Voici comment vérifier par vous-même la présence de l’espiogiciel Pegasus sur votre téléphone
L’outil qu’Amnesty utilise pour analyser les smartphones en vue d’y détecter la présence du spyware, vous pouvez à présent aussi y avoir recours. Si suite aux révélations sur l’espiogiciel Pegasus de la part du magazine Knack notamment, vous souhaitez contrôler votre appareil par vous-même, vous devrez faire preuve de patience et de connaissance IT.
Ces derniers jours, un groupe de journalistes d’enquête, en collaboration avec Amnesty International, a dévoilé que le spyware Pegasus de l’entreprise israélienne NSO était potentiellement utilisé pour espionner non seulement les terroristes, mais aussi des hommes/femmes politiques, activistes et journalistes.
Si vous vous demandez à présent ce qu’il en est de votre propre téléphone mobile, vous pouvez vous-même télécharger l’outil d’Amnesty International. Que les choses soient claires: le risque est extrêmement faible que cet espiogiciel sophistiqué se trouve sur votre appareil. Toujours est-il que repérer un spyware conçu pour ne pas être détecté, ce n’est pas une mince affaire.
L’outil
NSO vante son espiogiciel comme étant un programme qui ne laisse aucune trace. Il est donc bien malaisé à détecter, mais des éléments médico-scientifiques, comme la communication avec certains serveurs utilisés par NSO, peuvent néanmoins être repérés, même si cela n’est pas une sinécure.
Amnesty explique en détail dans son rapport comment elle opère et si vous le voulez, vous pouvez télécharger l’outil sur Github. Pour utiliser l’outil d’analyse, le Mobile Verification Kit (MVT), vous devrez effectuer un backup de votre appareil Android ou iPhone, le porter sur votre desktop, puis le faire scanner. L’outil MVT recourt à une interface en ligne de commande, ce qui fait que vous devrez passer par un travail de saisie manuelle et avoir une certaine connaissance IT pour la rendre opérationnelle.
Android vs iPhone
L’outil scanne votre backup et place le tout dans une série de dossiers. Lorsqu’il trouve un fichier potentiellement compromettant, il émet un avertissement. Amnesty met cependant en garde contre les faux positifs. Partez du principe qu’il vous faudra compulser patiemment les fichiers.
Comme déjà abordé dans des articles précédents, l’outil semble mieux fonctionner avec les iPhone qu’avec les téléphones Android, ce qui fait qu’Amnesty a pu effectuer davantage de vérifications de la présence de l’espiogiciel sur les appareil d’Apple. Cela est essentiellement dû au fait qu’iOS est plus transparent dans ses fichiers. Tout semble indiquer que l’outil scanne les fichiers sur iOS, alors que pour les téléphones Android, il se concentre surtout sur les messages de texte des ou vers les serveurs reliés à NSO. C’est du moins ce que révèle TechCrunch, qui a déjà testé l’outil. Via ces messages de texte, l’entreprise aurait réussi à pénétrer sur les téléphones des victimes.
Dans la base de données secrète sur les pédophiles des Témoins de Jéhovah
Le documentaire de Vice TV « Crusaders » examine une base de données secrète contenant des milliers de délinquants sexuels de Témoins de Jéhovah, constituée par la Watch Tower Bible and Tract Society.
NDLR : Pourquoi toutes les grandes organisations ecclésiastiques ont-elles un tel problème de pédophilie – et pourquoi se sont-elles systématiquement efforcées de le dissimuler ?
Des années après la découverte de l’Église catholique, qui a systématiquement hébergé et protégé des abuseurs sexuels d’enfants tout en punissant les victimes qui demandaient justice pour leurs horribles épreuves, un nouveau long métrage documentaire de Vice TV s’attaque aux Témoins de Jéhovah.
Le film d’Aaron Kaufman, Crusaders, sorti dans le cadre de la série de non-fiction « Vice Versa » de Vice TV, viscère la foi des Témoins de Jéhovah dans laquelle il a été élevé, offrant une plateforme publique aux anciens membres pour qu’ils s’expriment sur le fléau de la pédophilie au sein de l’église, et sur les anciens qui s’engagent à garder le secret.
Diffusé en avant-première sur Vice TV le 28 juillet, Crusaders s’appuie sur l’article publié en 2019 par Douglas Quenqua dans Atlantic sur une base de données secrète contenant des milliers de délinquants pédosexuels Témoins de Jéhovah, constituée et dissimulée aux yeux des curieux par la Watch Tower Bible and Tract Society, l’organisation à but non lucratif qui dirige l’église. Cette liste accablante d’agresseurs a été créée le 14 mars 1997, lorsque – en réponse à des plaintes antérieures de dénonciateurs – un questionnaire a été envoyé aux 10 000 congrégations du pays pour demander aux membres s’ils soupçonnaient un collègue Témoin d’être un prédateur pédophile. L’église a reçu des informations sur de nombreux monstres en son sein, bien que le nombre exact de noms reste inconnu.
L’identité de la plupart de ces personnes est également un mystère, mais pas de toutes. En effet, comme le révèle Crusaders, deux anciens Témoins de Jéhovah (qui, dans le film de Kaufman, se font appeler « Judas » et « Jézabel ») se sont introduits dans un siège local du Massachusetts et ont volé certains de ces dossiers compromettants. De plus, ils ont divulgué un document sur Reddit, puis en ont envoyé de nombreux autres à un ancien militant des Témoins de Jéhovah nommé Mark O’Donnell (qui opérait en ligne sous le pseudonyme de « John Redwood »). C’est ainsi qu’est né l’article de Quenqua, qui a fait la une des journaux nationaux et a braqué un projecteur national accusateur sur les Témoins de Jéhovah, qui n’ont pas apprécié d’être présentés comme une organisation qui, en principe, condamne les abuseurs d’enfants, mais qui, en pratique, s’assure de garder leurs crimes secrets, de peur que la foi ne soit considérée comme un refuge pour le pire du pire.
Crusaders s’efforce de dénigrer les Témoins de Jéhovah, ce qui implique également d’examiner les systèmes de croyance et les mécanismes de contrôle utilisés par la religion pour manipuler et dominer ses adeptes. L’idée maîtresse des Témoins de Jéhovah est que l’Armageddon est imminent et que la seule façon d’être sauvé d’une mort terrible à la fin des temps est de se conformer à leurs principes, qui sont dispensés par le Watch Tower Governing Body – un conseil de direction composé d’anciens de sexe masculin qui font office de représentants de Dieu sur terre. En suivant la ligne qu’ils ont établie, les Témoins se verront accorder l’accès au Nouveau Système, un paradis post-apocalyptique où ils pourront commencer leur vraie vie, par opposition à leurs existences actuelles dans le Nouveau Système. Si vous suivez les règles, vous êtes en or ; si vous désobéissez – ou même si vous les remettez en question – vous risquez l’excommunication de vos amis, de votre famille et de la seule communauté que vous ayez jamais connue.
À intervalles réguliers, le documentaire de Kaufman propose des fiches blanches à l’écran définissant les termes clés des Témoins de Jéhovah, tels que « disfellowshipped » (expulsion pour insubordination), « PIMO » (abréviation de « physical in, mentally out ») et « Two Witness Rule » (règle des deux témoins). (abréviation de « physical in, mentally out ») et la « règle des deux témoins », un décret scripturaire qui stipule qu’aucun témoin de Jéhovah ne peut être officiellement accusé d’avoir commis un péché sans deux témoignages corroborants. Cette dernière stipulation revêt une importance particulière, car elle réduit à néant les accusations d’agression sexuelle, qui se produisent très rarement en présence d’autres personnes. Crusaders met en lumière cette pratique monstrueuse à travers des vidéos officielles de Témoins de Jéhovah montrant des anciens prêchant cette doctrine comme quelque chose de sacré – leur fermeté autoritaire et arrogante sur cette question sentant l’auto-préservation transparente, voire la déviance pure et simple – ainsi qu’à travers les témoignages d’un certain nombre d’anciens Témoins de Jéhovah qui ont été molestés par leurs camarades croyants.
Dans les histoires de Mark et Kimmy O’Donnell (cette dernière a été terrorisée pendant des années par sa mère, qui n’a subi aucune répercussion pour les délits qu’elle a signalés et qui est toujours en contact avec des enfants), Kameron Torres, Asher, Judas et d’autres ex-Témoins de Jéhovah, Crusaders fournit des récits déchirants de première main d’épreuves d’abus sexuels. Dans presque tous ces cas, la pression pour se conformer et garder le silence était exigée non seulement par les responsables de l’église, mais aussi par les parents, les grands-parents, les amis et les collègues, tous tellement convaincus de leur droiture qu’ils croyaient que le fait de couper les liens avec leurs proches était en fait un geste de miséricorde destiné à garantir leur salut éventuel. C’est le cas de Barbara Anderson, Témoin de Jéhovah pendant 43 ans jusqu’à ce qu’elle rompe avec l’organisation après avoir appris qu’elle avait l’habitude d’abriter des pédophiles – une décision qui lui a coûté sa relation avec son fils.
Le réalisateur Kaufman complète avec assurance ses interviews déchirantes par des titres de journaux, des documents et de la littérature des Témoins de Jéhovah, ainsi que par des vidéos éclairantes d’anciens prêchant devant la caméra et enregistrés subrepticement par Kameron (au cours desquelles un gros bonnet déclare, à propos des sévices subis par Kameron et ses propres fils : « Vous apprenez juste à vivre avec et à mettre cela derrière vous. Essayez de ne pas en parler, essayez de ne pas y penser »). Si certaines de ses reconstitutions dramatiques peuvent être maladroites et guindées – qu’il s’agisse de séquences mises en scène de Judas et Jezebel pénétrant par effraction dans leur QG local pour voler des documents de base de données, ou de plans de remplissage de Mark O’Donnell tapant sur son ordinateur – son approche globale est directe et clairvoyante, expliquant les méthodes astucieuses employées par les Témoins de Jéhovah pour exercer et maintenir leur autorité sur leurs adeptes.
