Pour se protéger des logiciels espions : redémarrez votre téléphone (entre autres)

NSA VS NSO
00
Mobilité 18 min
Pour se protéger des logiciels espions : redémarrez votre téléphone (entre autres)
Crédits : EFF (licence CC-BY 3.0)
Jean-Marc Manach
Par Le jeudi 13 janvier 2022 à 16:17
Signaler une erreur

Plusieurs mémos de la NSA et du contre-espionnage américain expliquent comment tenter de se protéger des logiciels espions type Pegasus, et recommandent, notamment, de redémarrer son terminal régulièrement. The Intercept rappelle pour sa part l'importance de la sécurité opérationnelle (OPSEC, pour « OPerations SECurity »).

L'affaire Pegasus, du nom du logiciel espion de la société israélienne NSO, a mis en lumière le fait que certains d'entre eux parviennent désormais à infecter des terminaux via des attaques « zéro clic » ne nécessitant donc aucune interaction de la part de leurs utilisateurs.

NSO avait en effet identifié une ou plusieurs failles « 0 day » sur une ou plusieurs applications de messageries lui permettant d'infecter un terminal en lui envoyant un message.

Pour autant, s'il est impossible de pouvoir se prémunir à coup sûr de ce risque d'infection, plusieurs contre-mesures et précautions permettent de réduire sa surface d'exposition, et donc le risque de voir son terminal être infecté par un logiciel espion.

Le Centre national de contre-espionnage et de sécurité (NCSC) et le département d'État américain viennent ainsi de publier un bulletin récapitulant les mesures à prendre pour se protéger des « logiciels commerciaux » utilisés par « certains gouvernements » pour « cibler les dissidents, les journalistes et d'autres personnes dans le monde qu'ils perçoivent comme des critiques ».

Intitulé « Protégez-vous : outils de surveillance commerciaux », le document précise que « dans certains cas, des acteurs malveillants peuvent infecter un appareil ciblé sans aucune action de la part du propriétaire de l'appareil. Dans d'autres, ils peuvent utiliser un lien infecté pour accéder à un appareil. »

Ces outils de surveillance peuvent :

  • « enregistrer l'audio, y compris les appels téléphoniques ;
  • suivre l'emplacement du téléphone ;
  • accéder et récupérer pratiquement tout le contenu d'un téléphone, y compris les messages texte, les fichiers, les discussions, le contenu de l'application de messagerie commerciale, les contacts et l'historique de navigation. »

Le document ne mentionne pas explicitement le logiciel espion Pegasus de la société israélienne NSO (dont on avait découvert en décembre dernier qu'il avait été utilisé pour espionner des fonctionnaires américains en Ouganda), pas plus que son concurrent Candiru (qui avait été placé, avec NSO, sur liste noire par les États-Unis en novembre 2021), mais leur modus operandi correspond en tout point, et c'est bien de ce type de menace qu'il est question.

Dean Boyd, porte-parole du NCSC, explique en effet au New York Times que, « bien que les citoyens américains ordinaires ne soient peut-être pas les principales cibles, nous sommes vivement préoccupés par le fait que certains gouvernements utilisent des logiciels de surveillance commerciaux d'une manière qui pose un grave risque de contre-espionnage et de sécurité pour le personnel et les systèmes américains. »

Chiffrer vos terminaux, couvrez les caméras

Le document ne prétend pas qu'il est possible d'empêcher ses terminaux d'être infectés par tels logiciels espions, mais présente des conseils basiques de cybersécurité censés minimiser le risque d'être victime de telles attaques.

Sans surprise, il y est ainsi question de mettre régulièrement à jour les systèmes d'exploitation et les applications, de chiffrer ses terminaux et de les protéger par un mot de passe, d'utiliser des VPN réputés.

Le mémo propose aussi bien évidemment de garder le contrôle physique de votre appareil « lorsque cela est possible », de désactiver les options de géolocalisation et de recouvrir la caméra.

Pour ce qui est des messageries, il rappelle qu'il faut se méfier des contenus provenant d'expéditeurs inconnus, « en particulier ceux qui contiennent des liens ou des pièces jointes », et conseille de ne pas cliquer sur des liens ou e-mails et pièces jointes « suspects », mais également de bien vérifier les URL avant de cliquer sur les liens ou d'accéder aux sites Web.

Redémarrer une fois par semaine

Plus étonnant, le mémo conseille aussi de « redémarrer régulièrement les appareils mobiles, ce qui peut aider à endommager ou à supprimer les implants de logiciels malveillants ».

