Pegasus. Le nom n’a longtemps été connu que des familiers des sujets cyber. Il est désormais devenu le symbole de l’espionnage ciblé de smartphones d’opposants et de journalistes par des Etats un peu trop curieux (Mexique, Maroc, Arabie Saoudite, Hongrie…) Développé par la société israélienne NSO, ce logiciel puissant, d’une efficacité redoutable, est accusé par une vaste enquête d’ONG et de médias, publiée le 19 juillet, d’avoir permis l’espionnage de nombreux journalistes, militants et opposants du monde entier. Le principe est simple : le logiciel s’introduit dans le smartphone de la victime par une faille d’IOS ou d’Android. Une fois en place, il exporte les données du téléphone (photos, messages, mails) vers des sites web mis en place par NSO ou ses clients. Ceux-ci changent régulièrement pour ne pas être repérés.
Longtemps, il fallait un geste de l’utilisateur pour installer le logiciel, comme un clic sur un lien par exemple. NSO n’a plus forcément besoin de ce concours involontaire de la victime. Il sait désormais mener des attaques dites "zero clic", sans que l'utilisateur n'effectue d'opération, en exploitant des failles dans WhatsApp, iMessage ou Android pour s’installer discrètement dans le téléphone. NSO repère les failles grâce à une armée de hackers d’élite employés en interne, mais aussi sur l’énorme marché noir sur lequel les hackers monnayent les failles qu’ils ont trouvées. "Un "zero day", c'est-à-dire une faille que personne n’a encore détectée, peut se monnayer jusqu’à 2 millions de dollars", explique Bernard Barbier, fondateur du cabinet BBCyber et ancien directeur technique de la DGSE.
Signaux faibles
Pegasus est-il indétectable ? Pas totalement. Mais repérer l’intrus nécessite une expertise technique poussée. Le Labo sécurité d’Amnesty Tech, créé par l’ONG Amnesty International, est capable de repérer le logiciel espion, dans certains cas, en expertisant les smartphones infectés. Le labo sait repérer Pegasus dans les iPhone, beaucoup moins bien dans les smartphones Android. "Leurs systèmes d’exploitation n’autorisent pas l’accès aux journaux permettant de détecter une infection par le logiciel espion Pegasus", explique l’ONG.
Un autre acteur est, en revanche, capable de repérer Pegasus dans n’importe quel téléphone. Et celui-ci n’est ni israélien, ni américain : il s’agit de Tehtris, une pépite française de la cybersécurité créée par deux anciens de la direction technique de la DGSE, Elena Poincet et Laurent Oudot. Comment ça marche ? Plusieurs techniques sont utilisées. L’outil Tehtris MTD (Mobile Threat Defense), un des dispositifs de la société française, sait identifier les signaux faibles, dites "anomalies système bas niveau", typiques des attaques de NSO. Une version gratuite et sans tracking est proposée au grand public sur IOS et Android pour un premier scan.
Tehtris est aussi capable de mettre en évidence des attaques passant par des ports (interfaces) non conventionnels. "Beaucoup de communications utilisées par Pegasus sont peu classiques et donc très visibles", explique à Challenges Laurent Oudot, cofondateur et directeur technique de la société française. Tehtris sait aussi repérer des logiciels non autorisés par Apple, les "binaires non signés".
"Attaques trampoline"
Ceux-ci infectent le smartphone en dégradant sa sécurité à l’aide d’attaques sophistiquées aux noms évocateurs : attaques trampoline, stealth hooking ("accrochage furtif ") ou swizzling attack (attaque bouillonnante). "Ces techniques furent utilisées contre le journaliste marocain Omar Radi, dont le téléphone a été piraté via le navigateur web", indique Laurent Oudot. Le militant, dont le smartphone aurait été espionné à l’aide de Pegasus, a été condamné à six ans de prison pour "atteinte à la sécurité de l'Etat" et "viol" le 19 juillet à Casablanca. Tehtris sait aussi couper court aux requêtes de sites Internet inconnus ou suspicieux qui voudraient "aspirer" les données de smartphones.
Détection de la compromission d'un iPhone, sur le système de surveillance de Tehtris (photo Tehtris)
La chasse au logiciel Pegasus n’est clairement pas un sport de masse. Sur le marché mondial, seuls trois acteurs sont capables de repérer le logiciel, estime Laurent Oudot : les Américains Crowdstrike, valorisé 56 milliards de dollars au Nasdaq, et Lookout, et Tehtris, seule solution européenne. La pépite française assure également être capable de repérer des attaques type Solarwinds, Exchange ou Kaseya, qui ont mis au supplice les défenses cyber américaines ces derniers mois.
Première licorne cyber française ?
Fondé en 2010, Tehtris s’appuie sur une plateforme logicielle ultra-avancée, dite XDR (eXtended Detection & Response). Cet outil intégré détecte et bloque automatiquement les menaces sur tous les segments à risque : réseaux, serveurs, postes de travail, courriers électroniques, tablettes, smartphones, cloud, applications... La plateforme, qui s’améliore sans cesse grâce aux algorithmes d’intelligence artificielle développés en interne, a été primée en 2019 et 2020 lors du salon RSA de San Francisco, le grand raout mondial du cyber, obtenant plusieurs prix face à 3.000 autres start-up du secteur. "Techniquement, Tehtris est au niveau de Crowdstrike, le géant américain du secteur, assurait en novembre Bernard Barbier, membre de l'advisory board du groupe. Ils ont le potentiel pour être la licorne française du cyber dont la France a besoin."
La pépite a franchi un premier pas en novembre dernier en levant 20 millions d’euros auprès du fonds Brienne III d’ACE Management, du fonds Open CNP de l’assureur CNP, de la région Nouvelle-Aquitaine et de business angels. Elle avait annoncé à cette occasion la création de plusieurs centaines d’emplois, en région bordelaise et en Ile-de-France.