Actualités

“Vendre Pegasus à Bahreïn […] constitue une négligence grave au nom du profit” : CitizenLab confond à nouveau NSO Group via la découverte d’un exploit 0-clic dans Pegasus !

En Juillet 2021, le logiciel de cyber-suveillance Pegasus (usuellement et officiellement utilisé à des fins de lutte contre la cyber-criminalité, affirme le groupe NSO) provoquait un tsunami insécuritaire en dévoilant un usage qui outrepassait largement ses fonctions originelles, via, notamment, l’espionnage distant de nombreux activistes, organismes et, surtout, journalistes dans le but d’avoir des éléments de pression ou de chantages, en dévoilant parfois des photos, selon le pays, jugées choquantes (se détendre dans un jacuzzi en maillot de bain…) quand il ne s’agissait pas de menaces de mort qui pouvaient aller jusqu’aux proches des journalistes… Si le groupe NSO a toujours, mordicus, réfuté ces accusations, il semble que les chercheurs sécuritaires CitizenLab, à nouveau, viennent de mettre en lumière de nouveaux éléments de preuve qui auraient visé, cette fois, des activistes et journalistes de Bahreïn.

 

De gauche à droite : Moosa Abd-Ali et Yusuf Al-Jamri

 

 

Le Royaume de Bahreïn (les deux mers, littéralement) situé aux environs de la côte-Ouest du golf Persique (Moyen-Orient) est une île (insulaire) d’Arabie aurait décidé, selon les propos et rapports relayés par l’équipe aguerrie CitizenLab, de réduire au silence ou de faire taire 9 activistes : des membres du Waad (un partie politique centre-gauche laïque, en notant que le pays ne permet pas la création de partis politiques), des membres du BCHR (Bahreïn Center for Humain Rights, conçu en 2002 puis proscrite en 2004 par le dirigeant de l’époque, ce qui n’a pas empêché les personnes de poursuivre leur combat au-delà, ce qui leur a valu en reconnaissance mondiale et en 2013, le prix Rafto), un membre du Al Wefaq (une organisation politique opposée au régime du pays dont la plupart des membres, en 2011, ont démissionné de leur poste de député pour protester contre les répressions gouvernementales et leurs violences à l’encontre des manifestants. En 2016, le Gouvernement décide de dissoudre le parti, de geler ses avoirs et de révoquer le leader ou dirigeant spirituel du parti) et deux membres ex-filtrés à Londres par sécurité. Pour l’un – Moosa Abd-Ali – cet exil est dû à la mise en lumière de FinFisher, une entreprise commercialisant des logiciels de cyber-espionnage dont Bahreïn faisait partie du porte-feuille clients (le journaliste ayant constaté une cyber-suveillance par ce biais, sur son terminal mobile, en 2011, après la mise en relief d’une brèche sécuritaire relative à FinFisher). Pegasus aurait été également exploité antérieurement à Septembre 2020 depuis son iPhone 8 ; Pour l’autre, Yusuf Al-Jamri, l’exil forcé a été requis suite des sévices ou tortures qui auraient été infligés en 2017 à l’activiste, par la NSA locale dont une enquête, en 2011, avait déjà officiellement conclue par l’affirmative des tortures (jusqu’à la mort) à l’encontre de Karim Fakhrawi, un journaliste de Bahreïn. L’iPhone 7 de Yusuf Al-Jamri a été également sous la houlette de Pegasus, ici, antérieurement à Septembre 2019.

Du côté de la vulnérabilité, il s’agit d’un exploit 0-clic (nommé KISMET) qui prend son sein depuis iMessage (sous iOS 13.5.1, au minimum pour le premier point contre iOS 14.4, au minimum, pour le second point) et qui provoque :

 

  • Un crash (com.apple.IMTranscoderPreviewGenerationQueue) dans les données de profil-couleur ICC (image JPEG). Ce crash sert de déclencher pour appeler l’agent IMTranscoder qui déclenchera lui-même un appel WebKit ce qui permettra, alors, à Pegasus de s’enclencher : des traces ou indices sont observés dans le JavaScriptCore et dans Metal (shader) via une compilation dédiée. Lorsqu’une mise à jour iOS est effectuée par la victime, les cyber-attaquants qui exploitent Pegasus dans ce dessein de cyber-espionnage illégal reçoivent une notification-SMS (un lien de suivi-colis – tronqué, donc – DHL : api1r3f4.redirectweburl[.]com) indiquant que KISMET n’est plus exploitable dans cette version ;

 

  • Un crash (copyGifFromPath:toDestinationPath:error) en contournant l’atténuation d’Apple impulsée via BlastDoor. Activité observée, au moins, depuis Février 2021, le contournement malveillant repose sur FORCEDENTRY et déclenchait, également, un appel-agent IMTranscoder depuis ImageIO (rendu Adobe Photoshop PSD). Les données sont alors décodées (JBIG2) au sein d’un fichier PDF, en appelant CoreGraphics. Toute une salve d’erreurs au sein de thermalmonitord est générée, notamment au niveau de la propriété (propertiesOfPath:handler:) et plusieurs indices confirment les traces malveillantes comme une “invocation de tailspin” (/usr/bin/tailspin test-symbolique 1234567), ou encore le processus actif découlant directement de l’exploit (amfid, daemon d’intégrité des fichiers mobiles Apple). Il s’agit d’une vulnérabilité qualifiée de 0-day.