Le principal portrait qui se dessine est celui d’une secte très structurée et extrêmement dangereuse. Il n’y a guère de différence entre les Témoins de Jéhovah et la Scientologie – ou, d’ailleurs, Heaven’s Gate. Cette secte, qui prêche la fin du monde et qui est la seule à posséder les connaissances nécessaires pour échapper à la mort et à la damnation, exigeait également de ses membres qu’ils se distancient des non-croyants, qu’ils fassent exactement ce que les dirigeants leur disaient et qu’ils fassent tout pour prouver leur loyauté. Dans le cas des Témoins de Jéhovah, le prix payé par beaucoup pour avoir adhéré à ce dogme religieux extrême a été des années d’abus sexuels, et des sentiments de honte et d’impuissance nés du fait de ne rien pouvoir y faire. À cet égard, Crusaders n’est pas seulement un exposé, c’est aussi un vibrant appel aux armes.
NSO Group affirme que son logiciel espion Pegasus n’est utilisé que pour « enquêter sur le terrorisme et le crime » et « ne laisse aucune trace » . Ce rapport de méthodologie médico-légale montre qu’aucune de ces déclarations n’est vraie. Ce rapport accompagne la publication du Pegasus Project, une enquête collaborative impliquant plus de 80 journalistes de 17 organisations médiatiques dans 10 pays coordonnée par Forbidden Stories avec le soutien technique du Security Lab d’Amnesty International. [1]
Le laboratoire de sécurité d’Amnesty International a effectué une analyse médico-légale approfondie de nombreux appareils mobiles de défenseurs des droits humains (DDH) et de journalistes du monde entier. Cette recherche a mis au jour une surveillance illégale généralisée, persistante et continue et des violations des droits humains perpétrées à l’aide du logiciel espion Pegasus de NSO Group.
Comme indiqué dans les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, NSO Group doit prendre de toute urgence des mesures proactives pour s’assurer qu’il ne cause pas ou ne contribue pas à des violations des droits de l’homme dans le cadre de ses opérations mondiales, et pour répondre à toute violation des droits de l’homme lorsque ils se produisent. Afin de s’acquitter de cette responsabilité, NSO Group doit exercer une diligence raisonnable en matière de droits humains et prendre des mesures pour s’assurer que les DDH et les journalistes ne continuent pas à devenir des cibles de surveillance illégale.
Dans ce rapport sur la méthodologie médico-légale, Amnesty International partage sa méthodologie et publie un outil de criminalistique mobile open source et des indicateurs techniques détaillés, afin d’aider les chercheurs en sécurité de l’information et la société civile à détecter et à répondre à ces menaces graves.
Ce rapport documente les traces médico-légales laissées sur les appareils iOS et Android après le ciblage avec le logiciel espion Pegasus. Cela inclut les dossiers médico-légaux reliant les récentes infections à Pegasus à la charge utile Pegasus 2016 utilisée pour cibler le DRH Ahmed Mansoor.
Les attaques Pegasus détaillées dans ce rapport et les annexes qui l’accompagnent datent de 2014 jusqu’en juillet 2021. Celles-ci incluent également les attaques dites « zéro-clic » qui ne nécessitent aucune interaction de la part de la cible. Des attaques Zero-click sont observées depuis mai 2018 et se poursuivent jusqu’à présent. Plus récemment, une attaque « zéro clic » réussie a été observée en exploitant plusieurs jours zéro pour attaquer un iPhone 12 entièrement corrigé exécutant iOS 14.6 en juillet 2021.
Les sections 1 à 8 de ce rapport décrivent les traces médico-légales laissées sur les appareils mobiles à la suite d’une infection par Pegasus. Ces preuves ont été recueillies à partir des téléphones des DDH et des journalistes dans plusieurs pays.
Enfin, dans la section 9, le rapport documente l’évolution de l’infrastructure du réseau Pegasus depuis 2016. NSO Group a repensé son infrastructure d’attaque en utilisant plusieurs couches de domaines et de serveurs. Des erreurs de sécurité opérationnelles répétées ont permis au laboratoire de sécurité d’ Amnesty International de maintenir une visibilité continue sur cette infrastructure. Nous publions un ensemble de 700 domaines liés à Pegasus.
Les noms de plusieurs des cibles de la société civile dans le rapport ont été anonymisés pour des raisons de sûreté et de sécurité. Les personnes qui ont été rendues anonymes ont reçu un nom de code alphanumérique dans ce rapport.
1. Découvrir les attaques par injection de réseau Pegasus
De nombreux rapports publics avaient identifié les clients de NSO Group utilisant des messages SMS avec des domaines d’exploitation Pegasus au fil des ans. En conséquence, des messages similaires sont ressortis de notre analyse du téléphone de la militante marocaine Maati Monjib, qui était l’une des militantes ciblées, comme le documente le rapport 2019 d’ Amnesty International .
Cependant, lors d’une analyse plus approfondie, nous avons également remarqué des redirections suspectes enregistrées dans l’historique de navigation de Safari. Par exemple, dans un cas, nous avons remarqué une redirection vers une URL étrange après que Maati Monjib a tenté de visiter Yahoo :
( Veuillez noter : tout au long de ce document, nous avons échappé aux domaines malveillants avec le marquage [.] pour éviter les clics et visites accidentels.)
L’URL https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz est immédiatement apparue suspecte, notamment en raison de la présence d’un sous-domaine de 4ème niveau, d’un numéro de port élevé non standard, et d’un URI aléatoire similaire aux liens contenus dans des messages SMS précédemment documentés en rapport avec Pegasus de NSO Group. Comme vous pouvez le voir dans le tableau ci-dessus, la visite de Yahoo a été immédiatement redirigée vers cette URL suspecte avec l’ID de base de données 16120.
Dans notre rapport d’ octobre 2019 , nous détaillons comment nous avons déterminé que ces redirections sont le résultat d’attaques par injection de réseau effectuées soit via des dispositifs tactiques, tels que des tours cellulaires malveillantes, soit via des équipements dédiés placés chez l’opérateur mobile. Lorsque, des mois plus tard, nous avons analysé l’iPhone du journaliste indépendant marocain Omar Radi, qui, comme indiqué dans notre rapport 2020, était ciblé, nous avons trouvé des enregistrements similaires impliquant également le domaine free247downloads[.]com .
En novembre 2019, après le premier rapport d’Amnesty International, un nouveau domaine urlpush[.]net a été enregistré. Nous l’avons trouvé par la suite impliqué dans des redirections similaires vers l’URL https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj.
Bien que les enregistrements de l’historique de Safari soient généralement de courte durée et soient perdus après quelques mois (ainsi que potentiellement purgés intentionnellement par des logiciels malveillants), nous avons néanmoins pu trouver les domaines d’infection de NSO Group dans d’autres bases de données du téléphone d’Omar Radi qui n’apparaissaient pas dans Safari. Histoire. Par exemple, nous avons pu identifier les visites via la base de données Favicon.db de Safari , qui a été laissée intacte par Pegasus :
Comme expliqué dans l’annexe technique de notre rapport 2020 sur les attaques Pegasus au Maroc , ces redirections ne se produisent pas seulement lorsque la cible navigue sur Internet avec l’application navigateur, mais également lors de l’utilisation d’autres applications. Par exemple, dans un cas, Amnesty International a identifié une injection de réseau alors qu’Omar Radi utilisait l’application Twitter. Lors de la prévisualisation d’un lien partagé dans sa timeline, le service com.apple.SafariViewService a été invoqué pour charger une Safari WebView, et une redirection s’est produite.
Pour cette raison, nous pouvons trouver des enregistrements supplémentaires impliquant les domaines free247downloads[.]com et urlpush[.]net dans le stockage local WebKit spécifique à l’application, les dossiers IndexedDB, etc. Dans plusieurs cas, les fichiers IndexedDB ont été créés par Safari peu de temps après la redirection de l’injection réseau vers le serveur d’installation Pegasus.
De plus, les journaux des ressources de session de Safari fournissent des traces supplémentaires qui n’apparaissent pas systématiquement dans l’historique de navigation de Safari. Il semble que Safari n’enregistre pas les chaînes de redirection complètes et ne conserve que des enregistrements d’historique indiquant la dernière page chargée. Les journaux de ressources de session récupérés à partir des téléphones analysés démontrent que des domaines de transfert supplémentaires sont utilisés comme trampolines menant éventuellement aux serveurs d’infection. En fait, ces logs révèlent que la toute première injection réseau contre Maati Monjib que nous décrivons au début de cet article impliquait également le domaine documentpro[.]org :
Source de redirection
Origine
Destination de redirection
yahoo.fr
documentpro[.]org
free247downloads[.]com
Maati Monjib a visité http://yahoo.fr, et une injection réseau a redirigé de force le navigateur vers documentpro[.]org avant de le rediriger vers free247downloads[.]com et de procéder à l’exploitation.
De même, à une autre occasion, Omar Radi a visité le site Web du journal français Le Parisien, et une injection de réseau l’a redirigé via le domaine de mise en scène tahmilmilafate[.]com , puis finalement vers free247downloads[.]com également. Nous avons également vu tahmilmilafate[.]info utilisé de la même manière :
Source de redirection
Origine
Destination de redirection
leparisien.fr
tahmilmilafate[.]com
free247downloads[.]com
Lors des dernières tentatives observées par Amnesty International contre Omar Radi en janvier 2020, son téléphone a été redirigé vers une page d’exploitation à l’ adresse gnyjv1xltx.info8fvhgl3.urlpush[.]net en passant par le domaine baramije[.]net . Le domaine baramije[.]net a été enregistré un jour avant urlpush[.]net , et un site Web leurre a été créé à l’aide du CMS open source Textpattern.
Les traces d’activité du réseau n’étaient pas les seuls indicateurs disponibles de compromission, et une inspection plus approfondie des iPhones a révélé des processus exécutés qui ont finalement conduit à l’établissement d’un modèle cohérent unique à tous les iPhones suivants qu’Amnesty International a analysés et trouvés infectés.
