Pegasus : comment savoir si son iPhone a été infecté ?
Apple à la rescousse.
Mise à jour de cet article paru en juillet dernier avec l’ajout de procédure permettant à tout utilisateur de vérifier simplement et officiellement chez Apple, si son iPhone a été infecté ou non par Pegasus. Voir le détail à ce propos en fin d’article.
Le projet Pegasus fait la une de l’actualité tech en ce moment. Et pour cause, il s’agit de l’affaire de surveillance et de cyberattaque la plus importante depuis les révélations d’Edward Snowden sur les agissements de la NSA en 2013.
Quelques jours après les premiers éléments d’informations diffusés par Forbidden Stories, on en sait un peu plus sur le mode opératoire de Pegasus, le logiciel utilisé pour pirater des dizaines de milliers de terminaux mobiles de hauts placés politiques, avocats et journalistes à travers le monde ces derniers mois. Il faut d’ailleurs savoir que, si Pegasus pénètre de manière totalement silencieuse et invisible sur un iPhone ou un smartphone Android, il y a désormais un moyen de savoir si vous avez été victime du logiciel à la licorne ailée, comme décrit plus bas dans l’article.
Quel mode de fonctionnement pour le logiciel espion Pegasus ?
Jusque là, les spécialistes s’accordent à dire que le seul moyen pour Pegasus de pénétrer une machine est via un message texte ou un appel téléphonique. Ensuite, le logiciel profite d’un fonctionnement dit “zero-click”. Cela signifie qu’il devient effectif sur la machine cible sans que l’utilisateur n’ait à effectuer aucune action. À savoir que Pegasus peut également infecter un iPhone de manière classique, après que l’utilisateur ait ouvert un lien spécifique.
Sur iOS, la faille utilisée par le logiciel espion serait inhérente à iMessage et encore présente sous iOS 14.6.
(1) @AmnestyTech saw an iOS 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. We at @citizenlab also saw 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. All this indicates that NSO Group can break into the latest iPhones.
— Bill Marczak (@billmarczak) July 18, 2021
Une fois que Pegasus est déployé sur le smartphone désiré, il offre un accès total au client, passant même outre les solutions de chiffrement des logiciels Signal WhatsApp ou bien encore Telegram. En fait, toute l’activité du téléphone peut être surveillée. Cela va des contenus photo et vidéo, aux mots de passe, en passant par les messages, les mails, la navigation internet, la position GPS, etc. C’est comme si un tiers regardait votre téléphone par-dessus votre épaule, sans que vous vous en aperceviez.
À ce jour, Apple ne semble pas avoir envoyé de mise à jour rendant Pegasus ineffectif. Ni dans iOS 14.7, ni même dans iOS 15. Mais les ingénieurs en sécurité du Californien doivent actuellement être sur le pied de guerre pour tenter de colmater la brèche et proposer un update correctif aussi vite que possible. Il en va de la réputation d’Apple en matière de sécurité pour ses iPhone, quoi que la firme en dise sur le caractère non critique de la faille.
Comment savoir si mon iPhone a été visé par Pegasus ?
Il existe une méthode un peu technique, à l’heure de la publication de cet article, permettant de dire si oui ou non, votre iPhone a hébergé le logiciel espion Pegasus. Il faut utiliser le Mobile Verification Toolkit (ou MVT), disponible ici sur GitHub, qui peut notamment être installé sur macOS via le terminal. Et c’est par lignes de commande que cet outil va alors être en mesure de vérifier une sauvegarde tout entière de l’iPhone, faite sur le Mac via liaison câblée. Une fois le backup analysé, le MVT peut affirmer si l’iPhone a été infecté par Pegasus ou non. L’outil d’analyse fonctionne également pour un smartphone Android.
Vous retrouverez plus d’informations à propos de la manipulation de vérification via MVT sur le site de TechCrunch. Elle n’est pas bien complexe, mais demande une basique maitrise du terminal de commandes et une compréhension de l’anglais.
C’est à ce jour la seule manipulation possible permettant de prouver que son appareil a bien été ciblé par Pegasus.
Mise à jour du 25 novembre 2021
Apple propose un outil permettant de savoir si son appareil iOS a été infecté par Pegasus. Voici la marche à suivre pour effectuer cette vérification :
- Se rendre sur le site Apple ID et s’identifier
- Si l’un de vos appareils iOS a été infecté par Pegasus, la page devrait afficher une notification en haut, de la façon suivante :
© MacRumors
- Cette notification vous rappelle qu’Apple vous a envoyé un mail et un iMessage à une date précise, vous alertant que votre iPhone aurait vraisemblablement été visé pour un déploiement de Pegasus. Vous devriez donc déjà être au courant à ce stade, mais la consultation de cette page permet de s’assurer que l’avertissement est bien réel
Apple le précise, son système de détection n’est pas parfait. Il peut générer des fausses alarmes, mais aussi louper des appareils ayant bien été infectés. Quoi qu’il en soit, et que vous ayez été infecté ou non, la société de Cupertino vous incite fortement à mettre à jour votre appareil avec la dernière version d’iOS. Le système d’exploitation mobile, dans sa dernière itération, rend normalement l’activation de Pegasus impossible.
