Comment Meta a démantelé la dernière infrastructure de phishing de NSO Group

Faites-vous confiance à votre application de messagerie pour vous protéger des mercenaires les plus sophistiqués au monde ? Je pose cette question car, même avec le chiffrement de bout en bout, la véritable bataille se joue aux extrémités du logiciel. Meta a récemment surpris NSO Group en train d'essayer de forcer à nouveau la serrure. Il ne s'agit pas seulement d'un énième jeu du chat et de la souris entre un géant de la technologie et un éditeur de logiciels. C'est une violation directe d'une ordonnance d'un tribunal fédéral. Du point de vue du risque, cet incident révèle que les acteurs de menaces persistantes ne s'arrêtent pas lorsqu'ils perdent une bataille juridique. Ils changent simplement leur infrastructure et tentent une autre porte.

Meta a annoncé lundi avoir détecté et bloqué une série de tentatives de spear-phishing liées au fournisseur de logiciels espions israélien. L'entreprise dépose actuellement une demande d'ordonnance pour outrage au tribunal fédéral contre NSO Group. Cette démarche intervient parce que NSO Group a violé une injonction permanente qui lui interdisait de cibler WhatsApp et ses utilisateurs. En coulisses, les équipes de sécurité de Meta ont traqué les domaines malveillants et les comptes non autorisés que la firme de logiciels espions utilisait pour faciliter ces attaques.

L'architecture d'une attaque en un clic

Le phishing reste un cheval de Troie numérique, même pour les systèmes les plus robustes. Dans cette dernière campagne, NSO Group a utilisé des liens malveillants pour diriger les cibles vers des sites web externes. Il s'agit de campagnes de phishing « 1-click ». Elles nécessitent qu'un utilisateur interagisse avec un lien une seule fois pour compromettre un appareil. Une fois que l'utilisateur clique, le navigateur navigue généralement vers un site qui délivre une charge utile ou récolte des identifiants. Meta a identifié trois domaines spécifiques dans cette campagne : fr24cast[.]com, ghazacast[.]com et ikhwancast[.]com.

J'ai passé une heure ce matin à analyser les conventions de nommage de ces domaines. Ils imitent des services d'information ou de météo. C'est une tactique courante pour abaisser la garde d'une cible. Du point de vue de l'utilisateur final, un lien qui ressemble à une mise à jour des actualités locales est bien moins suspect qu'une chaîne de caractères aléatoires. NSO Group est connu pour ce niveau de détail. Ils ne se contentent pas d'envoyer un lien ; ils élaborent un récit. Au niveau architectural, ces domaines servent de base de lancement pour le logiciel espion Pegasus. Ce logiciel est célèbre pour sa capacité à extraire des messages, des photos et des données de localisation à partir d'appareils Android et iOS.

Violation de l'injonction permanente

Les cadres juridiques ne sont forts que par l'application qui en est faite. Meta pousse pour cette application dès maintenant. En 2023, un tribunal américain a jugé NSO Group responsable de la violation des lois fédérales après avoir exploité les serveurs de WhatsApp pour déployer des logiciels espions sur 1 400 individus. Ce jugement a entraîné une amende d'environ 168 millions de dollars. Plus important encore, il incluait une injonction permanente. Cette barrière juridique interdisait à NSO Group d'accéder à nouveau aux systèmes de WhatsApp.

En créant de nouveaux comptes de test et des groupes, NSO Group a contourné l'esprit et la lettre de cette injonction. Meta a surpris l'entreprise en train de créer ces comptes pour vérifier comment leurs liens de phishing apparaissaient dans l'application. J'ai observé ce comportement dans mes propres environnements de laboratoire. Un attaquant a besoin de voir ce que la cible voit. Ils doivent s'assurer que l'aperçu du lien semble légitime et que le message ne déclenche pas de filtre anti-spam automatisé. Meta a immédiatement supprimé ces comptes et ces groupes. Cette défense proactive est nécessaire car NSO Group a des antécédents d'efforts systémiques pour contourner les contrôles de sécurité.

Les limites du chiffrement de bout en bout

J'entends souvent dire que WhatsApp est sûr parce qu'il est chiffré. C'est une simplification dangereuse. Le chiffrement protège les données en transit. C'est un coffre-fort numérique incassable pour votre message pendant qu'il voyage de votre téléphone vers celui d'un ami. Cependant, le chiffrement ne sert à rien si l'attaquant compromet le point de terminaison. Si un pirate a le contrôle de votre téléphone via Pegasus, il peut lire vos messages avant qu'ils ne soient chiffrés ou après qu'ils aient été déchiffrés.

Le phishing est le pont qui permet aux attaquants de franchir les douves du chiffrement. NSO Group n'essaie pas de briser le protocole Signal utilisé par WhatsApp. Ils savent qu'il est mathématiquement solide. Au lieu de cela, ils ciblent l'humain qui utilise l'application. C'est pourquoi Meta pousse les utilisateurs vers des paramètres de compte stricts. Ces paramètres réduisent la surface d'attaque. Ils transforment l'application en un environnement plus privé où seuls les contacts connus peuvent interagir avec vous.

