Invisible pour l’utilisateur d’un smartphone ciblé, Pegasus, l’outil d’espionnage de la société israélienne NSO Group, laisse néanmoins des traces sur les terminaux. Tehtris, Champion 2021 du pôle Systematic, fait partie de celles qui sont capables de les identifier.

Développé par la société israélienne NSO, Pegasus, ce logiciel d’une efficacité redoutable, est accusé par une vaste enquête d’ONG et de médias, publiée le 19 juillet, d’avoir permis l’espionnage de nombreux journalistes, militants et opposants du monde entier. Le principe est simple : le logiciel s’introduit dans le smartphone de la victime par une faille d’IOS ou d’Android. Une fois en place, il exporte les données du téléphone (photos, messages, mails) vers des sites web mis en place par NSO ou ses clients. Ceux-ci changent régulièrement pour ne pas être repérés.

3 entreprises au monde capables de repérer Pegasus

Dans le monde, au-delà des experts en cybersécurité ayant collaboré avec Amnesty International dans le cadre du Project Pegasus, seules trois entreprises seraient capables de repérer l’utilisation du logiciel des Israéliens de NSO Group, au cœur d’inquiétantes révélations. Laurent Oudot, directeur technique de Tehtris interrogé par Challenges, cite les firmes étatsuniennes Crowdstrike et Lookout, en plus de la pépite française qu’il a cofondée en 2010 avec Elena Poincet, ex-directrice technique de la DGSE.

Laurent Oudot confirme qu’identifier cette arme numérique extrêmement puissante, outil espion “zéro click” exploitant les failles non colmatées présentes au sein d’Android et iOS, est extrêmement difficile tant Pegasus laisse peu de traces sur les terminaux où il est utilisé. L’exercice est d’ailleurs encore plus délicat sous Android qu’il ne l’est déjà sous iOS. Pourtant, Pegasus est en mesure d’écouter les appels et de lire les SMS reçus et émis par un téléphone, d’exfiltrer l’ensemble des données présentes sur le terminal, et même d’espionner ce qu’il se passe du côté des messageries chiffrées telles que Signal ou WhatsApp.

Comment Tehtris repère Pegasus ?

Pour repérer l’utilisation de Pegasus sur un téléphone, il faut évidemment pouvoir l’analyser. Tehtris y cherche par exemple les anomalies système bas niveau avec son outil Tehtris Mobile Threat Defense, dont une version gratuite est proposée sous Android et iOS pour un premier scan. Autre possibilité, chercher les traces de communications non conventionnelles. “Beaucoup de communications utilisées par Pegasus sont peu classiques et donc très visibles”, confirme Laurent Oudot à Challenges. On peut également chercher à identifier l’usage d’éléments non signés sur les iPhone, s’agissant de programmes non autorisés par Apple. Mieux, Tehtris sait fermer les communications vers des sites et domaines Internet inconnus ou suspects, pouvant donc éventuellement bloquer l’exfiltration de données.

Sachant que Pegasus semble être de plus en plus utilisé par les agences de nombreux États (avec l’accord du gouvernement israélien), et qu’aucun cadre légal ne régit son utilisation, on comprend que les quelques acteurs qui, comme Tehtris, sont en mesure de le détecter, pourraient voir leur valeur grimper en flèche.

 

Tehtris fait partie du palmarès 2021 des Champions Systematic !