2. BridgeHead de Pegasus et d’autres processus malveillants apparaissent
Amnesty International, Citizen Lab et d’autres ont principalement attribué les attaques de logiciels espions Pegasus sur la base des noms de domaine et d’autres infrastructures réseau utilisées pour lancer les attaques. Cependant, les preuves médico-légales laissées par le logiciel espion Pegasus fournissent un autre moyen indépendant d’attribuer ces attaques à la technologie de NSO Group.
iOS conserve des enregistrements des exécutions de processus et de leur utilisation respective du réseau dans deux fichiers de base de données SQLite appelés « DataUsage.sqlite » et « netusage.sqlite » qui sont stockés sur l’appareil. Il convient de noter que si le premier est disponible dans la sauvegarde iTunes, le second ne l’est pas. De plus, il convient de noter que seuls les processus ayant effectué une activité réseau apparaîtront dans ces bases de données.
Les bases de données d’utilisation du réseau de Maati Monjib et d’Omar Radi contenaient des enregistrements d’un processus suspect appelé « bh » . Ce processus « bh » a été observé à plusieurs reprises immédiatement après les visites dans les domaines d’installation de Pegasus.
Le téléphone de Maati Monjib a enregistré l’exécution de « bh » d’avril 2018 à mars 2019 :
Première date (UTC)
Dernière date (UTC)
Nom du processus
WWAN IN
WWAN OUT
ID de processus
2018-04-29 00:25:12
2019-03-27 22:45:10
bh
3319875.0
144443.0
59472
Amnesty International a trouvé des enregistrements similaires sur le téléphone d’Omar Radi entre février et septembre 2019 :
Première date (UTC)
Dernière date (UTC)
Nom du processus
WWAN IN
WWAN OUT
ID de processus
2019-02-11 14:45:56
2019-09-13 17:02:11
bh
3019409.0
147684.0
50465
La dernière exécution enregistrée de « bh » s’est produite quelques secondes après une injection réseau réussie (comme le montrent les enregistrements de favicon répertoriés précédemment au 13-09-2019 17:01:56).
Comme décrit dans l’analyse de Lookout, en 2016, NSO Group a exploité une vulnérabilité dans iOS JavaScriptCore Binary (jsc) pour réaliser l’exécution de code sur l’appareil. Cette même vulnérabilité a également été utilisée pour maintenir la persistance sur l’appareil après le redémarrage. Nous trouvons des références à « bh » dans tout le code de l’exploit :
Ce module est décrit dans l’analyse de Lookout comme suit :
« bh.c – Charge les fonctions API liées à la décompression des charges utiles de l’étape suivante et à leur placement correct sur l’iPhone de la victime à l’aide de fonctions telles que BZ2_bzDecompress, chmod et malloc »
Lookout explique en outre qu’un fichier de configuration situé dans /var/tmp/jb_cfg est déposé à côté du binaire. Fait intéressant, nous trouvons le chemin d’accès à ce fichier exporté en tant que _kBridgeHeadConfigurationFilePath dans la partie fichier libaudio.dylib du bundle Pegasus :
Par conséquent, nous soupçonnons que « bh » pourrait signifier « BridgeHead » , qui est probablement le nom interne attribué par NSO Group à ce composant de leur boîte à outils.
L’apparition du processus « bh » juste après l’injection réseau réussie du téléphone d’Omar Radi est cohérente avec l’objectif évident du module BridgeHead. Il termine l’exploitation du navigateur, enracine l’appareil et se prépare à son infection avec la suite Pegasus complète.
2.1 Processus suspects supplémentaires après BridgeHead
Le processus bh est apparu pour la première fois sur le téléphone d’Omar Radi le 11 février 2019. Cela s’est produit 10 secondes après qu’un fichier IndexedDB a été créé par le serveur d’installation Pegasus et qu’une entrée de favicon a été enregistrée par Safari. À peu près au même moment, le fichier com.apple.CrashReporter.plist a été écrit dans /private/var/root/Library/Preferences/ , probablement pour désactiver le signalement des journaux de plantage à Apple. La chaîne d’exploit avait obtenu l’autorisation root à ce stade.
Moins d’une minute plus tard, un processus » roleaboutd » apparaît pour la première fois.
Date (UTC)
Événement
2019-02-11 14:45:45
Enregistrement DB indexé pour l’URL https_d9z3sz93x5ueidq3.get1tn0w.free247downloads.com_30897/
2019-02-11 14:45:53
Enregistrement Safari Favicon pour l’URL hxxps//d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com :30897/rdEN5YP
2019-02-11 14:45:54
Reporter de crash désactivé en écrivant com.apple.CrashReporter.plist
2019-02-11 14:45:56
Processus : bh
2019-02-11 14:46:23
Processus : roleaboutd en premier
2019-02-11 17:05:24
Processus : dernier rôle
L’appareil d’Omar Radi a été à nouveau exploité le 13 septembre 2019. Là encore, un processus « bh » a démarré peu après. À cette époque, le fichier com.apple.softwareupdateservicesd.plist a été modifié. Un processus « msgacntd » a également été lancé.
Date (UTC)
Événement
2019-09-13 17:01:38
Enregistrement Safari Favicon pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse
Sur la base du moment et du contexte de l’exploitation, Amnesty International pense que les processus roleaboutd et msgacntd sont une étape ultérieure du logiciel espion Pegasus qui a été chargé après une exploitation réussie et une élévation des privilèges avec la charge utile BridgeHead .
De même, l’analyse médico-légale du téléphone de Maati Monjib a révélé l’exécution de processus plus suspects en plus de bh . Un processus nommé pcsd et un autre nommé fmld sont apparus en 2018 :
date de poing
Dernier rendez-vous
Nom du processus
WWAN IN
WWAN OUT
ID de processus
2018-05-04 23:30:45
2018-05-04 23:30:45
pcsd
12305.0
10173.0
14946
2018-05-21 23:46:06
2018-06-4 13:05:43
fmld
0.0
188326.0
21207
Amnesty International a vérifié qu’aucun fichier binaire légitime du même nom n’était distribué dans les versions récentes d’iOS.
La découverte de ces processus sur les téléphones d’Omar Radi et de Maati Monjib est ensuite devenue déterminante pour la poursuite des enquêtes d’Amnesty International, car nous avons trouvé des processus portant les mêmes noms sur les appareils d’individus ciblés du monde entier.
3. Processus Pegasus suite à l’exploitation potentielle d’Apple Photos
Au cours des enquêtes d’Amnesty International dans le cadre du projet Pegasus, nous avons découvert d’autres cas où le processus « bh » mentionné ci-dessus a été enregistré sur des appareils compromis par différents vecteurs d’attaque.
Dans un cas, le téléphone d’un avocat français des droits de l’homme (CODE : FRHRL1) a été compromis et le processus « bh » a été exécuté quelques secondes après que le trafic réseau pour l’application iOS Photos ( com.apple.mobileslideshow ) a été enregistré pour la première fois. Encore une fois, après une exploitation réussie, le rapport de plantage a été désactivé en écrivant un fichier com.apple.CrashReporter.plist sur l’appareil.
La prochaine et dernière activité réseau pour l’application iOS Photos a été enregistrée le 18 décembre 2019, précédant encore une fois l’exécution de processus malveillants sur l’appareil.
2019-12-18 08:13:33
Processus : mobileslideshow/com.apple.mobileslideshow dernier
2019-12-18 08:13:47
Processus : bh
2019-12-18 11:50:15
Processus : ckebld
Dans un cas distinct, nous avons identifié un schéma similaire avec les processus « mobileslideshow » et « bh » sur l’iPhone d’un journaliste français (CODE : FRJRN1) en mai 2020 :
Processus : mobileslideshow/com.apple.mobileslideshow dernier
2020-05-27 16:58:52
Processus : bh
2020-05-27 18:00:00
Processus : ckkeyrollfd
Amnesty International n’a pas été en mesure de capturer les charges utiles liées à cette exploitation, mais soupçonne que l’application iOS Photos ou le service Photostream ont été utilisés dans le cadre d’une chaîne d’exploitation pour déployer Pegasus. Les applications elles-mêmes peuvent avoir été exploitées ou leurs fonctionnalités mal utilisées pour fournir un exploit JavaScript ou de navigateur plus traditionnel à l’appareil.
Comme vous pouvez le voir dans les tableaux ci-dessus , des noms de processus supplémentaires tels que mptbd , ckeblld , fservernetd et ckkeyrollfd apparaissent juste après bh . Comme pour fmld et pcsd, Amnesty International pense qu’il s’agit de charges utiles supplémentaires téléchargées et exécutées après un compromis réussi. Au fur et à mesure que nos enquêtes progressaient, nous avons identifié des dizaines de noms de processus malveillants impliqués dans les infections Pegasus.
De plus, Amnesty International a trouvé le même compte iCloud bogaardlisa803[@]gmail.com enregistré comme étant lié au service « com.apple.private.alloy.photostream » sur les deux appareils. Les comptes iCloud créés à dessein semblent être au cœur de la diffusion de plusieurs vecteurs d’attaque « zéro clic » dans de nombreux cas récents d’appareils compromis analysés par Amnesty International.
4. Un iMessage zero-click 0day largement utilisé en 2019
Alors que les messages SMS contenant des liens malveillants étaient la tactique de choix des clients de NSO Group entre 2016 et 2018, ces dernières années, ils semblent être devenus de plus en plus rares. La découverte d’attaques par injection de réseau au Maroc a signalé que la tactique des attaquants était en effet en train de changer. L’injection de réseau est un vecteur d’attaque efficace et rentable pour un usage domestique, en particulier dans les pays ayant un effet de levier sur les opérateurs mobiles. Cependant, s’il n’est efficace que sur les réseaux nationaux, le ciblage de cibles étrangères ou d’individus dans les communautés de la diaspora a également changé.
À partir de 2019, un nombre croissant de vulnérabilités dans iOS, en particulier iMessage et FaceTime, ont commencé à être corrigées grâce à leurs découvertes par des chercheurs en vulnérabilité ou par des fournisseurs de cybersécurité signalant des exploits découverts dans la nature.