Ce n'est pas la première fois que les autorités américaines conseillent de redémarrer régulièrement ses terminaux. Dans sa rubrique intitulée « Guide de la NSA sur le télétravail et la sécurité mobile », l'agence américaine (qui est aussi, à l'instar de l'ANSSI en France, en charge de la cybersécurité) propose en effet un poster consacré aux meilleures pratiques en matière de téléphonie mobile.

Rendu public en octobre 2020, il conseillait de redémarrer ses terminaux une fois par semaine afin de limiter les risques en termes d'installation de malware via spearfishing, et d'exploits « 0 clic ». Le document précisait que cela pouvait « parfois prévenir » ce type d'attaque. 

  • NSA mobile
  • NSA mobile

Un second guide de la NSA expliquant lui aussi comment sécuriser ses terminaux sans fil, publié en juillet 2021 dans le contexte du télé-travail dû au covid-19, précisait pour sa part qu'il fallait redémarrer ses terminaux régulièrement « en particulier pour les téléphones mobiles après avoir utilisé un Wi-Fi non fiable ».

Une nouvelle attaque simule un vrai-faux redémarrage

Une nouvelle attaque pourrait contrecarrer cette contre-mesure. En 2019, des chercheurs du projet Google Zero de Google avaient en effet identifié une attaque sophistiquée exploitant pas moins de 14 vulnérabilités « 0 day » distinctes sur iOS.

Déployée sur « une petite collection de sites web piratés », elle permettait d'infecter les terminaux en mode « 0 clic » : « il suffisait de visiter le site piraté pour que le serveur d'exploit attaque votre appareil, et s'il réussissait, installe un implant de surveillance ».

Or, relevait alors Ars Technica, « le malware installé, presque impossible à détecter pour la plupart des utilisateurs, ne peut pas persister après un redémarrage de l'appareil, donc les téléphones compromis sont désinfectés dès qu'ils sont redémarrés ».

Des chercheurs de la société de cybersécurité ZecOps rappellent à ce titre que « la persistance d'iOS est supposée être le bug le plus difficile à trouver ». Ils viennent cela dit d'identifier « un bug de persistance ultime : un bogue qui ne peut pas être corrigé car il n'exploite aucun bogue de persistance – il ne fait que jouer des tours avec l'esprit humain », en faisant croire à un utilisateur infecté que le téléphone a été éteint, mais en fait, il fonctionne toujours.

Cette approche, qu'ils ont surnommé « NoReboot », simule un véritable arrêt de sorte que l'utilisateur ne puisse voir de différence entre un véritable arrêt et un « faux arrêt ». « La réalité est en fait un peu plus compliquée que cela », précisent-ils cela dit, le cryptographe Bruce Shneier qualifiant leur découverte de « hack compliqué, mais ça marche ».

Ne faites jamais confiance à un appareil qui n'est pas éteint

Leur preuve de concept repose sur le fait de désactiver tous les indicateurs montrant que l'iPhone est allumé, puis de simuler tous ceux indiquant qu'il a redémarré, de sorte de permettre à un cheval de Troie ou un malware de ne pas être désactivé par le redémarrage du terminal.

BleepingComputer rappelle que pour redémarrer l'iPhone, il faut appuyer et maintenir le bouton d'alimentation et l'un des boutons de volume jusqu'à ce que le curseur avec l'option de redémarrage apparaisse, puis attendre environ 30 secondes pour que l'action se termine :

« Lorsqu'un iPhone est éteint, son écran s'assombrit naturellement, l'appareil photo est éteint, le retour tactile 3D ne répond pas aux appuis longs, les sons des appels et des notifications sont coupés et toutes les vibrations sont absentes. »

Ils ont donc paramétré leur cheval de Troie pour qu'il simule cet enchaînement, sans que l'utilisateur ne puisse a priori s'apercevoir du subterfuge :

 

Ils se sont ensuite intéressés au « redémarrage forcé », obtenu en cliquant rapidement sur « Augmenter le volume », puis « Baisser le volume », puis longuement sur le bouton d'alimentation jusqu'à ce que le logo Apple apparaisse.

S'ils n'ont pas trouvé de moyen facile de le simuler, ils estiment cela dit qu'« il est tout à fait possible pour des acteurs malveillants d'observer la tentative de l'utilisateur d'effectuer un redémarrage forcé et de faire délibérément apparaître le logo Apple quelques secondes plus tôt, incitant l'utilisateur à relâcher le bouton plus tôt que prévu ».

Find My

Les chercheurs de ZecOps concluent leur billet en citant l'analyse qu'avait faite la chercheuse en malware @naehrdine de la fonctionnalité Find My, qui permet de localiser un iPhone même s'il est éteint depuis iOS 15.0.

