L’actualité brûlante de l’été n’a pas été la météo (ni la sortie du film de Kaamelott), mais bien la mise à jour au grand public du logiciel espion Pegasus et de l’utilisation qui en est faite réellement.
Tout d’abord, qu’est-ce que Pegasus ?
Conçu par l’entreprise israélienne NSO group et vendu aux États à partir de 2013, ce programme sert officiellement à la surveillance du terrorisme. Le logiciel lorsqu’il est installé sur le smartphone d’un suspect, permet la récupération de toutes les données (photos, vidéos, fichiers enregistrés), mais également de la localisation par le GPS ainsi que l’activation des fonctions d’enregistrement pendant des appels audio et vidéo.
En réalité, il s’avère que le logiciel n’est pas utilisé uniquement dans sa fonction première.
Le scandale « projet Pegasus » est sorti par l’intermédiaire d’Amnesty International et un collectif de journalistes du nom de « Forbidden Stories » et relayé par 16 médias choisis qui ont rendu l’affaire publique. 50 000 personnes dont 1 000 en France comme le président de la République Emmanuel Macron, certains ministres et autres personnalités politiques, journalistes… sont sur le listing des numéros de téléphone espionnés.
Comment cela a-t-il pu arriver ? Comment pouvons-nous être sûrs que nous ne serons pas parmi les prochaines cibles de Pegasus, ou d’autres programmes-espions ?
Nos données propres et/ou professionnelles sont-elles sensibles, et comment les protéger ?
Prenons un peu de temps pour comprendre comment Pegasus fonctionne et se demander si nous pouvons être visés par des tentatives de piratage et/ou d’espionnage.
Comment fonctionne Pegasus pour pénétrer dans les smartphones ?
Il existe plusieurs manières de s’introduire dans un smartphone ou autres outils informatiques reliés à internet. Celles que nous connaissons le plus, car nous sommes des cibles potentielles sont les mails frauduleux, les pièces jointes vérolées, les liens cliquables. Nous avons appris ou pouvons apprendre à reconnaître ces tentatives d’intrusion sur nos matériels informatiques. Une règle simple à appliquer dès maintenant est : « dans le doute, s’abstenir », ne pas ouvrir le mail, la pièce jointe, ne pas cliquer sur le lien.
Pegasus est plus perfectionné que cela. Le logiciel espion s’installe sur votre téléphone sans que vous soyez informé et sans aucune manipulation de votre part. Alors comment fait-il ?
Le logiciel utilise des failles de sécurité du système d’exploitation du téléphone (c’est-à-dire iOS ou Android). Certaines sont connues des éditeurs, et donc corrigées rapidement.
D’autres failles de sécurité appelées dans le jargon des failles zero-day sont des failles encore inconnues des développeurs des systèmes d’exploitation. Ces failles n’étant pas connues, elles peuvent être exploitées pendant des semaines voire des mois. Certaines failles critiques permettent de prendre un contrôle total de l’appareil, c’est sur ce type de failles que Pegasus base son fonctionnement.
Pour remédier à cela, les développeurs des systèmes d’exploitation font des mises à jour régulières et les transmettent aux utilisateurs. Il est donc nécessaire de les installer régulièrement.
Les questions à se poser pour notre sécurité informatique
Il est important de prendre du temps et réfléchir à la question de la sécurité informatique de nos matériels : PC, téléphones, tablettes.
Nous sommes connectés à internet quasiment en permanence et quand bien même nous pensons n’avoir rien à cacher, nous souhaitons tous nous protéger de la vue d’autrui. Nous fermons nos portes de maison à clé, nous mettons des rideaux à nos fenêtres pour préserver notre vie privée. Il est nécessaire de faire la même chose concernant internet.
Les applications telles que Facebook, Messenger ou vos mails sont potentiellement vulnérables aux attaques. Elles sont souvent victimes de tentatives de piratage puisque beaucoup d’individus passent par ces applications pour discuter, échanger des informations personnelles parfois professionnelles.
Sachant cela, il serait plus intéressant pour les échanges professionnels d’installer des applications plus sécurisées telles que Signal ou Telegram, car chiffrées de bout en bout.
Il est important également de prendre conscience que l’espionnage pour le soutien économique du pays existe (la NSA a la possibilité de faire de l’espionnage à ce titre et ils vont chercher les données en priorité sur les systèmes de communication des GAFA).
Donc sachant cela, je vous propose une liste de points à réfléchir pour que vous puissiez mettre en place la meilleure stratégie possible de sécurité pour vos données professionnelles.
- Quel est votre secteur d’activité ?
- Représentez-vous un intérêt pour un État, une entreprise concurrente étrangère ?
- Quelles sont les données sensibles que traite votre entreprise ?
Certes, nous ne pouvons pas tout prévoir, mais nous pouvons tenter à notre échelle de faire attention et de mettre en place de bonnes pratiques, nous poser les bonnes questions.
Les données professionnelles que vous traitez quotidiennement peuvent avoir de la valeur auprès de certains « voleurs ». En matière de sécurité informatique, avoir un antivirus et des logiciels à jour est primordial. N’attendez pas pour faire les mises à jour proposées par les développeurs de vos différents outils informatiques. Ce serait comme avoir une porte blindée, mais laisser les fenêtres ouvertes.
Alors, prenez le temps de réfléchir à votre sécurité informatique et si vous le souhaitez nous pouvons prendre un moment ensemble pour faire un audit sur les risques et les solutions à prévoir.
Sources :