Selon Darktrace, une évolution du logiciel de surveillance mobile Pegasus, édité par NSO, parviendrait à copier des clés d’authentification de services comme Google Drive à partir d’un téléphone infecté.
Selon des révélation du quotidien britannique Financial Times le 19 juillet, NSO a développé une version améliorée de son logiciel phare d’espionnage, Pegasus, utilisée depuis plusieurs années par de nombreux services de renseignement pour récupérer des données stockées sur les appareils mobiles, et qui peut maintenant accéder aux serveurs où sont stockées les données dématérialisées. Pour Darktrace, l’évolution du malware Pegasus parviendrait à copier des clés d’authentification de services tels que Google Drive, Facebook Messenger ou encore iCloud à partir de téléphones infectés. Un serveur pourrait ensuite se faire passer pour ledit téléphone, simuler son emplacement géographique et collecter des données cloud telles que l’historique complet des données de localisation de la victime, les messages archivés et les photos pour les plateformes de Google, Facebook, Amazon et Microsoft. « Personne n’est à l’abri, comme le démontrent les révélations du Financial Times, mais il est possible de pallier ces risques par la mise en place d’un système de rotation des identifiants ; et ce alors même que les entreprises tendent de plus en plus à adopter des systèmes d’authentification sans mot de passe tels que les clés d’authentification ou la biométrie, indique Bryan Murphy, Director Consulting Services & IR, Americas, chez CyberArk. Le concept de rotation est aussi important qu’il pouvait l’être avec les mots de passe et dans le contexte actuel, il est indispensable de penser comme un hacker, et s’attendre à ce que les plateformes de cloud soient attaquées. Partant de ce constat, la mise en place d’identifiants à usage unique, avec date d’expiration, afin d’empêcher qu’un individu malveillant en tire profit, semble être l’option adaptée. Les sessions sont alors plus sécurisées et les données des utilisateurs sauvegardées dans le cloud, quel que soit le terminal utilisé, ne sont ainsi pas compromises. Sachant que 83 % des entreprises françaises comptent sur la cybersécurité intégrée de leur fournisseur de Cloud, d’après nos récentes recherches, il est indispensable de les accompagner afin de mettre en place des bonnes pratiques de sécurité. »
Dans une déclaration écrite transmise à l’AFP, l’entreprise israélienne a démenti les informations donnée par le Financial Times estimant qu' »il y a un profond malentendu concernant NSO, ses services et sa technologie« . « Les produits NSO ne fournissent pas les moyens de collecter et d’accéder aux applications, services ou infrastructures du Cloud énumérés et suggérés par l’article du Financial Times« , selon ce communiqué. En mai dernier, la messagerie en ligne WhatsApp avait annoncé qu’un logiciel espion avait été transmis sur des téléphones via son application, évoquant comme origine une entreprise qui « travaille avec de nombreux gouvernements dans le monde« . Le Financial Times avait alors, déjà, assuré qu’il s’agissait de NSO.
En 2016, selon des experts en sécurité mobile, iOS avait fait l’objet d’une attaque mobile sophistiquée, ciblée et persistante utilisant trois vulnérabilités appelées Trident. Elles permettaient de s’introduire dans l’appareil iOS et d’espionner discrêtement des victimes en récupérant de l’information de diverses applications telles que Gmail, Facebook, Skype, WhatsApp, Calendar, FaceTime, Line, Mail.Ru, et d’autres
Auteur : La Rédaction avec AFP
