Lookout et Google travaillent conjointement pour mettre fin au déploiement de Pegasus, aussi appelé Chrysaor, un logiciel espion très puissant qui a été découvert sur Android après avoir été repéré également sur iOS.

En août 2016, le spécialiste de la sécurité informatique Lookout a découvert un logiciel espion sévissant sur iOS. Baptisé « Pegasus », celui-ci permet de réaliser un jailbreak sur les appareils d’Apple. En d’autres termes, cela permet d’avoir accès à toutes les fonctionnalités du système d’exploitation et de faire sauter les restrictions imposées par l’entreprise à la Pomme. Les hackers obtiennent ainsi des privilèges qui leur permettent de surveiller leurs cibles.

Le malware a été créé par l’entreprise israélienne NSO Group, décrite comme « un vendeur d’armes informatiques » par Lookout. Ce dernier parle d’une opération d’envergure d’espionnage sur mobiles et rappelle, par ailleurs, que d’après le New York Times, Pegasus a même été utilisé pour cibler des activistes mexicains.

Pegasus sur Android

Or, Lookout n’a pas réservé ses recherches à iOS et s’est mis à chercher la même menace sur l’écosystème Android. En utilisant ses grands jeux de données, ses équipes de sécurité ont pu observer que le malware existait également sur l’OS mobile de Google. La firme de Mountain View l’a baptisé Chrysaor, mais Lookout préfère le nommer Pegasus sur Android

Et il faut dire que l’objectif est exactement le même. Pegasus — ou Chrysaor — permet de rooter un smartphone Android donnant aux hackers l’accès à de multiples fonctionnalités : 

  • enregistreur de frappe (keylogger) ;
  • captures d’écran ;
  • enregistrement audio en direct ;
  • contrôle du logiciel espion par SMS ;
  • exfiltration de données issues de services de messagerie comme WhatsApp, Skype, Facebook ou Twitter ;
  • exfiltration de l’historique du navigateur ; 
  • exfiltration d’emails depuis le client Android natif ;
  • accès aux contacts et aux messages.

Un logiciel sophistiqué

Par ailleurs, Pegasus sait s’autodétruire si jamais sa position est compromise. Sur Android, le malware disparait si le code d’identification de la SIM (MCC) est invalide, si un « remède » a été trouvé, s’il n’a pas été capable d’entrer en contact avec ses serveurs pendant 60 jours ou si les pirates lui ordonnent de s’autodétruire. Lookout insiste donc sur l’aspect très sophistiqué de ce logiciel espion. 

Une menace plus grande sur Android

Il est toutefois important de voir que Pegasus n’agit pas tout à fait de la même manière sur Android et iOS. Sur les appareils d’Apple, ce sont des failles « Zero Day » qui sont exploitées. Sur la version Android, le malware n’a pas besoin d’utiliser ce genre de vulnérabilités pour rooter le smartphone. Pire, si le root échoue, le logiciel est toujours capable d’obtenir des permissions pour accéder à certaines informations sensibles de l’utilisateur. 

Ce qu’il faut comprendre, c’est que Pegasus sur Android peut se déployer beaucoup plus facilement. À ce propos, Lookout explique que le malware a été détecté sur des terminaux principalement en Israël, en Géorgie, au Mexique, en Turquie et aux Émirats arabes unis. Mais d’autres pays sont également concernés. 

Collaboration entre Lookout et Google

Lookout précise qu’il travaille en collaboration avec Google Security. Le géant du web a déjà envoyé un message d’alerte aux utilisateurs potentiellement ciblés par cette menace. Ensemble, les deux entreprises veulent comprendre au mieux le fonctionnement de Pegasus pour être en mesure de l’arrêter. Tous les détails techniques de cette analyse sont compilés dans un rapport publié par Lookout (PDF).