En réponse, Amnesty International a étendu sa méthodologie médico-légale pour collecter toutes les traces pertinentes par iMessage et FaceTime. iOS conserve un enregistrement des identifiants Apple vus par chaque application installée dans un fichier plist situé dans /private/var/mobile/Library/Preferences/com.apple.identityservices. idstatuscache .plist . Ce fichier est également généralement disponible dans une sauvegarde iTunes régulière, il peut donc être facilement extrait sans avoir besoin d’un jailbreak.
Ces dossiers ont joué un rôle essentiel dans les enquêtes ultérieures. Dans de nombreux cas, nous avons découvert des processus Pegasus suspectés exécutés sur des appareils immédiatement après des recherches de compte iMessage suspectes. Par exemple, les enregistrements suivants ont été extraits du téléphone d’un journaliste français (CODE FRJRN2) :
2019-06-16 12:08:44
Recherche de bergers.o79@gmail.com par com.apple.madrid (iMessage)
2019-08-16 12:33:52
Recherche de bergers.o79@gmail \x00\x00 om par com.apple.madrid (iMessage)
2019-08-16 12:37:55
Le fichier Library/Preferences/com.apple.CrashReporter.plist est créé dans RootDomain
2019-08-16 12:41:25
Le fichier Library/Preferences/roleaccountd.plist est créé dans RootDomain
2019-08-16 12:41:36
Processus : roleaccountd
2019-08-16 12:41:52
Processus : mise en scène
2019-08-16 12:49:21
Processus : aggregatenotd
L’analyse médico-légale d’Amnesty International de plusieurs appareils a trouvé des enregistrements similaires. Dans de nombreux cas, le même compte iMessage se reproduit sur plusieurs appareils ciblés, indiquant potentiellement que ces appareils ont été ciblés par le même opérateur. De plus, les processus roleaccountd et stagingd se produisent de manière cohérente, avec d’autres.
Par exemple, l’iPhone d’un journaliste hongrois (CODE HUJRN1) affichait à la place les enregistrements suivants :
2019-09-24 13:26:15
Recherche de jessicadavies1345@outlook.com par com.apple.madrid (iMessage)
2019-09-24 13:26:51
Recherche de emmadavies8266@gmail.com par com.apple.madrid (iMessage)
2019-09-24 13:32:10
Processus : roleaccountd
2019-09-24 13:32:13
Processus : mise en scène
Dans ce cas, les premiers processus suspects réalisant une activité réseau ont été enregistrés 5 minutes après la première recherche. Le fichier com.apple.CrashReporter.plist était déjà présent sur cet appareil après une infection réussie précédente et n’a pas été réécrit.
L’iPhone d’un autre journaliste hongrois (CODE HUJRN2) affiche des recherches pour les mêmes comptes iMessage ainsi que de nombreux autres processus ainsi que roleaccountd et stagingd :
2019-07-15 12:01:37
Recherche de mailto:e \x00\x00 adavies8266@gmail.com par com.apple.madrid (iMessage)
2019-07-15 14:21:40
Processus : accountpfd
2019-08-29 10:57:43
Processus : roleaccountd
2019-08-29 10:57:44
Processus : mise en scène
2019-08-29 10:58:35
Processus : launchrexd
2019-09-03 07:54:26
Processus : roleaccountd
2019-09-03 07:54:28
Processus : mise en scène
2019-09-03 07:54:51
Processus : seracompted
2019-09-05 13:26:38
Processus : seracompted
2019-09-05 13:26:55
Processus : misbrigd
2019-09-10 06:09:04
Recherche de emmadavies8266@gmail.com par com.apple.madrid (iMessage)
2019-09-10 06:09:47
Recherche de jessicadavies1345@outlook.com par com.apple.madrid (iMessage)
2019-10-30 14:09:51
Processus : nehelprd
Il est intéressant de noter que dans les traces qu’Amnesty International a récupérées à partir de 2019, les recherches iMessage qui ont immédiatement précédé l’exécution de processus suspects contenaient souvent un remplissage 0x00 de deux octets dans l’adresse e-mail enregistrée par le fichier ID Status Cache.
5. Apple Music mis à profit pour livrer Pegasus en 2020
À la mi-2021, Amnesty International a identifié un autre cas d’un éminent journaliste d’investigation azerbaïdjanais (CODE AZJRN1) qui a été la cible à plusieurs reprises d’attaques Pegasus Zero-Click de 2019 jusqu’à la mi-2021.
Encore une fois, nous avons trouvé un modèle similaire de traces médico-légales sur l’appareil après la première exploitation réussie enregistrée :
2019-03-28 07:43:14
Fichier : Library/Preferences/ com.apple.CrashReporter.plist de RootDomain
2019-03-28 07:44:03
Fichier : Bibliothèque/Préférences/ roleaccountd.plist de RootDomain
2019-03-28 07:44:14
Processus : roleaccountd
2019-03-28 07:44:14
Processus : mise en scène
Fait intéressant, nous avons trouvé des signes d’une nouvelle technique d’infection iOS utilisée pour compromettre cet appareil. Une infection réussie s’est produite le 10 juillet 2020 :
2020-07-06 05:22:21
Recherche de f\x00\x00ip.bl82@gmail.com par iMessage (com.apple.madrid)
2020-07-10 14:12:09
Demande Pegasus par l’application Apple Music : https://x1znqjo0x8b8j.php78mp9v.opposedarrangement[.]net:37271/afAVt89Wq/stadium/pop2.html?key=501_4&n=7
2020-07-10 14:12:21
Processus : roleaccountd
2020-07-10 14:12:53
Processus : mise en scène
2020-07-13 05:05:17
Demande Pegasus par l’application Apple Music : https://4n3d9ca2st.php78mp9v.opposedarrangement[.]net:37891/w58Xp5Z/stadium/pop2.html?key=501_4&n=7
Peu de temps avant le lancement de Pegasus sur l’appareil, nous avons vu le trafic réseau enregistré pour le service Apple Music. Ces requêtes HTTP ont été récupérées à partir d’un fichier de cache réseau situé dans /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache. db que nous avons récupéré en jailbreakant l’appareil.
Amnesty International ne peut pas déterminer à partir de la médecine légale si Apple Music a lui-même été exploité pour transmettre l’infection initiale ou si, au lieu de cela, l’application a été maltraitée dans le cadre d’une chaîne d’évasion et d’escalade des privilèges du bac à sable. Des recherches récentes ont montré que les applications intégrées telles que l’application iTunes Store peuvent être utilisées de manière abusive pour exécuter un exploit de navigateur tout en échappant au sandbox restrictif de l’application Safari.
Plus important encore, la requête HTTP effectuée par l’application Apple Music pointe vers le domaine opposédarrangement[.]net , que nous avions précédemment identifié comme appartenant à l’infrastructure réseau Pegasus de NSO Group. Ce domaine correspondait à une empreinte distinctive que nous avons conçue lors de la réalisation d’analyses à l’échelle d’Internet suite à notre découverte des attaques par injection de réseau au Maroc (voir la section 9).
De plus, ces URL présentent des caractéristiques particulières typiques d’autres URL que nous avons trouvées impliquées dans les attaques Pegasus au fil des ans, comme expliqué dans la section suivante.
6. Megalodon : iMessage zero-click 0-day return en 2021
L’analyse menée par Amnesty International sur plusieurs appareils révèle des traces d’attaques similaires à celles que nous avons observées en 2019. Ces attaques ont été observées aussi récemment qu’en juillet 2021. Amnesty International pense que Pegasus est actuellement livré par le biais d’exploits sans clic qui restent fonctionnels jusqu’au dernier version disponible d’iOS au moment de la rédaction (juillet 2021).
Sur l’iPhone d’un avocat français des droits de l’homme (CODE FRHRL2), nous avons observé une recherche d’un compte iMessage suspect inconnu de la victime, suivie d’une requête HTTP effectuée par le processus com.apple.coretelephony . Il s’agit d’un composant d’iOS impliqué dans toutes les tâches liées à la téléphonie et probablement parmi ceux exploités dans cette attaque. Nous avons trouvé des traces de cette requête HTTP dans un fichier cache stocké sur le disque dans /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db contenant des métadonnées sur la requête et la réponse. Le téléphone a envoyé des informations sur l’appareil, notamment le modèle 9,1 (iPhone 7) et le numéro de version iOS 18C66(version 14.3) à un service proposé par Amazon CloudFront, suggérant que NSO Group est passé à l’utilisation des services AWS ces derniers mois. Au moment de cette attaque, la nouvelle version iOS 14.4 n’était sortie que depuis quelques semaines.
Date (UTC)
Événement
2021-02-08 10:42:40
Recherche de linakeller2203@gmail.com par iMessage (com.apple.madrid)
2021-02-08 11:27:10
com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/fV2GsPXgW//stadium/megalodon?m=iPhone9,1&v=18C66
2021-02-08 11:27:21
Processus : gatekeeper
2021-02-08 11:27:22
gatekeeperd exécute une requête HTTP vers https://d38j2563clgblt.cloudfront.net/fV2GsPXgW//stadium/wizard/01-00000000
2021-02-08 11:27:23
Processus : gatekeeper
Le fichier Cache.db pour com.apple.coretelephony contient des détails sur la réponse HTTP qui semble avoir été un téléchargement d’environ 250 Ko de données binaires. En effet, nous avons trouvé le binaire téléchargé dans le sous-dossier fsCachedData , mais il était malheureusement crypté. Amnesty International pense qu’il s’agit de la charge utile lancée en tant que gardien .
