Smartphone et forensique : Pégasus
J’ai regardé ce weekend la présentation de Etienne Maynier dans le symposium sur la sécurité des technologies de l’information et des communications (SSTIC), qui est une conférence francophone sur le thème de la sécurité de l’information, oú il a parlé surtout de l’histoire de la société israélienne NSO Group, le fonctionnement de Pégasus et il a détaillé la méthodologie forensique utilisée pour démontrer techniquement l’infection avec le logiciel-espion Pégasus. Je vous recommande vraiment cette présentation pour mettre à jour vos connaissances sur la scène de l’espionnage.
Les attaques informatiques contre les journalistes et les défenseur·ses des droites humaines se sont multipliées dernièrement, bien souvent avec les mêmes outils et techniques utilisées contre des gouvernements ou des entreprises. Dès 2012, il est apparu que plusieurs d’États utilisaient les malwares développés par la première génération d’entreprises d’espionnage, notamment Hacking Team et Gamma Group/Finfisher. En 2016, l’existence de NSO Group a été révélée comme un nouveau leader avec un logiciel-espion appelé Pégasus permettant de pirater des téléphones portables.
Les attaques informatiques contre les journalistes et les défenseur·ses des droites humaines se sont multipliées dernièrement, bien souvent avec les mêmes outils et techniques utilisées contre des gouvernements ou des entreprises. Dès 2012, il est apparu que plusieurs d’États utilisaient les malwares développés par la première génération d’entreprises d’espionnage, notamment Hacking Team et Gamma Group/Finfisher. En 2016, l’existence de NSO Group a été révélée comme un nouveau leader avec un logiciel-espion appelé Pégasus permettant de pirater des téléphones portables.
Pégasus est un malware commercial développé exclusivement pour smartphone et vendu officiellement à des fins de lutte contre le terrorisme. Il se base sur l’utilisation de vulnérabilités 0-day pour l’infection et l’élévation de privilège afin de s’installer au plus haut niveau de privilège du système. Il est malheureusement difficile de savoir à quoi ressemble Pégasus aujourd’hui mais les anciennes versions surveillent l’état du téléphone et suppriment le malware si une tentative de jailbreak est découverte, ou si le malware ne peut pas communiquer avec les serveurs de C&C.
Les chercheurs pensent que les versions récentes de Pégasus n’ont pas de persistance sur le système et sont donc supprimées par un simple redémarrage du téléphone parce que les infections sans clics permettant de réinfecter le téléphone si besoin, rendant très difficile la récupération du logiciel lors d’une analyse. Donc, Amnesty International a développé une méthodologie d’analyse forensique pour identifier des traces de Pégasus sur smartphone. Notamment, il est basé sur les backups sur les iPhone car Android a besoin d’une méthode plus intrusive a cause du jailbreak.
Afin de simplifier l’analyse de backups, Amnesty International a développé et publié un logiciel (Mobile Verification Toolkit) qui permet à la fois d’aider à l’analyse d’un téléphone, d’extraire les données ainsi que d’identifier de potentielles traces malveillantes à partir d’indicateurs de compromission (IOC). L’analyse d’artefacts est organisée en modules qui sont regroupés par type d’analyse et sont lancés les uns après les autres lors d’un l’analyse.
Pégasus est à la une ces semaines en raison du fait que le gouvernement espagnol l’a utilisé contre des politiciens catalans et c’est pour ça que je voulais lire et apprendre sur ce logiciel-espion.
Qu’est-ce que vous pensez de Pégasus? J’espère vos réponses.
Qu’est-ce que vous pensez de Pégasus? J’espère vos réponses.
Commentaires
Enregistrer un commentaire