Cybersécurité

Comment un exploit "zéro clic" a infiltré l'enquête du Parlement européen sur les logiciels espions

Comment un exploit Pegasus zéro clic a ciblé un membre du Parlement européen lors d'une enquête cruciale sur les logiciels espions. Analyse technique de la faille PWNYOURHOME.
Comment un exploit "zéro clic" a infiltré l'enquête du Parlement européen sur les logiciels espions

La compromission d'un appareil mobile appartenant à un législateur chargé d'enquêter sur la surveillance illégale est un scénario digne d'un roman d'espionnage, mais pour Stelios Kouloglou, c'était une réalité forensique. Alors qu'il siégeait à la commission PEGA du Parlement européen, Kouloglou a été la cible d'infections répétées par le logiciel espion Pegasus. Cette commission existait spécifiquement pour enquêter sur l'abus des outils de surveillance commerciale à travers l'Union européenne. L'ironie de la situation est frappante, pourtant la mécanique technique de l'attaque révèle une réalité bien plus préoccupante concernant la sécurité mobile moderne. Cet incident n'était pas dû au fait qu'un utilisateur ait cliqué sur un lien suspect ou téléchargé une pièce jointe malveillante. Il s'agissait d'une intrusion silencieuse, "zéro clic", qui a contourné les contrôles de sécurité standard de l'un des appareils grand public les plus sécurisés du marché.

J'ai récemment passé un après-midi à examiner les artefacts forensiques courants dans les infections Pegasus avec un collègue spécialisé dans la réponse aux incidents mobiles. Nous observons souvent un schéma où les attaquants les plus sophistiqués évitent toute interaction. Ils préfèrent le chemin de la moindre résistance qui, dans le monde des logiciels espions mercenaires haut de gamme, implique souvent de cibler des processus système que l'utilisateur ne voit jamais. Dans le cas de Kouloglou, les attaquants ont militarisé une vulnérabilité spécifique dans le framework HomeKit d'Apple. Cette méthodologie permet à un attaquant de compromettre un appareil sans aucune notification ni action de la part du propriétaire. Lorsque votre modèle de sécurité repose sur le fait que l'utilisateur fasse le bon choix, un exploit zéro clic rend de fait ce modèle obsolète.

L'anatomie de l'exploit PWNYOURHOME

Les chercheurs de Citizen Lab ont identifié que les infections sur l'iPhone de Kouloglou se sont produites via un exploit nommé PWNYOURHOME. Cette chaîne d'attaque spécifique cible le démon HomeKit sur iOS. Le 21 octobre 2022, les journaux forensiques ont montré une recherche pour une adresse e-mail spécifique liée à HomeKit : rauharepo888[@]gmail.com. Deux minutes plus tard, un processus Pegasus était actif sur l'appareil, consommant des données mobiles. Cette séquence d'événements est un signe classique d'un exploit zéro clic à l'œuvre. L'attaquant envoie une requête spécialement conçue via un service comme iMessage ou HomeKit, que le téléphone traite automatiquement en arrière-plan. Si la requête contient un code malveillant exploitant une faille de gestion de la mémoire, l'attaquant gagne la capacité d'exécuter du code avec les privilèges du service ciblé.

Au moment de la première infection, Kouloglou utilisait iOS 15.5. Apple a finalement corrigé cette vulnérabilité dans iOS 16.3.1, mais pendant des mois, l'appareil est resté ouvert à ce point d'entrée spécifique. D'un point de vue architectural, cet exploit met en évidence une faiblesse systémique dans la manière dont les systèmes d'exploitation mobiles gèrent des services complexes et interconnectés. HomeKit est conçu pour faciliter la vie en automatisant les appareils domestiques intelligents, mais son intégration profonde au cœur de l'OS offre une surface d'attaque massive. Considérez cela comme une porte dérobée laissée non verrouillée dans un bâtiment de haute sécurité parce que les résidents voulaient la commodité d'un système d'entrée télécommandé.

Cartographie de la chronologie de l'intrusion

Le timing de ces infections suggère un objectif hautement stratégique. La première compromission réussie a eu lieu en octobre 2022, alors que Kouloglou était à l'hôpital pour une intervention chirurgicale. Pendant cette période, il a reçu la visite de Thanasis Koukakis, un journaliste grec qui avait précédemment été ciblé par le logiciel espion Predator. La seconde série d'infections s'est produite en mars 2023. Cette période était critique pour la commission PEGA, car ses membres étaient engagés dans des discussions intenses concernant la rédaction finale de leur rapport d'enquête. Les attaquants ont eu accès à l'appareil durant les semaines mêmes où les délibérations confidentielles et les témoignages de témoins étaient les plus sensibles.

Citizen Lab a découvert que le logiciel espion était actif les 6 et 7 mars 2023, utilisant le même exploit PWNYOURHOME que celui utilisé des mois plus tôt. Cette persistance est une marque de fabrique des opérations Pegasus. Le logiciel espion est conçu pour être furtif, mais il est aussi résilient. Si un appareil redémarre, l'opérateur doit souvent le réinfecter. Le fait que les attaquants aient réussi à compromettre à nouveau l'appareil en utilisant le même vecteur suggère qu'ils étaient confiants dans l'efficacité continue de l'exploit contre la version non corrigée d'iOS. Par conception, Pegasus permet à l'opérateur d'enregistrer des appels, de lire des messages cryptés et même d'activer le microphone ou la caméra à distance. Pour un membre d'une commission enquêtant sur ces outils mêmes, l'exposition de telles données est un échec catastrophique de confidentialité.

Le lien avec une surveillance européenne plus large

L'une des conclusions les plus significatives du rapport de Citizen Lab est le chevauchement entre le cas Kouloglou et d'autres campagnes. L'adresse Gmail spécifique utilisée dans la recherche HomeKit, rauharepo888[@]gmail.com, a également été vue dans des attaques contre des journalistes russes et biélorusses vivant en exil en Europe. L'analyse forensique de l'infrastructure de Pegasus suggère que ces adresses e-mail sont souvent uniques à des opérateurs ou clients spécifiques du groupe NSO. Cette découverte pointe vers un client de Pegasus disposant d'une licence permettant des opérations dans plusieurs juridictions européennes.

Cette connexion transforme le récit d'un incident isolé en une partie d'un schéma omniprésent de surveillance transfrontalière. Lorsqu'un seul opérateur cible à la fois des journalistes d'opposition et des législateurs européens de haut rang, la distinction entre sécurité nationale et espionnage politique disparaît. En termes d'intégrité des données, la présence de tels outils sur l'appareil d'un législateur remet en question la sécurité de chaque communication qu'il a eue avec des lanceurs d'alerte et des militants. Ces individus risquent souvent leur vie pour fournir des informations aux commissions d'enquête, et ils le font en supposant que leur identité est protégée par la sécurité numérique du législateur.

Les télécommunications comme vecteur silencieux

Bien que le cas Kouloglou se soit concentré sur la surveillance basée sur des logiciels malveillants, il est important de reconnaître que Pegasus n'est qu'une partie d'une boîte à outils plus large. Des enquêtes récentes de Citizen Lab ont également révélé l'utilisation du suivi au niveau des télécommunications. Ces campagnes exploitent les faiblesses du système de signalisation n° 7 (SS7) et des protocoles Diameter, qui constituent l'épine dorsale de l'itinérance mobile mondiale. Les attaquants peuvent suivre la localisation d'une personne sans jamais installer de logiciel malveillant sur son appareil. Ils le font en usurpant l'identité d'opérateurs et en envoyant des commandes de signalisation malveillantes via des fournisseurs de télécommunications de confiance.

Ce type de surveillance est encore plus difficile à détecter qu'une infection Pegasus. Il n'y a pas d'artefacts forensiques sur le téléphone car l'attaque se produit au sein de l'infrastructure réseau. De manière proactive, cela fait de l'écosystème des télécommunications un point de défaillance critique pour les individus à haut risque. Certains fournisseurs au Royaume-Uni et à Jersey ont été identifiés comme des points de transit pour ce trafic de signalisation malveillant. Ces fournisseurs ont effectivement fonctionné comme un pont secret pour les vendeurs de surveillance afin de suivre des cibles à l'échelle mondiale. Cela révèle que même si vous possédez le téléphone le plus sécurisé au monde, le réseau lui-même reste une voie exploitable pour les acteurs étatiques.

Vers une défense résiliente

Le thème récurrent de ces rapports forensiques est que les mesures de sécurité traditionnelles sont insuffisantes contre les logiciels espions mercenaires. Si vous êtes une cible à haut risque, l'application de correctifs n'est que la première étape. Les correctifs sont comme boucher les trous dans la coque d'un navire ; cela vous maintient à flot, mais cela n'empêche pas l'ennemi de tirer d'autres salves. Pour les utilisateurs confrontés à des menaces étatiques, Apple a introduit le Mode Isolement (Lockdown Mode). Cette fonctionnalité réduit considérablement la surface d'attaque en désactivant les technologies web complexes, en bloquant certains types de pièces jointes et en restreignant les demandes de services entrants comme les invitations HomeKit provenant d'utilisateurs inconnus.

Du point de vue du risque, le cas Kouloglou rappelle que la sécurité numérique est une composante critique de la surveillance démocratique. Lorsque les enquêteurs eux-mêmes sont compromis, c'est l'intégrité de toute l'enquête qui est menacée. Nous devons évoluer vers un modèle "zero-trust" pour les appareils mobiles où nous ne supposons plus qu'un appareil est sécurisé simplement parce qu'il est à jour. Pour ceux qui occupent des rôles sensibles, les clés de sécurité matérielles et les communications cryptées de bout en bout via des plateformes comme Signal ne sont plus optionnelles. Elles sont la base de la survie dans un environnement numérique où les murs ont des oreilles.

Points clés pour les utilisateurs à haut risque

La mise en œuvre d'une stratégie défensive nécessite une approche granulaire du durcissement des appareils. Si votre travail implique la manipulation de données sensibles ou l'enquête sur des entités puissantes, envisagez les étapes suivantes :

  • Activez le Mode Isolement sur tous les appareils iOS et macOS pour désactiver les fonctionnalités à haut risque fréquemment utilisées dans les exploits zéro clic.
  • Auditez vos comptes Apple ID et Google pour détecter des appareils non autorisés et assurez-vous que les autorisations HomeKit sont limitées à des contacts connus et de confiance.
  • Utilisez des clés de sécurité matérielles pour l'authentification à plusieurs facteurs afin d'empêcher la prise de contrôle de comptes même si vos identifiants sont compromis.
  • Redémarrez votre appareil mobile quotidiennement. Bien que certains logiciels espions soient persistants, de nombreux exploits résident dans la mémoire temporaire et sont effacés lors d'un redémarrage.
  • Surveillez les notifications de menace des fabricants. Apple et Google alertent désormais de manière proactive les utilisateurs lorsqu'ils détectent des signes de ciblage par des acteurs étatiques.

Sources :

  • Citizen Lab : « La commission PEGA et le logiciel espion Pegasus »
  • Publication spéciale du NIST 800-213 : « Guide de cybersécurité pour les appareils IoT »
  • MITRE ATT&CK : « Techniques et sous-techniques logicielles mobiles »
  • Parlement européen : « Rapport final de la commission PEGA sur l'utilisation de Pegasus »

Avertissement : Cet article est fourni à des fins d'information et d'éducation uniquement et ne remplace pas un audit de cybersécurité professionnel ou un service de réponse aux incidents.

bg
bg
bg

On se retrouve de l'autre côté.

Notre solution de messagerie cryptée de bout en bout et de stockage en nuage constitue le moyen le plus puissant d'échanger des données en toute sécurité, garantissant ainsi la sûreté et la confidentialité de vos données.

/ Créer un compte gratuit