Amnesty International a ensuite analysé l’iPhone d’un journaliste (CODE MOJRN1), qui contenait des enregistrements très similaires. Cet appareil a été exploité à plusieurs reprises entre février et avril 2021 et dans toutes les versions d’iOS. La tentative la plus récente a montré les indicateurs de compromis suivants :
Date (UTC)
Événement
2021-04-02 10:15:38
Recherche de linakeller2203@gmail.com par iMessage (com.apple.madrid)
2021-04-02 10:36:00
com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/megalodon?m=iPhone8,1&v=18D52&u=[REDACTED]
2021-04-02 10:36:08
Le processus PDPDialogs exécute une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/ttjuk
2021-04-02 10:36:16
Le processus PDPDialogs exécute une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/01-00000000
2021-04-02 10:36:16
com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/cszjcft=frzaslm
2021-04-02 10:36:35
Processus : gatekeeper
2021-04-02 10:36:45
Processus : rolexd
Comme il est évident , le même compte iMessage observé dans l’affaire distincte précédente a été impliqué dans cette exploitation et compromis des mois plus tard. Le même site Web CloudFront a été contacté par com.apple.coretelephony et les processus supplémentaires ont exécuté, téléchargé et lancé des composants malveillants supplémentaires.
L’enregistrement initial indique que l’iPhone 6s compromis utilisait iOS 14.4 (numéro de build 18D52) au moment de l’attaque. Bien que les versions 14.4.1 et 14.4.2 étaient déjà disponibles à l’époque, elles ne traitaient que les vulnérabilités de WebKit, il est donc prudent de supposer que la vulnérabilité exploitée dans ces attaques iMessage a été exploitée en tant que jour 0.
Il convient de noter que parmi les nombreux autres noms de processus malveillants observés exécutés sur ce téléphone, nous voyons msgacntd , que nous avons également trouvé en cours d’exécution sur le téléphone d’Omar Radi en 2019, comme documenté précédemment.
En outre, il convient de noter que les URL que nous avons observées utilisées dans les attaques au cours des trois dernières années présentent un ensemble cohérent de modèles. Cela confirme l’analyse d’Amnesty International selon laquelle les trois URL sont en fait des composants de l’infrastructure d’attaque des clients Pegasus. L’attaque Apple Music de 2020 montre la même structure de domaine de niveau 4 et le même numéro de port élevé non standard que l’attaque par injection réseau de 2019. Les domaines free247downloads[.]com et opposés[.]net correspondaient à notre empreinte digitale de domaine Pegasus V4.
De plus, l’URL d’attaque Apple Music et les URL d’attaque Megaladon 2021 partagent un modèle distinctif. Les deux chemins d’URL commencent par un identifiant aléatoire lié à la tentative d’attaque suivi du mot « stade ».
Amnesty International a rapporté cette information à Amazon, qui nous a informés avoir « agi rapidement pour fermer l’infrastructure et les comptes impliqués » . [2]
L’iPhone 11 d’un militant français des droits de l’homme (CODE FRHRD1) a également montré une recherche iMessage pour le compte linakeller2203[@]gmail.com le 11 juin 2021 et des processus malveillants par la suite. Le téléphone utilisait iOS 14.4.2 et a été mis à niveau vers 14.6 le lendemain.
Plus récemment, Amnesty International a observé des preuves de compromission de l’iPhone XR d’un journaliste indien (CODE INJRN1) exécutant iOS 14.6 (dernier disponible au moment de la rédaction) le 16 juin 2021. Enfin, Amnesty International a confirmé une infection active. de l’iPhone X d’un militant (CODE RWHRD1) le 24 juin 2021, sous iOS 14.6. Bien que nous n’ayons pas été en mesure d’extraire les enregistrements des bases de données Cache.db en raison de l’impossibilité de jailbreaker ces deux appareils, des données de diagnostic supplémentaires extraites de ces iPhones montrent de nombreuses notifications push iMessage précédant immédiatement l’exécution des processus Pegasus.
L’appareil d’un activiste rwandais (CODE RWHRD1) montre des preuves de plusieurs infections à zéro clic réussies en mai et juin 2021. Nous pouvons en voir un exemple le 17 mai 2021. Un compte iMessage inconnu est enregistré et dans les minutes qui suivent au moins 20 morceaux de pièces jointes iMessage sont créés sur le disque.
Date (UTC)
Événement
2021-05-17 13:39:16
Recherche de compte iCloud benjiburns8[@]gmail.com (iMessage)
Amnesty International n’a trouvé aucune preuve que l’attaque du 17 mai ait été un succès. Les attaques ultérieures des 18 et 23 juin ont été couronnées de succès et ont conduit au déploiement de charges utiles Pegasus sur l’appareil.
Initialement, de nombreuses notifications push iMessage (com.apple.madrid) ont été reçues et des morceaux de pièces jointes ont été écrits sur le disque. Le tableau suivant montre un échantillon des 48 fichiers joints trouvés sur le système de fichiers.
Date (UTC)
Événement
2021-06-23 20:45:00
8 notifications push pour le sujet com.apple.madrid (iMessage)
2021-06-23 20:46:00
46 notifications push pour le sujet com.apple.madrid (iMessage)
54 notifications push pour le sujet com.apple.madrid (iMessage)
Un crash de processus s’est produit à 20:48:56, ce qui a entraîné le démarrage du processus ReportCrash suivi du redémarrage de plusieurs processus liés au traitement d’iMessage :
Date (UTC)
Événement
2021-06-23 20:48:56
Processus avec PID 1192 et nom ReportCrash
2021-06-23 20:48:56
Processus avec PID 1190 et nom IMTransferAgent
2021-06-23 20:48:56
Processus avec le PID 1153 et le nom SCHelper
2021-06-23 20:48:56
Processus avec PID 1151 et nom CategoriesService
2021-06-23 20:48:56
Processus avec PID 1147 et nom MessagesBlastDoorService
2021-06-23 20:48:56
Processus avec PID 1145 et nom NotificationService
Une deuxième série de plantages et de redémarrages se sont produits cinq minutes plus tard. Le processus ReportCrash a été lancé avec les processus liés à l’analyse du contenu iMessage et des avatars personnalisés iMessage.
Date (UTC)
Événement
2021-06-23 20:54:16
Processus avec PID 1280 et nom ReportCrash
2021-06-23 20:54:16
Processus avec PID 1278 et nom IMTransferAgent
2021-06-23 20:54:16
Processus avec PID 1266 et nom com.apple.WebKit.WebContent
2021-06-23 20:54:16
Processus avec PID 1263 et nom com.apple.accessibility.mediaac
2021-06-23 20:54:16
Processus avec le PID 1262 et le nom CategoriesService
2021-06-23 20:54:16
Processus avec PID 1261 et nom com.apple.WebKit.Networking
2021-06-23 20:54:16
Processus avec PID 1239 et nom avatarsd
Peu de temps après à 20h54 l’exploitation a réussi, et nous observons qu’une requête réseau a été faite par le processus com.apple.coretelephony provoquant la modification du fichier Cache.db. Cela correspond au comportement qu’Amnesty International a observé lors des autres attaques zéro clic de Pegasus en 2021.
Enfin, l’analyse d’un iPhone 12 entièrement patché sous iOS 14.6 d’un journaliste indien (CODE INJRN2) a également révélé des signes de compromission réussie. Ces découvertes les plus récentes indiquent que les clients de NSO Group sont actuellement en mesure de compromettre à distance tous les modèles d’iPhone récents et les versions d’iOS.
Nous avons signalé cette information à Apple, qui nous a informés qu’ils enquêtaient sur la question. [3]
7. Tentatives incomplètes pour cacher des preuves de compromission
Plusieurs iPhones qu’Amnesty International a inspectés indiquent que Pegasus a récemment commencé à manipuler des bases de données système et des enregistrements sur des appareils infectés pour cacher ses traces et entraver les efforts de recherche d’Amnesty International et d’autres enquêteurs.
Fait intéressant, cette manipulation devient évidente lors de la vérification de la cohérence des enregistrements restants dans DataUsage.sqlite et netusage.sqlitebases de données SQLite. Pegasus a supprimé les noms des processus malveillants de la table ZPROCESS dans la base de données DataUsage mais pas les entrées correspondantes de la table ZLIVEUSAGE. La table ZPROCESS stocke des lignes contenant un ID de processus et le nom du processus. La table ZLIVEUSAGE contient une ligne pour chaque processus en cours d’exécution, y compris le volume de transfert de données et l’ID de processus correspondant à l’entrée ZPROCESS. Ces incohérences peuvent être utiles pour identifier les moments où des infections peuvent s’être produites. Des indicateurs Pegasus supplémentaires de compromission ont été observés sur tous les appareils où cette anomalie a été observée. Aucune incohérence similaire n’a été trouvée sur les iPhones propres analysés par Amnesty International.
Bien que les enregistrements les plus récents soient désormais supprimés de ces bases de données, des traces d’exécutions de processus récentes peuvent également être récupérées à partir de journaux de diagnostic supplémentaires du système.
Par exemple, les enregistrements suivants ont été récupérés sur le téléphone d’un DRH (CODE RWHRD1) :
Date (UTC)
Événement
2021-01-31 23:59:02
Processus : libtouchregd (PID 7354)
2021-02-21 23:10:09
Processus : mptbd (PID 5663)
2021-02-21 23:10:09
Processus : launchrexd (PID 4634)
2021-03-21 06:06:45
Processus : roleaboutd (PID 12645)
2021-03-28 00:36:43
Processus : otpgrefd (PID 2786)
2021-04-06 21:29:56
Processus : locserviced (PID 5492)
2021-04-23 01:48:56
Processus : eventfssd (PID 4276)
2021-04-23 23:01:44
Processus : aggregatenotd (PID 1900)
2021-04-28 16:08:40
Processus : xpccfd (PID 1218)
2021-06-14 00:17:12
Processus : faskeepd (PID 4427)
2021-06-14 00:17:12
Processus : lobbrogd (PID 4426)
2021-06-14 00:17:12
Processus : neagentd (PID 4423)
2021-06-14 00:17:12
Processus : com.apple.rapports.events (PID 4421)
2021-06-18 08:13:35
Processus : faskeepd (PID 4427)
2021-06-18 15:31:12
Processus : launchrexd (PID 1169)
2021-06-18 15:31:12
Processus : frtipd (PID 1168)
2021-06-18 15:31:12
Processus : RappelIntentsUIExtension (PID 1165)
2021-06-23 14:31:39
Processus : launchrexd (PID 1169)
2021-06-23 20:59:35
Processus : otpgrefd (PID 1301)
2021-06-23 20:59:35
Processus : launchafd (PID 1300)
2021-06-23 20:59:35
Processus : vm_stats (PID 1294)
2021-06-24 12:24:29
Processus : otpgrefd (PID 1301)
Les fichiers journaux du système révèlent également l’emplacement des binaires Pegasus sur le disque. Ces noms de fichiers correspondent à ceux que nous avons systématiquement observés dans les journaux d’exécution de processus présentés précédemment. Les fichiers binaires sont situés dans le dossier /private/var/db/com.apple.xpc.roleaccountd.staging/, ce qui est cohérent avec les conclusions de Citizen Lab dans un rapport de décembre 2020 .