Le firme précise aussi qu’il est plus prudent de protéger vos appareils Apple avec Touch ID, Face ID ou un code alphanumérique, de profiter de la double-authentification dès que possible, d’utiliser un mot de passe complexe pour votre compte Apple ID, d’installer des apps uniquement via l’App Store, d’éviter de cliquer sur des liens ou des pièces jointes dans les mails et messages reçus d’inconnus, et de n’utiliser que des mots de passe unique lors de la création de vos comptes divers sur internet.
Darth Philou
20 juillet 2021 à 14 h 26 min
Je ne comprends toujours pas par quel principe un message iMessage, qui passe en plus par les serveurs d’Apple, peut exécuter un code malicieux sans que les utilisateurs s’en aperçoivent. De même, même si l’os parvient à être rooté, ok pour implanter un logiciel qui spy les entrées, clavier notamment, mais par quel principe peut-il accéder à des services protégés et chiffrés… pas clair tout ça.
sinasquax
20 juillet 2021 à 15 h 50 min
Peut etre par un simple buffer overflow, et les services protégés et chiffrés le sont au niveau de la communication, autrement dit si le message est intercepté par un tiers il ne peut pas le déchiffrer mais ici on est sur un des 2 appareils qui communiquent et donc le message est dechiffré, il peut etre simplement lu dans la RAM.
Darth Philou
20 juillet 2021 à 16 h 54 min
Un buffet overflow me semble trop trivial… ok pour lecture des messages en ram mais l’article suggère que c’est toute la messagerie et les datas qui ont été collectées.
Mika
20 juillet 2021 à 19 h 56 min
Il doit y avoir pas mal de façon de faire selon les situations : récupérer les données stockées si elles ne sont pas chiffrées, utiliser directement une fonction pour afficher/sauvegarder de l’appli, intercepter les données au moment de l’affichage, récupérer la partie déchiffrement de l’appli …
Kirax
20 juillet 2021 à 23 h 00 min
En tout cas, Apple va devoir revoir sa communication.
La pomme n’est pas si sûr au final 🤣
Noname (posté avec l'app i-nfo.fr V2)
21 juillet 2021 à 6 h 33 min
Coronavirus et virus informatique…
Tout est lié, il faut être aveugle pour ne pas se rendre compte de la continuité de leur plan de traçage et d’esclavage.
Tu veux t’infecter fais-toi vacciner, tu veux infecter ton numérique va installer le MVT.
Bordel mes où sont les vrais journalistes à te mettre en garde et avertir !!!
AdminOfPlaygroup
21 juillet 2021 à 9 h 32 min
Ce que tu appelles “vrais journalistes”, d’autres les appelles complotistes… Retourne sur tes chaines youtube de “réinformation”, l’aveugle aux yeux ouverts. 😉
Lafarge
21 juillet 2021 à 10 h 08 min
“Ce commentaire a été supprimé pour non-respect des conditions d’utilisation. S’il vous plaît, merci de rester poli et d’éviter tous propos haineux, racistes et insultants. iStaff”
Sando
21 juillet 2021 à 10 h 19 min
LAFARGE, à coup sûr quand on se croit supérieur aux autres ou qu’on prend les autres pour des décérébrés aveugle, c’est qu’on essaye soi-même de remonter dans sa propre estime et qu’on essaye de croire ses propres mirages, car pouvoir croire que des choses sont sûres c’est très rassurant.
Sando
21 juillet 2021 à 10 h 13 min
Attention NONAM ton monde est en grande partie basé sur ton imaginaire et tes peurs
Sando
25 novembre 2021 à 23 h 40 min
Rhooo il y a des allumés quand même
Houssine
21 juillet 2021 à 21 h 45 min
Si la seule façon de vérifier qu’un smartphone est infecté, est de le manipuler en installant des app ou via terminal. Comment se fait-il que des personnes à l’étranger peuvent affirmer que des milliers de smartphones de part le monde ont été attaqués?
La seule façon dans ce cas est qu’ils aient accès aux serveurs Pegasus.
Noname (posté avec l'app i-nfo.fr V2)
22 juillet 2021 à 7 h 44 min
@AdminOfPlaygroup pauvre aveugle, tu me fais pitier.
Noname (posté avec l'app i-nfo.fr V2)
22 juillet 2021 à 7 h 50 min
@Sando tu t’exprimes sur mon monde alors que tu n’es même pas foutu de te rendre compte sur lequel tu es hinoptisré.
Sando
25 novembre 2021 à 23 h 44 min
Reviens sur terre l’ami
Bonobo (posté avec l'app i-nfo.fr V2)
22 juillet 2021 à 8 h 39 min
@Noname Toi, ca vaut pas le coup de t’espionner !. 🤦♀️
Laurent75012 (posté avec l'app i-nfo.fr V2)
19 avril 2022 à 8 h 33 min
Noname soit il est vraiment allumé, le pauvre. Soit fait partie des troll de Poutine pour rendre l’atmosphère nauséabonde