Emirats arabes unis. Contactées par Associated Press, les autorités des deux pays n’avaient pas réagi à ces informations, lundi 21 décembre.
Des dizaines d’iPhone de journalistes de la chaîne d’informations qatarie ont été surveillés de manière indétectable grâce à des outils de l’entreprise israélienne NSO Group, révèle un rapport du Citizen Lab de Toronto, expert dans l’étude des logiciels espions.
Par Michaël Szadkowski
Le Monde du 22 decembre 2020
Les iPhone de dizaines d’employés de la chaîne d’information Al-Jazira auraient été espionnés, en 2019 et en 2020, grâce à des outils d’espionnage sophistiqués fourni par l’entreprise israélienne NSO Group. L’accusation, qui repose sur une analyse technique approfondie, menée directement à partir de certains iPhone des journalistes en question, est formulée par le Citizen Lab de Toronto, qui regroupe des experts en sécurité informatique spécialisés dans les logiciels espions.
Ils ont publié, dimanche 20 décembre, un rapport détaillant les méthodes avec lesquels les journalistes de la chaîne qatarie ont été espionnés directement sur leurs appareils. Cela plus particulièrement lors d’une attaque « coordonnée » perpétrée en juillet et en août 2020. Des « agents gouvernementaux » auraient alors utilisé « le logiciel d’espionnage Pegasus » de NSO Group pour espionner 36 smartphones personnels appartenant à des journalistes, producteurs, présentateurs ou cadres dirigeants d’Al-Jazira. L’iPhone d’une journaliste londonienne d’Al Araby TV a également été ciblé, ajoute le rapport.
Des infections « zéro clic »
Les chercheurs du Citizen Lab – qui avaient déjà, en 2016, révélé l’existence de Pegasus – notent une évolution particulièrement préoccupante dans le mode opératoire des personnes ayant réalisé cette attaque. L’infection par le logiciel Pegasus a eu lieu, selon eux, grâce à une technique reposant sur des failles de sécurité de logiciels et appareils Apple récents (iPhone 11 ou XS Max), tournant alors sous iOS 13, le système d’exploitation le plus à jour au moment des attaques.
Ces piratages ont été possibles à cause d’une vulnérabilité « zéro clic », qui ne nécessitait pas de piéger l’utilisateur par un lien frauduleux envoyé, par exemple, par SMS. Selon les explications données par le Citizen Lab, c’est à partir d’une simple notification apparue sur les iPhone en question, générée à partir d’applications vérolées préalablement installées, que le logiciel malveillant aurait pu ensuite infecter l’appareil afin de collecter et transmettre des données.
Sur l’iPhone 11 d’un journaliste d’investigation d’Al-Jazira analysé par le Citizen Lab, les chercheurs avancent que le logiciel Pegasus, dont ils ont trouvé la trace, aurait pu, en toute discrétion, enregistrer du son grâce au micro de l’appareil (et donc écouter des appels téléphoniques) ou prendre des photos.
Il semble aussi que les données géolocalisées des appareils, ou des identifiants et des mots de passe enregistrés localement, aient pu être accessibles à distance. « Cela a permis de transformer les iPhone de journalistes en puissants outils de surveillance, sans même nécessiter de devoir tromper leurs utilisateurs en les faisant cliquer sur des liens » malveillants, explique le Citizen Lab.
NSO Group ne commente pas
Ces failles semblent avoir été depuis corrigées. Contacté par le Citizen Lab, Apple a expliqué enquêter afin de pouvoir vérifier les données et informations exposées par les chercheurs. La firme a aussi expliqué à l’agence Associated Press que la dernière version de son système d’exploitation pour iPhone (iOS 14, sorti en septembre) comprenait de « nouvelles protections » destinées à empêcher « le genre d’attaques » décrites par le Citizen Lab. Ce dernier conseille vivement, dans son rapport, d’installer la mise à jour iOS 14 sur les appareils Apple compatibles pour éviter d’être infecté par des logiciels tels que ceux de NSO Group.
De son côté, NSO Group a déclaré à Associated Press ainsi qu’au quotidien britannique The Guardian ne pas « être en mesure de commenter » les informations du Citizen Lab, faute d’avoir pu les étudier dans le détail pour le moment. L’entreprise israélienne a également affirmé, dans ses déclarations à la presse, ne fournir ses technologies de surveillance que dans le seul but de permettre à « des agences gouvernementales » de mener des opérations antiterroristes ou contre le crime organisé. Et promet qu’en cas de « preuves crédibles » concernant des « mauvais usages » de ses logiciels de surveillance, toutes les « décisions nécessaires » seront prises pour enquêter sur le sujet.
NSO Group est régulièrement accusé de fournir des outils incompatibles avec le respect des droits de l’homme, car ayant permis notamment l’espionnage de journalistes et d’opposants politiques dans des affaires similaires, que ce soit au Maroc, au Togo, ou encore, comme l’a révélé Le Monde récemment, au Mexique.
En octobre 2019, WhatsApp, propriété de Facebook, a porté plainte directement contre NSO Group pour avoir permis d’utiliser une faille de sécurité de son application, qui aurait conduit à l’espionnage de journalistes ou de militants des droits de l’homme. L’infection avait lieu à partir d’un « appel manqué » passé sur WhatsApp, qui permettait d’infecter le destinataire de l’appel même si celui-ci ne décrochait pas.
L’Arabie saoudite soupçonnée
S’il est toujours extrêmement difficile de définir qui a pu, précisément, ordonner une attaque informatique, le rapport du Citizen Lab donne des éléments techniques. Il explique que les logiciels espions repérés ont envoyé des données à des serveurs en Arabie saoudite et aux Emirats arabes unis. Contactées par Associated Press, les autorités des deux pays n’avaient pas réagi à ces informations, lundi 21 décembre.