Les enquêtes d’Amnesty International, corroborées par des informations secondaires que nous avons reçues, semblent suggérer que Pegasus ne maintient plus la persistance sur les appareils iOS. Par conséquent, les charges utiles binaires associées à ces processus ne sont pas récupérables à partir du système de fichiers non volatile. Au lieu de cela, il faudrait pouvoir jailbreaker l’appareil sans redémarrage et tenter d’extraire les charges utiles de la mémoire.
8. Processus Pegasus déguisés en services système iOS
Parmi les nombreuses analyses médico-légales menées par Amnesty International sur des appareils du monde entier, nous avons trouvé un ensemble cohérent de noms de processus malveillants exécutés sur des téléphones compromis. Alors que certains processus, par exemple bh , semblent être propres à un vecteur d’attaque particulier, la plupart des noms de processus Pegasus semblent simplement déguisés pour apparaître comme des processus légitimes du système iOS, peut-être pour tromper les enquêteurs médico-légaux inspectant les journaux.
Plusieurs de ces noms de processus falsifient les binaires iOS légitimes :
Nom du processus Pegasus
Binaire iOS falsifié
ABSCarryLog
ASPCarryLog
agrégénotd
agrégé
ckkeyrollfd
ckkeyrolld
com.apple.Mappit.SnapshotService
com.apple.MapKit.SnapshotService
com.apple.rapports.events
com.apple.rapport.events
CommsCenterRootHelper
CommCenterRootHelper
Diagnostique-2543
Diagnostique-2532
événementsfssd
fseventsd
fmld
fmfd
JarvisPluginMgr
JarvisPlugin
launchafd
lancé
MobileSMSd
MobileSMS
nehelprd
aide
pcsd
com.apple.pcs
Dialogues PPD
Dialogues PPP
RappelIntentsUIExtension
RappelsIntentsUIExtension
rlaccountd
xpcroleaccountd
roleaccountd
xpcroleaccountd
La liste des noms de processus que nous associons aux infections Pegasus est disponible parmi tous les autres indicateurs de compromission sur notre page GitHub .
9. Démêler l’infrastructure d’attaque Pegasus au fil des ans
L’ensemble de noms de domaine, de serveurs et d’infrastructures utilisés pour fournir et collecter des données à partir du logiciel espion Pegasus de NSO Group a évolué à plusieurs reprises depuis sa première divulgation publique par Citizen Lab en 2016.
En août 2018, Amnesty International a publié un rapport « Amnesty International parmi les cibles de la campagne soutenue par les NSO » qui décrivait le ciblage d’un membre du personnel d’Amnesty International et d’un défenseur des droits humains saoudien. Dans ce rapport, Amnesty International a présenté un extrait de plus de 600 noms de domaine liés à l’infrastructure d’attaque de NSO Group. Amnesty International a publié la liste complète des domaines en octobre 2018. Dans ce rapport, nous appelons ces domaines le réseau Pegasus version 3 (V3) .
L’ infrastructure de la version 3 utilisait un réseau de VPS et de serveurs dédiés. Chaque serveur d’installation Pegasus ou serveur de commande et de contrôle (C&C) hébergeait un serveur Web sur le port 443 avec un domaine unique et un certificat TLS. Ces serveurs de périphérie feraient ensuite passer les connexions via une chaîne de serveurs, appelée par NSO Group sous le nom de « Pegasus Anonymizing Transmission Network » (PATN).
Il était possible de créer une paire d’empreintes digitales pour l’ensemble distinctif de suites de chiffrement TLS prises en charge par ces serveurs. La technique d’empreinte digitale est conceptuellement similaire à la technique d’empreinte digitale JA3S publiée par Salesforce en 2019 . Avec cette empreinte digitale, le laboratoire de sécurité d’Amnesty International a effectué des analyses à l’échelle d’Internet pour identifier l’installation/l’infection de Pegasus et les serveurs C&C actifs à l’été 2018.
NSO Group a commis des erreurs de sécurité opérationnelle critiques lors de la configuration de son infrastructure de version 3. Deux domaines de l’ancien réseau Version 2 ont été réutilisés dans leur réseau Version 3. Ces deux domaines de la version 2, pine-sales[.]com et ecommerce-ads[.]org avaient déjà été identifiés par Citizen Lab. Ces erreurs ont permis à Amnesty International de lier la tentative d’attaque contre notre collègue au produit Pegasus de NSO Group. Ces liens ont été confirmés de manière indépendante par Citizen Lab dans un rapport de 2018 .
NSO Group a rapidement fermé bon nombre de ses serveurs de la version 3 peu de temps après les publications d’Amnesty International et de Citizen Lab le 1er août 2018.
9.1 Nouvelles tentatives de NSO Group pour cacher leur infrastructure
En août 2019, Amnesty International a identifié un autre cas d’utilisation des outils du groupe NSO pour cibler un défenseur des droits humains, cette fois au Maroc. Maati Monjib a été la cible de messages SMS contenant des liens Pegasus Version 3 .
Amnesty a effectué une analyse médico-légale de son iPhone comme décrit précédemment. Cette analyse médico-légale a montré des redirections vers un nouveau nom de domaine free247downloads.com . Ces liens ressemblaient étrangement aux liens d’infection précédemment utilisés par NSO.
Amnesty International a confirmé que ce domaine était lié au groupe NSO en observant des artefacts Pegasus distinctifs créés sur l’appareil peu de temps après l’ouverture de l’URL d’infection. Avec ce nouveau domaine en main, nous avons pu commencer à cartographier l’ infrastructure Pegasus Version 4 (V4) .
NSO Group a remanié son infrastructure pour introduire des couches supplémentaires, ce qui a compliqué la découverte. Néanmoins, nous pouvions maintenant observer au moins 4 serveurs utilisés dans chaque chaîne d’infection.
Un serveur de validation : La première étape était un site web que nous avons vu hébergé sur des hébergeurs mutualisés. Ce site Web exécutait fréquemment une application PHP ou CMS aléatoire et parfois obscure. Amnesty International pense qu’il s’agissait d’un effort visant à rendre les domaines moins distinguables.
Le serveur de validation vérifierait la demande entrante. Si une requête avait une URL valide et toujours active, le serveur de validation redirigerait la victime vers le domaine du serveur d’exploitation nouvellement généré. Si l’URL ou l’appareil n’était pas valide, il redirigerait vers un site Web leurre légitime. Tout passant ou crawler Internet ne verrait que le leurre PHP CMS.
Serveur DNS d’infection : NSO semble désormais utiliser un sous-domaine unique pour chaque tentative d’exploit. Chaque sous-domaine a été généré et n’a été actif que pendant une courte période. Cela a empêché les chercheurs de trouver l’emplacement du serveur d’exploit sur la base des journaux de périphérique historiques.
Pour résoudre dynamiquement ces sous-domaines, NSO Group a exécuté un serveur DNS personnalisé sous un sous-domaine pour chaque domaine d’infection. Il a également obtenu un certificat TLS générique qui serait valide pour chaque sous-domaine généré tel que *.info8fvhgl3.urlpush[.]net ou *.get1tn0w.free247downloads[.]com .
Serveur d’installation Pegasus : pour servir la charge utile d’infection réelle, NSO Group doit exécuter un serveur Web quelque part sur Internet. Encore une fois, NSO Group a pris des mesures pour éviter l’analyse Internet en exécutant le serveur Web sur un numéro de port aléatoire élevé.
Nous supposons que chaque serveur Web d’infection fait partie de la nouvelle génération « Pegasus Anonymizing Transmission Network » . Les connexions au serveur d’infection sont probablement renvoyées par proxy à l’infrastructure Pegasus du client.
Serveur de commande et de contrôle : dans les générations précédentes du PATN, NSO Group utilisait des domaines distincts pour l’infection initiale et la communication ultérieure avec le logiciel espion. Le rapport iPwn de Citizen Lab a fourni la preuve que Pegasus utilise à nouveau des domaines distincts pour le commandement et le contrôle. Pour éviter la découverte basée sur le réseau, le logiciel espion Pegasus a établi des connexions directes avec les serveurs Pegasus C&C sans effectuer au préalable une recherche DNS ou envoyer le nom de domaine dans le champ TLS SNI.
Amnesty International a commencé par analyser la configuration des domaines d’infection et des serveurs DNS utilisés dans les attaques contre les journalistes et les défenseurs des droits humains marocains.
Sur la base de notre connaissance des domaines utilisés au Maroc, nous avons développé une empreinte digitale qui a identifié 201 domaines d’installation Pegasus dont l’infrastructure était active au moment de l’analyse initiale. Cet ensemble de 201 domaines comprenait à la fois urlpush[.]net et free247downloads[.]com .
Amnesty International a identifié 500 domaines supplémentaires avec une analyse du réseau ultérieure et en regroupant les modèles d’enregistrement de domaine, l’émission de certificats TLS et la composition de domaine qui correspondaient à l’ensemble initial de 201 domaines.
Amnesty International pense que cela représente une part importante de l’infrastructure d’attaque de la version 4 du groupe NSO. Nous publions ces 700 domaines aujourd’hui. Nous recommandons aux organisations de la société civile et des médias de vérifier leur télémétrie réseau et/ou leurs journaux DNS pour rechercher des traces de ces indicateurs de compromission.