Apple n'avait pas pris la peine d'expliquer comment cela fonctionnait exactement, mais elle avait découvert que cela était rendu possible en maintenant la puce Bluetooth LPM active et en fonctionnant de manière autonome même lorsque l'iPhone est éteint.

Ce qui lui avait fait écrire : « Ne faites jamais confiance à un appareil qui n'est pas éteint tant que vous n'avez pas retiré sa batterie ou, mieux encore, l'ayez mis dans un mixeur ».

« En supposant que quelqu'un ait piraté votre iPhone et vous espionne, il pourrait tout aussi bien afficher un écran de "mise hors tension" correct, puis ne pas éteindre l'iPhone. Par exemple, le téléviseur Samsung a été piraté par la CIA avec un mode Fake-Off pour espionner les gens. »

Se comporter comme si l'appareil était compromis

La fiche du NCSC concluait-elle aussi ses recommandations en rappelant que « bien que ces étapes atténuent les risques, elles ne les éliminent pas », ce pourquoi :

« Il est toujours plus sûr de se comporter comme si l'appareil était compromis, alors faites attention au contenu sensible. »

Les documents de la NSA recommandaient de leur côté, en outre, de :

  • désactiver par défaut le Wi-Fi et le Bluetooth (ainsi que le NFC, même si la menace serait moins avérée),
  • ne les activer qu'en cas de besoin,
  • ne pas avoir de conversation sensible à proximité d'un téléphone,
  • opter pour un code pin à 6 chiffres,
  • utiliser un étui téléphonique pouvant bloquer le micro,
  • n'utiliser que des câbles et connectiques de confiance,
  • ne jamais connecter ses terminaux sur des stations de recharge USB publiques.

On pourra aussi se reporter à cette vidéo où ZecOps revenait sur Pegasus, et expliquait comment tenter de s'en protéger, recommandant lui aussi, notamment, de redémarrer son téléphone tous les jours (voir aussi la version courte) : 

 

L'OPSEC et le maillon faible

Suite aux révélations du consortium Pegasus Project réunis par l'ONG Forbidden Stories, l'équipe de sécurité du site The Intercept, lancé dans la foulée des révélations Snowden, avait lui aussi publié un article expliquant comment tenter de se défendre de ce type de logiciels espions.

Rebondissant sur l'analyse de ce que le cryptographe Matthew Green avait qualifié de « nihilisme de la sécurité », à savoir l'idée que les attaques numériques seraient devenues si sophistiquées qu'il n'y a rien à faire pour les empêcher de se produire ou pour atténuer leur impact, The Intercept tenait, a contrario, à rappeler que « vous pouvez vous défendre contre les logiciels espions de NSO » :

« Il n'existe peut-être pas de sécurité parfaite, comme le dit un adage classique dans le domaine, mais ce n'est pas une excuse pour la passivité. »

The Intercept insistait ainsi sur l'importance de la « sécurité opérationnelle » (OPSEC, pour « OPerations SECurity »), à savoir les contre-mesures, techniques et non techniques, que les utilisateurs peuvent ou doivent mettre en oeuvre afin de se protéger, et d'éviter de commettre des erreurs et d'être le « maillon faible » permettant, involontairement, à l'attaquant de réussir son infiltration.

Une brochure promotionnelle de NSO Group rendue publique par WikiLeaks qualifiait ainsi de « Enhanced Social Engineer Message », ou ESEM, les messages d'appât qu'ils envoient à leurs cibles afin de les inviter à cliquer sur des liens malveillants :

« Les chances que la cible clique sur le lien dépendent totalement du niveau de crédibilité du contenu. La solution Pegasus fournit une large gamme d'outils pour composer un message sur mesure et innocent afin d'inciter la cible à ouvrir le message. »

Comme l'a détaillé le Comité pour la protection des journalistes (CPJ), les messages d'appât ESEM liés à Pegasus se répartissent en différentes catégories :

« Certains prétendent provenir d'organisations établies comme des banques, des ambassades, des agences de presse ou des services de livraison de colis. D'autres concernent des questions personnelles, comme le travail ou des preuves présumées d'infidélité, ou prétendent que la personne ciblée est confrontée à un risque immédiat pour sa sécurité. »

Voici quelques exemples de ce que cela signifie en pratique, développait le CPJ :