Renforcer le pare-feu humain

La sécurité est un processus, pas un produit. Meta encourage désormais les personnes à haut risque à utiliser une fonctionnalité de sécurité optionnelle qui fonctionne comme un mode de verrouillage. Ceci s'adresse aux journalistes, aux militants et aux représentants gouvernementaux qui sont des cibles probables pour NSO Group. Lorsque vous activez ces paramètres stricts, l'application limite les fonctionnalités pour accroître la sécurité. Par exemple, elle désactive les aperçus de liens. Bien que les aperçus de liens soient pratiques, ils obligent l'application à contacter un site web pour récupérer une image et une description. Un attaquant peut utiliser ce processus pour recueillir des informations sur l'adresse IP ou le type d'appareil de la cible.

En cas de brèche, ces paramètres offrent une couche de résilience. Le mode strict verrouille également les photos de profil, les informations de la section « À propos » et le statut en ligne pour qu'ils ne soient visibles que par les contacts. Il empêche les comptes inconnus de vous ajouter à des groupes. C'est une transition vers un modèle de confiance zéro (zero-trust) au niveau de l'utilisateur. Il part du principe que toute communication provenant d'une source inconnue est une menace potentielle. Par conséquent, l'utilisateur est plus en sécurité car l'application ne fait plus confiance aux entrées externes par défaut.

Le poids géopolitique des logiciels espions privés

Ce conflit n'est pas seulement entre deux entreprises. C'est une question de sécurité internationale. En 2021, le département du Commerce des États-Unis a ajouté NSO Group à une liste noire. C'était parce que les outils de l'entreprise permettaient à des gouvernements étrangers de mener une répression transnationale. Le gouvernement américain a décidé que les activités de NSO étaient contraires aux intérêts de la sécurité nationale. Cette dernière détection par Meta prouve que la liste noire et les amendes précédentes n'ont pas arrêté les opérations de NSO.

D'un point de vue médico-légal (forensics), la découverte de ces trois domaines fournit une piste pour d'autres chercheurs en sécurité. Lorsque Meta publie ces indicateurs de compromission, cela permet aux analystes SOC du monde entier de vérifier leurs journaux. J'ai vu comment une petite donnée provenant d'une entreprise comme Meta peut révéler une campagne d'État bien plus vaste. Ces domaines sont désormais des actifs toxiques pour NSO. Peu importe le nombre de fois où ils changent de nom, le modèle de leur infrastructure reste reconnaissable pour ceux qui savent où regarder.

Mettre en œuvre une défense proactive

Si vous travaillez dans un domaine où vos données sont une cible, vous ne pouvez pas vous fier aux paramètres par défaut. Mettre à jour vos logiciels est la première étape, mais c'est comme boucher les trous dans la coque d'un navire. Vous devez également changer votre façon d'interagir avec le logiciel. De manière proactive, vous devriez auditer vos paramètres de confidentialité au moins une fois par trimestre. C'est d'autant plus vrai que le phishing piloté par l'IA rend les messages malveillants encore plus difficiles à repérer.

Meta fait le bon choix en portant cette affaire devant les tribunaux. Une amende de 168 millions de dollars n'était manifestement pas un moyen de dissuasion suffisant pour une entreprise qui vend des exploits de grande valeur à des États-nations. Une ordonnance pour outrage entraîne des conséquences plus graves. Elle pourrait conduire à de nouvelles découvertes sur le fonctionnement interne de NSO ou à des sanctions financières encore plus importantes. Pour nous autres, c'est un rappel que le périmètre de nos vies numériques est constamment sous pression.

Mesures pratiques pour les utilisateurs à haut risque

Si vous pensez être exposé à des cyberattaques sophistiquées, prenez immédiatement ces mesures pour sécuriser votre compte.

1. Activez la vérification en deux étapes. Cela ajoute un code PIN requis pour enregistrer à nouveau votre numéro de téléphone sur WhatsApp.
2. Désactivez les aperçus de liens. Cela empêche l'application de se connecter automatiquement à des sites web que vous n'avez pas visités.
3. Restreignez les invitations aux groupes. Réglez ce paramètre sur « Mes contacts » pour empêcher des inconnus de vous ajouter à des groupes malveillants.
4. Mettez à jour votre système d'exploitation. Pegasus s'appuie souvent sur des vulnérabilités de type zero-day dans iOS ou Android.
5. Limitez la visibilité de votre profil. Assurez-vous que votre photo de profil et votre statut « Vu à » ne sont visibles que par les personnes que vous connaissez.

Ces étapes ne vous rendent pas invisible. Elles font de vous une cible difficile. Les firmes de logiciels espions mercenaires cherchent le chemin de la moindre résistance. Si vous fermez les portes faciles, ils passeront peut-être à quelqu'un d'autre.

Sources

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Cet article est fourni à des fins d'information et d'éducation uniquement. Il ne remplace pas un audit de cybersécurité professionnel ou un service de réponse aux incidents.