NSO Group, une entreprise israélienne qui a créé des logiciels espions en profitant d’une faille de WhatsApp, affirme que son nouveau fichier malveillant peut aller encore plus loin. Selon l’entreprise, le malware collecte des données sur des services en nuage comme Google Drive et iCloud.
Pegasus, comme on l’appelle, aurait la possibilité d’accéder aux données de certains utilisateurs sur les serveurs d’Apple, de Google, de Facebook, d’Amazon et de Microsoft. L’information a été publiée par le Financial Times, qui avait accès aux documents relatifs au malware.
Selon le journal, Pegasus est le même qui a utilisé les appels de WhatsApp pour infiltrer les smartphones. Le messager a réparé sa défaillance, mais le groupe des ONS semble avoir mis à jour le produit afin qu’il puisse saisir encore plus d’informations.
Lorsqu’ils accèdent à des services dans le Cloud, les logiciels malveillants sont capables de collecter des données telles que l’historique des lieux, des photos et des messages archivés. Comme elle le fait depuis des années avec d’autres fichiers malveillants, la société israélienne offre déjà les archives aux gouvernements et aux services de renseignement.
La société a déclaré à FT qu’elle ne commercialise pas d’outils d’attaque de pirates informatiques ou de surveillance de masse contre les services en nuage. Toutefois, elle n’a pas précisé si elle a développé cette possibilité dans l’un de ses produits.
Le groupe NSO a également indiqué qu’il n’offre ses produits qu’aux “gouvernements chargés de contribuer à la prévention des attaques terroristes et de la criminalité”. Pegasus, cependant, a déjà été trouvé sur des téléphones portables de militants des droits de l’homme et de journalistes. L’entreprise répond à des procès dans lesquels elle est accusée de partager la responsabilité des abus des régimes autoritaires.
Comment Pegasus collecte des données à partir du nuage
Selon o FT, la nouvelle version de Pegasus s’infiltre dans un téléphone portable pour copier la clé d’authentification de services dans le Cloud, tels que Google Drive et iCloud. Il permet ainsi à un serveur distinct d’entrer les comptes comme s’il s’agissait du téléphone portable de l’utilisateur.
La clé d’authentification permet au serveur d’avoir un accès illimité au compte sans effectuer une vérification en deux étapes ou alerter la victime que son compte a été accédé par un appareil inconnu. Le groupe NSO affirme que les logiciels malveillants fonctionnent sur les derniers iPhones et téléphones Android.
Pour aggraver les choses, l’invasion continue de fonctionner même si Pegasus est retiré du smartphone. Elle n’est interrompue que si la victime modifie le mot de passe du compte ou annule l’autorisation de connexion à un appareil particulier.
FT a indiqué que le prix des logiciels malveillants se chiffre en millions de euros et a été offert au gouvernement ougandais, par exemple. Lors de la présentation, le groupe des OSN a souligné la capacité de Pegasus à “récupérer les clés qui ouvrent les voûtes du nuage” et à synchroniser et extraire les données de manière indépendante.
L’existence de logiciels malveillants capables d’accéder à des services dans le Cloud relie un signal jaune aux géants de la technologie. Les équipes de sécurité de l’entreprise analysent le fichier mais prétendent n’avoir trouvé aucune preuve qu’il ait été utilisé contre leurs plateformes.