  • Si vous recevez un message avec un lien, en particulier s'il comporte un sentiment d'urgence (indiquant qu'un colis est sur le point d'arriver ou que votre carte de crédit va être débitée), évitez l'impulsion de cliquer immédiatement dessus.
  • Si vous faites confiance au site en question, saisissez l'adresse Web du lien manuellement.
  • Si vous vous rendez sur un site Web que vous visitez fréquemment, enregistrez ce site Web dans un dossier de signets et n'accédez au site qu'à partir du lien dans votre dossier.
  • Si vous décidez de cliquer sur un lien plutôt que de le taper ou de visiter le site via un signet, examinez au moins le lien pour confirmer qu'il pointe vers un site Web que vous connaissez bien. Et rappelez-vous qu'il est possible que vous soyez toujours dupé : certains liens de phishing utilisent des lettres d'apparence similaire provenant d'un jeu de caractères non anglais, dans ce que l'on appelle une attaque par homographe. Par exemple, un « О » cyrillique peut être utilisé pour imiter le « O » latin habituel que nous voyons en anglais.
  • Si le lien semble être une URL raccourcie, utilisez un service d'extension d'URL tel que URL Expander ou ExpandURL pour révéler le lien long et réel vers lequel il pointe avant de cliquer.
  • Avant de cliquer sur un lien apparemment envoyé par quelqu'un que vous connaissez, confirmez que la personne l'a bien envoyé ; leur compte peut avoir été piraté ou leur numéro de téléphone usurpé. Confirmez avec eux en utilisant un canal de communication différent de celui sur lequel vous avez reçu le message. Par exemple, si le lien provient d'un SMS ou d'un e-mail, appelez l'expéditeur.
  • Compartimentez vos appareils, en utilisant un appareil secondaire sans aucune information sensible dessus pour ouvrir des liens non fiables. Gardez à l'esprit que si l'appareil secondaire est infecté, il peut toujours être utilisé pour vous surveiller via le microphone ou la caméra, alors gardez-le dans un sac Faraday lorsqu'il n'est pas utilisé - ou au moins loin des endroits où vous avez des conversations sensibles.
  • Utilisez des navigateurs autres que ceux installés par défaut. Une section intitulée « Échec de l'installation » dans la brochure Pegasus en question précisait en effet que l'installation peut échouer si la cible exécute un navigateur non pris en charge et en particulier un navigateur autre que « le navigateur par défaut de l'appareil ». Le document datant de plusieurs années, il est cela dit possible que Pegasus et ses concurrents supportent désormais toutes sortes de navigateurs.
  • En cas de doute sur un lien donné, la mesure de sécurité opérationnelle la plus sûre consiste à éviter d'ouvrir le lien.

L'article de The Intercept reprend et détaille par ailleurs les conseils « basiques » recommandés eux aussi par la NSA. Ces derniers ne sauraient pour autant résumer l'ensemble du spectre de ce que recouvrent les bonnes pratiques en termes de sécurité informatique. Comme le serine Bruce Schneier : « la sécurité est un process, pas un produit ».

Ceux qui voudraient creuser la question peuvent se reporter au récent guide (en 4 parties : hygiène de base, ordinateur, smartphones et arnaques, conseils pourris) d'Ars Technica, aux différents modèles de menace détaillés sur l'excellent guide d'audo-défense numérique de l'EFF, aux ressources compilées par le projet ononymous de Tactical Tech, au Hitchhiker’s Guide to Online Anonymity, ou encore au wiki (en français) de l'ONG Nothing2Hide.

Une menace surévaluée ?

On rappellera, cela dit, que la probabilité d'être ciblé par un logiciel type Pegasus est extrêmement faible, pour ne pas dire quasi-inexistante, parce que réservés aux services de renseignement étatiques, d'une part. D'autre part, ils coûtent une fortune.

Ils sont donc a priori réservés à ce que les anglo-saxons qualifient de « high value targets » (HVT), ainsi qu'à celles et ceux de leurs proches pouvant représenter un « maillon faible » susceptible d'atteindre une HVT. Le Projet Pegasus a ainsi montré que le logiciel espion avait ciblé plusieurs des proches de Jamal Kashoogi, le dissident saoudien assassiné en Turquie.

De plus, les clients de ses logiciels espions n'ont pas forcément intérêt à s'en servir, non plus qu'a viser trop de cibles. Comme l'avait expliqué Bernard Barbier, l'ancien directeur technique de la DGSE, les armes informatiques ne sont pas comparables à des armes classiques.

D'une part, parce que sauf à ce qu'elle n'explose pas, une bombe ne peut pas être rétro-ingénierée. A contrario, soulignait Barbier, les armes informatiques « ont une action limitée dans le temps puisque l’adversaire peut les récupérer, les comprendre, les analyser, les réutiliser et vous, vous devez avoir toujours une longueur d’avance ».