9.3 Que peut-on apprendre de l’infrastructure de NSO Group
Le graphique suivant montre l’évolution de l’infrastructure de NSO Group Pegasus sur une période de 4 ans, de 2016 à mi-2021. Une grande partie de l’ infrastructure de la version 3 a été brutalement fermée en août 2018 à la suite de notre rapport sur un membre du personnel d’Amnesty International ciblé par Pegasus. L’ infrastructure Version 4 a ensuite été progressivement déployée à partir de septembre et octobre 2018.
Un nombre important de nouveaux domaines ont été enregistrés en novembre 2019, peu de temps après que WhatsApp a informé leurs utilisateurs du ciblage présumé avec Pegasus. Cela peut refléter la rotation des domaines NSO en raison du risque perçu de découverte, ou en raison de la perturbation de leur infrastructure d’hébergement existante.
L’infrastructure du serveur DNS V4 a commencé à se déconnecter au début de 2021 à la suite du rapport Citizen Lab iPwn qui a révélé plusieurs domaines Pegasus V4.
Amnesty International soupçonne que la fermeture de l’infrastructure V4 a coïncidé avec le passage de NSO Group à l’utilisation de services cloud tels qu’Amazon CloudFront pour livrer les premières étapes de leurs attaques. L’utilisation de services cloud protège NSO Group de certaines techniques d’analyse Internet.
9.4 Infrastructure d’attaque hébergée principalement en Europe et en Amérique du Nord
L’infrastructure Pegasus de NSO Group se compose principalement de serveurs hébergés dans des centres de données situés dans des pays européens. Les pays hébergeant le plus de serveurs DNS de domaine d’infection comprenaient l’Allemagne, le Royaume-Uni, la Suisse, la France et les États-Unis (États-Unis).
De campagne
Serveurs par pays
Allemagne
212
Royaume-Uni
79
Suisse
36
La France
35
États Unis
28
Finlande
9
Pays-Bas
5
Canada
4
Ukraine
4
Singapour
3
Inde
3
L’Autriche
3
Japon
1
Bulgarie
1
Lituanie
1
Bahreïn
1
Le tableau suivant indique le nombre de serveurs DNS hébergés chez chaque fournisseur d’hébergement. La plupart des serveurs identifiés sont attribués aux sociétés d’hébergement américaines Digital Ocean, Linode et Amazon Web Services (AWS).
De nombreux hébergeurs proposent un hébergement de serveur dans plusieurs emplacements physiques. Sur la base de ces deux tableaux, il apparaît que NSO Group utilise principalement les centres de données européens gérés par des sociétés d’hébergement américaines pour exécuter une grande partie de l’infrastructure d’attaque de ses clients.
Réseau
Serveurs par réseau
DIGITALOCEAN-ASN
142
Linode, LLC
114
AMAZONE-02
73
Akenes SA
60
UpCloud Ltd
9
Choopa
7
OVH SAS
6
Systèmes virtuels LLC
2
ASN-QUADRANET-GLOBAL
1
combahton GmbH
1
UAB Rakréjus
1
HZ Hosting Ltd
1
PE Brejnev Daniil
1
Neterra Ltd.
1
Kyiv Optic Networks Ltd
1
Les recherches d’Amnesty International ont identifié 28 serveurs DNS liés à l’infrastructure d’infection qui étaient hébergés aux États-Unis.
Nom de domaine
IP du serveur DNS
Réseau
drp32k77.todoinfonet.com
104.223.76.216
ASN-QUADRANET-GLOBAL
imgi64kf5so6k.transferlights.com
165.227.52.184
DIGITALOCEAN-ASN
pc43v65k.alignmentdisabled.net
167.172.215.114
DIGITALOCEAN-ASN
img54fsd3267h.prioritytrail.net
157.245.228.71
DIGITALOCEAN-ASN
jsfk3d43.netvisualizer.com
104.248.126.210
DIGITALOCEAN-ASN
cdn42js666.manydnsnow.com
138.197.223.170
DIGITALOCEAN-ASN
css1833iv.handcraftedformat.com
134.209.172.164
DIGITALOCEAN-ASN
js43fsf7v.opera-van.com
159.203.87.42
DIGITALOCEAN-ASN
pypip36z19.myfundsdns.com
167.99.105.68
DIGITALOCEAN-ASN
css912jy6.reception-desk.net
68.183.105.242
DIGITALOCEAN-ASN
imgi64kf5so6k.transferlights.com
206.189.214.74
DIGITALOCEAN-ASN
js85mail.preferenceviews.com
142.93.80.134
DIGITALOCEAN-ASN
css3218i.quota-reader.net
165.227.17.53
DIGITALOCEAN-ASN
mongo87a.sweet-water.org
142.93.113.166
DIGITALOCEAN-ASN
réagir12x2.towebsite.net
3.13.132.96
AMAZONE-02
jsb8dmc5z4.gettingurl.com
13.59.79.240
AMAZONE-02
réagir12x2.towebsite.net
3.16.75.157
AMAZONE-02
cssgahs5j.redirigir.net
18.217.13.50
AMAZONE-02
jsm3zsn5kewlmk9q.dns-analytics.com
18.225.12.72
AMAZONE-02
imgcss35d.domain-routing.com
13.58.85.100
AMAZONE-02
jsb8dmc5z4.gettingurl.com
18.191.63.125
AMAZONE-02
js9dj1xzc8d.beanbounce.net
199.247.15.15
CHOOPA
jsid76api.buildyourdata.com
108.61.158.97
CHOOPA
cdn19be2.reloadinput.com
95.179.177.18
CHOOPA
srva9awf.syncingprocess.com
66.175.211.107
Linode
jsfk3d43.netvisualizer.com
172.105.148.64
Linode
imgdsg4f35.permalinking.com
23.239.16.143
Linode
srva9awf.syncingprocess.com
45.79.190.38
Linode
9.5 Résolutions de domaine d’infection observées dans la base de données DNS passive
Sur la base d’une analyse médico-légale des appareils compromis, Amnesty International a déterminé que NSO Group utilisait un sous-domaine unique et généré de manière aléatoire pour chaque tentative de livraison du logiciel espion Pegasus.
Amnesty International a recherché des ensembles de données DNS passifs pour chacun des domaines Pegasus Version 4 que nous avons identifiés. Les bases de données DNS passives enregistrent la résolution DNS historique pour un domaine et incluent souvent des sous-domaines et l’adresse IP historique correspondante.
Un sous-domaine ne sera enregistré dans les enregistrements DNS passifs que si le sous-domaine a été résolu avec succès et que la résolution a transité par un réseau qui exécutait une sonde DNS passive.
Ces données de sonde sont collectées sur la base d’accords entre les opérateurs de réseau et les fournisseurs de données DNS passifs. De nombreux réseaux ne seront pas couverts par de tels accords de collecte de données. Par exemple, aucune résolution DNS passive n’a été enregistrée pour les domaines d’infection Pegasus utilisés au Maroc.
En tant que telles, ces résolutions ne représentent qu’un petit sous-ensemble de l’activité globale de NSO Group Pegasus .
Domaine d’infection
Sous-domaines d’infection uniques
mongo77usr.urlredirect.net
417
str1089.mailappzone.com
410
apiweb248.theappanalytics.com
391
dist564.htmlstats.net
245
css235gr.apigraphs.net
147
nodesj44s.unusualneighbor.com
38
jsonapi2.linksnew.info
30
img9fo658tlsuh.securisurf.com
19
pc25f01dw.loading-url.net
12
dbm4kl5d3faqlk6.healthyguess.com
8
img359axw1z.reload-url.net
5
css2307.cssgraphics.net
5
info2638dg43.newip-info.com
3
img87xp8m.catbrushcable.com
2
img108jkn42.av-scanner.com
2
mongom5sxk8fr6.extractsight.com
2
img776cg3.webprotector.co
1
tv54d2ml1.topadblocker.net
1
drp2j4sdi.safecrusade.com
1
api1r3f4.redirectweburl.com
1
pc41g20bm.redirectconnection.net
1
jsj8sd9nf.randomlane.net
1
php78mp9v.opposedarrangement.net
1
Le domaine urlredirect.net avait le plus grand nombre de sous-domaines uniques observés. Au total, 417 résolutions ont été enregistrées entre le 4 octobre 2018 et le 17 septembre 2019. La deuxième plus élevée était mailappzone.com qui compte 410 résolutions sur une période de 3 mois entre le 23 juillet 2020 et le 15 octobre 2020.
Amnesty International pense que chacune de ces résolutions de sous-domaine, 1748 au total, représente une tentative de compromission d’un appareil avec Pegasus. Ces 23 domaines représentent moins de 7 % des 379 domaines du serveur d’installation Pegasus que nous avons identifiés. Sur la base de ce petit sous-ensemble, Pegasus a peut-être été utilisé dans des milliers d’attaques au cours des trois dernières années.
10. Appareils mobiles, sécurité et auditabilité
Une grande partie du ciblage décrit dans ce rapport implique des attaques Pegasus ciblant les appareils iOS. Il est important de noter que cela ne reflète pas nécessairement la sécurité relative des appareils iOS par rapport aux appareils Android, ou à d’autres systèmes d’exploitation et fabricants de téléphones.
D’après l’expérience d’Amnesty International, il y a beaucoup plus de traces médico-légales accessibles aux enquêteurs sur les appareils Apple iOS que sur les appareils Android d’origine, c’est pourquoi notre méthodologie se concentre sur les premiers. En conséquence, les cas les plus récents d’infections confirmées par Pegasus ont impliqué des iPhones.
Cette enquête et toutes les enquêtes précédentes démontrent à quel point les attaques contre les appareils mobiles constituent une menace importante pour la société civile dans le monde. La difficulté non seulement à prévenir, mais à détecter à titre posthume les attaques est le résultat d’une asymétrie insoutenable entre les capacités facilement accessibles aux attaquants et les protections inadéquates dont bénéficient les personnes à risque.
Alors que les appareils iOS fournissent au moins quelques diagnostics utiles, les enregistrements historiques sont rares et facilement falsifiés. D’autres appareils offrent peu ou pas d’aide pour effectuer des analyses médico-légales consensuelles. Bien que beaucoup puisse être fait pour améliorer la sécurité des appareils mobiles et atténuer les risques d’attaques telles que celles documentées dans ce rapport, il est possible d’en faire encore plus en améliorant la capacité des propriétaires d’appareils et des experts techniques à effectuer des contrôles réguliers de l’intégrité du système. .