 

En finalité, certaines victimes – en 2019 – ont pu recevoir un SMS émanant de BatelcoEsvc (opérateur Batelco qui a réfuté qu’il s’agissait d’un message légitime) qui, en réalité, émanait de Pegasus et qui intégrait, au milieu des SMS légitimes, un message frauduleux avec une URL (phishing, depuis une URL légitime : https://e.batelco.com/eservices/Login) renvoyant à info-update . org qui n’est autre qu’un déclencheur pour active, donc, Pegasus et la cyber-surveillance distante. En fouillant un peu plus en profondeur, l’équipe CitizenLab a trouvé, au sein des nombreux répertoires de l’éditeur NSO Group, un serveur (start-anew . net) dédié potentiellement à de telles pratiques : “le répertoire contenait un fichier 1, qui contenait le code source HTML d’une page leurre de maintenance de site Web. La page était intitulée « Pendant la maintenance : » et contenait le texte « Travailler dur pour créer un nouveau design de site Web. Reste en contact!” Le titre « Pendant la maintenance : » et le texte « Travailler dur pour créer un nouveau design de site Web. Reste en contact! pages correspondant exactement renvoyées par deux serveurs Pegasus qui correspondent à une empreinte digitale que nous avons utilisée dans notre rapport Cache-cache. Ces deux serveurs faisaient partie d’un groupe de serveurs Pegasus qui ont été créés en 2018 après qu’Amnesty Tech et Citizen Lab ont publié des rapports sur le ciblage d’un membre du personnel d’Amnesty International avec Pegasus, mais avant le rapport Cache-cache de Citizen Lab“. De ce fait, il semble que les noms de domaine (175 et uniquement selon les conclusions d’analyse des chercheurs) sont largement exploité en base de fonctionnement (reunionlove . net, news-now . co, aidez-nousà trouver . biz…) en simple place d’adresses IPs, allant de sites Web pointant vers les Droits de l’Homme voire aux sites Web journalistiques américains (washington-today . com, breaknewyork . info ou encore portant sur les élections, ici, de Bahreïn via i- election – en ligne  . com). Enfin, une piste remonte à l’Azerbaïdjan (siyasimehbus . com, mitinq23fevral . info).

 

Sur les 9 activistes visés, 4 auraient vu leurs terminaux infectés par un “opérateur gouvernemental de Bahreïn de Pegasus” (nommé, au sein du billet sécuritaire, LULU) qui se concentrait essentiellement sur les activités au sein du Royaume de Bahreïn ainsi que celles relatives au Qatar. Des similitudes ont été pointées avec un autre opérateur déjà passé sous la loupe de CitizenLab en 2017 et 2018 (nommé en interne PEARL). Des commandes distantes (command-and-control) étaient envoyées ou réceptionnées vers et depuis les terminaux infectés, par ailleurs, par Pegasus, au détour de 4 adresses IPs spécifiques : “chaque adresse IP a renvoyé un certificat TLS pour hooklevel[.]com, bien qu’aucune recherche DNS n’ait été effectuée pour ce domaine et que le message TLS Client Hello du logiciel espion ne contenait pas de SNI. Le serveur d’infection utilisé était *.api1r3f4.redirectweburl[.]com“. Pour les 5 autres activistes-journalistes, pour l’heure, pas de conclusions indiquant une trace de Pegasus du fait qu’un exploit hors-pays n’a jamais encore été décelé en méthodologie par les chercheurs, même s’il est à envisager fortement qu’un gouvernement externe à une localité (ici, Bahreïn) a pu contribuer à pérenniser une telle cyber-surveillance.

 

Ces éléments de preuves techniques ont été transmis à Apple (crash-systèmes des journaux dont ceux ayant attrait à l’historique-journal téléphonique, avec l’accord des victimes est-il précisé) qui confirme enquêter sur les exploits KISMET et FORCEDENTRY. Les chercheurs estiment qu’une prévention préliminaire peut se faire en désactivant iMessage et FaceTime (vecteurs de la cyber-attaque) mais du fait que Pegasus puisse réussir à s’instiller dans d’autres applications sociales type WhatsApp, ce contournement d’urgence peut s’avérer limité voire nul… A veiller !

 

 

 

Source : CitizenLab – 24 Août 2021 – NSO Group : nouveaux éléments de preuve à l’encontre de Pegasus (faille 0-clic iMessage).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0