La mise en ligne d'EternalBlue, un exploit de la NSA, par le mystérieux groupe ShadowBrokers, qui avait dans la foulée été réutilisé pour lancer des cyberattaques massives attribuées à la Russie et la Corée du Nord, Wannacry et NotPetya, en a depuis été une parfaite illustration.

Le Projet Pegasus a ainsi, de même, considérablement terni la réputation de NSO, et permis aux laboratoires Citizen Lab et AmnestyTech d'améliorer leurs connaissances des modus operandi du logiciel espion, contribuant à identifier des dizaines de nouvelles victimes.

La découverte de signatures et vecteurs techniques utilisés, ainsi que les failles « 0 day » exploitées, ont non seulement permis à Apple de corriger celle qui était exploitée par NSO, mais vont donc aussi l'obliger à revoir ses tactiques, techniques et procédures (TTPs), de sorte d'espérer pouvoir repasser sous les radars.

Et ce d'autant que ces dernières risquent fort d'être rajoutées aux signatures des éditeurs d'antivirus et autres logiciels de sécurité. Les efforts de NSO seront probablement et par ailleurs contrecarrés du fait que de nombreux chercheurs vont aussi commencer à s'en servir pour tenter de documenter encore plus avant les TTPs d'ores et déjà identifiés par Citizen Lab et Amnesty Tech, les deux équipes de chercheurs qui, depuis des années, viennent en aide aux victimes des logiciels espions particulièrement sophistiqués de type Pegasus.

Peu d'États utilisent des « 0 days »

Rob Joyce, l'ancien patron du bureau des Tailored Access Operations (TAO, Opérations d'accès sur mesure en français), l'unité chargée de pénétrer les ordinateurs et systèmes d'information ciblés par la NSA, expliquait de façon différente, dans une passionnante conférence en 2016, comment se protéger d'acteurs aussi puissants que ceux du type de la NSA, et pourquoi ils n'utilisaient que très peu de « 0 day » :

« Dans de nombreux cas, nous connaissons mieux les réseaux que les personnes qui les ont conçus et gérés. Pendant la phase de reconnaissance, les agents examinent un réseau électroniquement et, dans certains cas, physiquement. Ils déterminent qui est le personnel clé, quels comptes de messagerie sont importants, jusqu'où s'étend le réseau et maintiennent une surveillance constante jusqu'à ce qu'ils puissent trouver un moyen d'entrer. »

 

Pour la phase d'exploitation initiale, les principaux vecteurs d'attaque sont les pièces jointes de logiciels malveillants dans les e-mails, les attaques par injection à partir de sites Web et les supports amovibles.

« Beaucoup de monde pense que les États-nations lancent leurs opérations en utilisant des "zéro day", mais c'est loin d'être commun », précisait-il : « Pour les grands réseaux d'entreprise, la persistance et la concentration vous permettront d'entrer sans "zéro day" ; il y a tellement plus de vecteurs plus faciles, moins risqués et plus productifs à exploiter. »

Quant à la propre collection d'exploits zero-day de la NSA, Joyce expliqua que l'agence n'en avait que très peu, et que chaque nouvelle découverte était évaluée par un comité externe pour voir quand les fabricants de logiciels devraient être informés pour créer un correctif.

En tout état de cause, vous avez bien plus de risques d'être surveillé par quelqu'un de votre entourage, qu'il s'agisse de votre conjoint (jaloux), employeur (suspicieux) ou collègue (malveillant), voire par un barbouze recruté par un adversaire ou concurrent.

Une bonne hygiène informatique, et donc un peu d'OPSEC, ne saurait pour autant vraiment vous en prémunir, à mesure qu'il est difficile de se protéger de personnes pouvant accéder physiquement à vos terminaux. D'où l'importance du recours à un anti-virus (à jour), quelque soit le système (même et y compris sur Mac), de sorte de pouvoir vous protéger des malwares, logiciels espions et chevaux de Troie disponibles dans le commerce grand public.

En cas de doute, le fait de réinitialiser son téléphone aux paramètres d'usine est probablement le plus simple moyen de se remettre les pendules à zéro. En attendant la prochaine menace.

Signaler une erreur
Ce contenu est désormais en accès libre

Il a été produit grâce au soutien de nos abonnés, l'abonnement finance le travail de notre équipe de journalistes

Déjà membre ? Connexion
nxi premiumDécouvrez l'offre Premium
Abonnement Professionnel
OFFRE DÉCOUVERTE
0,99 €Pour 48h d'abonnement
SANS ENGAGEMENTDésabonnement possible à tout moment
8 €Paiement mensuel
1 ANBénéficiez de 2 mois offerts
80 €soit 6,67 € par mois
2 ANSBénéficiez de 6 mois offerts
144 €soit 6,00 € par mois

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7377

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires