Echapper aux espions : comment éviter de devenir une victime de Pegasus ?

février 2022 par Kaspersky

Nous pensons de manière générale qu’il est impossible de se protéger complètement des logiciels de surveillance professionnels. Bien qu’il soit particulièrement difficile d’empêcher l’exploitation et l’infection de l’appareil mobile, les utilisateurs peuvent néanmoins prendre certaines mesures pour que les attaquants ne puissent pas les cibler aisément. Selon les médias, ce sont surtout les journalistes, les politiciens, les défenseurs des droits de l’homme, les avocats et les activistes publics qui deviennent de plus en plus les cibles principales de ces logiciels espions. Costin Raiu, responsable de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky, a donc élaboré un ensemble de recommandations sur la manière dont les utilisateurs de téléphones mobiles, qu’ils soient sous Android ou iOS, peuvent protéger leurs appareils contre Pegasus et d’autres logiciels malveillants mobiles haut de gamme.

Pegasus, Chrysaor, Phantom et bien d’autres sont des logiciels dits de "surveillance légale", développés par des entreprises privées et largement déployés par le biais de divers exploits, dont plusieurs zero-days zero-click sur iOS. La version la plus ancienne de Pegasus a été identifiée par des chercheurs en 2016. Depuis lors, plus de 30 000 militants des droits de l’homme, journalistes et avocats à travers le monde pourraient avoir été ciblés à l’aide de Pegasus.

Voici quelques conseils qui augmentent votre résilience contre les attaques de logiciels malveillants mobiles sophistiqués :

• Tout d’abord, il est important de redémarrer quotidiennement les appareils mobiles. Les redémarrages aident à "nettoyer" l’appareil, pour ainsi dire, ce qui signifie que les attaquants devront continuellement réinstaller Pegasus sur l’appareil, ce qui rend beaucoup plus probable la détection de l’infection par les solutions de sécurité.

• Maintenez l’appareil mobile à jour et installez les derniers correctifs dès qu’ils sont disponibles. En fait, de nombreux kits d’exploitation ciblent des vulnérabilités déjà corrigées, mais ils restent dangereux pour les personnes qui utilisent des téléphones plus anciens et reportent les mises à jour.

• Ne cliquez jamais sur les liens reçus par messages. Il s’agit d’un conseil simple mais efficace. Certains clients de Pegasus comptent davantage sur les exploits à 1 clic que sur ceux à zéro clic. Ceux-ci arrivent sous la forme d’un message, parfois par SMS, mais peuvent aussi se propager via d’autres messageries ou même par e-mail. Si vous recevez un SMS intéressant (ou par tout autre biais) avec un lien, ouvrez-le sur un ordinateur de bureau, de préférence en utilisant TOR Browser, ou mieux encore en utilisant un système d’exploitation non persistant sécurisé tel que Tails.

• En outre, n’oubliez pas d’utiliser un autre navigateur web pour la recherche sur Internet. Certains exploits ne fonctionnent pas aussi bien sur les navigateurs alternatifs comme Firefox Focus par rapport aux navigateurs plus traditionnels comme Safari ou Google Chrome.

• Utilisez systématiquement un VPN ; il est ainsi plus difficile pour les attaquants de cibler les utilisateurs en fonction de leur trafic internet. Lorsque vous souscrivez à un abonnement VPN, il y a quelques éléments à prendre en compte : recherchez des services établis qui existent depuis un certain temps, qui peuvent accepter le paiement avec des crypto-monnaies et qui ne vous demandent pas de fournir des informations d’enregistrement.

• Installez une application de sécurité qui vérifie et prévient si l’appareil est soumis à un « jailbreak ». Pour persister sur un appareil, les attaquants utilisant Pegasus auront souvent recours au jailbreak de l’appareil ciblé. Si un utilisateur a installé une solution de sécurité, il peut alors être alerté de l’attaque.

• Si vous êtes un utilisateur iOS, déclenchez souvent des sysdiagnose et enregistrez-les dans des sauvegardes externes. Des analyses approfondies de l’objet malveillant peuvent vous aider à déterminer ultérieurement si vous avez été ciblé. Les experts de Kaspersky recommandent également aux utilisateurs iOS à risque de désactiver FaceTime et iMessage. Comme ils sont activés par défaut, il s’agit d’un mécanisme d’infection de premier plan pour les chaînes de zéro-clics et ce, depuis de nombreuses années.

" En général, les attaques Pegasus sont très ciblées - ce qui signifie qu’elles n’infectent pas les gens en masse mais plutôt des catégories spécifiques. De nombreux journalistes, avocats et militants des droits de l’homme ont été identifiés comme des cibles de ces cyberattaques sophistiquées, mais ils ne sont pas toujours les plus équipés pour se défendre. C’est pourquoi, nous faisons de notre mieux pour fournir les meilleures techniques de protection contre les logiciels malveillants, les hackeurs et les menaces sophistiquées telles que celles-ci, afin de continuer à construire un monde plus sûr", commente Costin Raiu, responsable de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky.

Si vous avez déjà été victime de l’attaque Pegasus, voici quelques conseils sur ce que vous pouvez faire ensuite :

• Si vous avez été ciblé, racontez votre histoire à la presse. Ce qui a fini par faire tomber de nombreuses sociétés de surveillance, c’est la mauvaise réputation. Des reporters et des journalistes écrivant sur les abus et exposant les mensonges, les actes répréhensibles etc. ont un vrai rôle dans la lutte contre les cybermalveillances.

• Changez d’appareil - si vous étiez sur iOS, essayez de passer à Android pendant un certain temps. Si vous étiez sur Android, passez à iOS. Cela pourrait dérouter les attaquants pendant un certain temps ; par exemple, certains acteurs malveillants sont connus pour avoir acheté des systèmes d’exploitation qui ne fonctionnent que sur certaines marques de téléphone et d’OS.

• Procurez-vous un appareil secondaire, fonctionnant de préférence sous GrapheneOS, pour les communications sécurisées. Utilisez une carte SIM prépayée dans celui-ci, ou, ne vous connectez que par Wi-Fi et TOR en mode avion.

• Évitez les messageries où vous devez fournir votre numéro de téléphone à vos contacts. Une fois qu’un attaquant a votre numéro de téléphone, il peut facilement vous cibler à travers plusieurs messageries différentes par ce biais - iMessage, WhatsApp, Signal, Telegram, ils sont tous liés à votre numéro de téléphone. Une nouvelle alternative pourrait être Session, qui achemine automatiquement vos messages à travers un réseau de type Onion et ne repose pas sur les numéros de téléphone.

• Essayez d’entrer en contact avec un chercheur en sécurité dans votre région et discutez constamment des meilleures pratiques. Partagez les artefacts, les messages suspects ou les historiques dès que vous pensez que quelque chose est bizarre. La sécurité n’est jamais une solution instantanée unique devenant une preuve fiable à 100 % ; considérez-la comme un cours d’eau qui coule et où vous devez ajuster votre navigation en fonction de la vitesse, des courants et des obstacles.