Par conséquent, Amnesty International encourage vivement les fournisseurs d’appareils à explorer des options pour rendre leurs appareils plus contrôlables, sans bien sûr sacrifier les protections de sécurité et de confidentialité déjà en place. Les développeurs de plateformes et les fabricants de téléphones devraient engager régulièrement des conversations avec la société civile pour mieux comprendre les défis auxquels sont confrontés les DDH, qui sont souvent sous-représentés dans les débats sur la cybersécurité.
11. Avec notre Méthodologie, nous publions nos outils et indicateurs
Pendant longtemps, trier l’état d’un appareil mobile présumé compromis a été considéré comme une tâche presque impossible, en particulier au sein des communautés de défense des droits humains dans lesquelles nous travaillons. Grâce au travail du laboratoire de sécurité d’Amnesty International, nous avons développé des capacités importantes qui peuvent profiter à nos pairs et collègues soutenant les militants, les journalistes et les avocats qui sont en danger.
Par conséquent, à travers ce rapport, nous partageons non seulement la méthodologie que nous avons construite au fil des années de recherche, mais également les outils que nous avons créés pour faciliter ce travail, ainsi que les indicateurs de compromis Pegasus que nous avons collectés.
Tous les indicateurs de compromission sont disponibles sur notre GitHub , y compris les noms de domaine de l’infrastructure Pegasus, les adresses e-mail récupérées à partir des recherches de compte iMessage impliquées dans les attaques et tous les noms de processus identifiés par Amnesty International comme associés à Pegasus.
Amnesty International publie également un outil que nous avons créé, appelé Mobile Verification Toolkit (MVT) . MVT est un outil modulaire qui simplifie le processus d’acquisition et d’analyse des données des appareils Android, ainsi que l’analyse des enregistrements des sauvegardes iOS et des vidages du système de fichiers, en particulier pour identifier les traces potentielles de compromission.
MVT peut être fourni avec des indicateurs de compromission au format STIX2 et identifiera tous les indicateurs correspondants trouvés sur l’appareil. En conjonction avec les indicateurs Pegasus, MVT peut aider à identifier si un iPhone a été compromis.
Entre autres, certaines des caractéristiques de MVT incluent :
Décryptez les sauvegardes iOS cryptées.
Traitez et analysez les enregistrements de nombreuses bases de données et journaux système du système et des applications iOS.
Extrayez les applications installées des appareils Android.
Extrayez les informations de diagnostic des appareils Android via le protocole adb.
Comparez les enregistrements extraits à une liste fournie d’indicateurs malveillants au format STIX2. Identifiez automatiquement les messages SMS malveillants, les sites Web visités, les processus malveillants, etc.
Générez des journaux JSON des enregistrements extraits et séparez les journaux JSON de toutes les traces malveillantes détectées.
Générez une chronologie unifiée des enregistrements extraits, ainsi qu’une chronologie de toutes les traces malveillantes détectées.
Remerciements
Le laboratoire de sécurité d’Amnesty International souhaite remercier tous ceux qui ont soutenu cette recherche. Les outils publiés par la communauté de recherche sur la sécurité iOS, notamment libimobiledevice et checkra1n, ont été largement utilisés dans le cadre de cette recherche. Nous tenons également à remercier Censys et RiskIQ pour avoir fourni l’accès à leur analyse Internet et à leurs données DNS passives.
Amnesty International souhaite remercier Citizen Lab pour ses recherches importantes et approfondies sur NSO Group et d’autres acteurs contribuant à la surveillance illégale de la société civile. Amnesty International remercie Citizen Lab pour son évaluation par les pairs de ce rapport de recherche .
Enfin, Amnesty International souhaite remercier les nombreux journalistes et défenseurs des droits humains qui ont courageusement collaboré pour rendre cette recherche possible.
Annexe A : Examen par les pairs du rapport méthodologique par Citizen Lab
Le Citizen Lab de l’Université de Toronto a évalué de manière indépendante par des pairs une ébauche de la méthodologie médico-légale décrite dans ce rapport. Leur avis est disponible ici .
Annexe B : Recherches de comptes iCloud suspectes
Cette annexe montre le chevauchement des comptes iCloud trouvés recherchés sur les appareils mobiles de différentes cibles. Cette liste sera progressivement mise à jour.
Compte iCloud
Cibler
emmaholm575[@]gmail.com
• AZJRN1 – Khadija Ismayilova
filip.bl82[@]gmail.com
• AZJRN1 – Khadija Ismayilova
kleinleon1987[@]gmail.com
• AZJRN1 – Khadija Ismayilova
bergers.o79[@]gmail.com
• Omar Radi• FRHRL1 – Joseph Breham• FRHRL2• FRJRN1 – Lenaig Bredoux• FRJRN2• FRPOI1• FRPOI2 – François de Rugy
naomiwerff772[@]gmail.com
• Omar Radi• FRHRL1 – Joseph Breham• FRPOI1
bogaardlisa803[@]gmail.com
• FRHRL1 – Joseph Breham• FRJRN1 – Lenaig Bredoux• FRJRN2
linakeller2203[@]gmail.com
• FRHRD1 – Claude Mangin• FRPOI3 – Philippe Bouyssou• FRPOI4• FRPOI5 – Oubi Buchraya Bachir• MOJRN1 – Hicham Mansouri
Cette annexe contient des ventilations détaillées des traces médico-légales récupérées pour chaque cible. Cette annexe sera progressivement mise à jour.
C.1 Aperçu des traces médico-légales pour Maati Monjib
Date (UTC)
Événement
2017-11-02 12:29:33
SMS Pegasus avec lien vers hxxps://tinyurl[.]com/y73qr7mb redirigeant vers hxxps :/ /revolution-news[.]co /ikXFZ34ca
2017-11-02 16:42:34
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /vi78ELI
2017-11-02 16:44:00
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /vi78ELI à partir de +212766090491
2017-11-02 16:45:10
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 16:57:00
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:13:45
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:21:57
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:30:49
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:40:46
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-15 17:05:17
SMS Pegasus avec lien vers hxxps:// videosdownload[.]co /nBBJBIP
2017-11-20 18:22:03
SMS Pegasus avec lien vers hxxps:// infospress[.]com /LqoHgMCEE
2017-11-24 13:43:17
SMS Pegasus avec lien vers hxxps://tinyurl[.]com/y9hbdqm5 redirigeant vers hxxps:// hmizat[.]co /JaCTkfEp
2017-11-24 17:26:09
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /2Kj2ik6
2017-11-27 15:56:10
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /yTnWt1Ct
2017-11-27 17:32:37
SMS Pegasus avec lien vers hxxps:// hmizat[.]co /ronEKDVaf
2017-12-07 18:21:57
SMS Pegasus avec lien vers hxxp://tinyurl[.]com/y7wdcd8z redirigeant vers hxxps:// infospress[.]com /Ln3HYK4C
2018-01-08 12:58:14
SMS Pegasus avec lien vers hxxp://tinyurl[.]com/y87hnl3o redirigeant vers hxxps:// infospress[.]com /asjmXqiS
2018-02-09 21:12:49
Processus : pcsd
16/03/2018 08:24:20
Processus : pcsd
2018-04-28 22:25:12
Processus : bh
2018-05-04 21:30:45
Processus : pcsd
2018-05-21 21:46:06
Processus : fmld
2018-05-22 17:36:51
Processus : bh
2018-06-04 11:05:43
Processus : fmld
2019-03-27 21:45:10
Processus : bh
2019-04-14 23:02:41
Favicon Safari de l’URL hxxps://c7r8x8f6zecd8j.get1tn0w. free247downloads[.]com :30352/Ld3xuuW5
2019-06-27 20:13:10
Favicon Safari de l’URL hxxps://3hdxu4446c49s.get1tn0w. free247downloads[.]com :30497/pczrccr#052045871202826837337308184750023238630846883009852
2019-07-22 15:42:32
Visite Safari à hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz
2019-07 22 15:42:32
Visite Safari à hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz#048634787343287485982474853012724998054718494423286
2019-07-22 15:43:06
Favicon Safari de l’URL hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz#048634787343287485982474853012724998054718494423286
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://c7r8x8f6zecd8j.get1tn0w. free247downloads[.]com
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://bun54l2b67.get1tn0w. free247downloads[.]com
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://keewrq9z.get1tn0w. free247downloads[.]com
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://3hdxu4446c49s.get1tn0w. free247downloads[.]com
C.2 Aperçu des traces médico-légales pour Omar Radi
Date (UTC)
Événement
2019-02-11 14:45:45
Fichier Webkit IndexedDB pour l’URL hxxps://d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com
2019-02-11 13:45:53
Favicon Safari de l’URL hxxps://d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com :30897/rdEN5YP
2019-02-11 13:45:56
Processus : bh
2019-02-11 13:46:16
Processus : roleaboutd
2019-02-11 13:46:23
Processus : roleaboutd
2019-02-11 16:05:24
Processus : roleaboutd
2019-08-16 17:41:06
Recherche iMessage pour le compte bergers.o79[@]gmail.com
2019-09-13 15:01:38
Favicon Safari pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse#011356570257117296834845704022338973133022433397236
2019-09-13 15:01:56
Favicon Safari pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse#068099561614626278519925358638789161572427833645389
2019-09-13 15:02:11
Processus : bh
2019-09-13 15:02:20
Processus : msgacntd
2019-09-13 15:02:33
Processus : msgacntd
2019-09-14 15:02:57
Processus : msgacntd
2019-09-14 18:51:54
Processus : msgacntd
2019-10-29 12:21:18
Recherche iMessage pour le compte naomiwerff772[@]gmail.com
2020-01-27 10:06:24
Favicon Safari pour l’URL hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946
2020-01-27 10:06:26
Visite Safari à hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#2
2020-01-27 10:06:26
Visite Safari à hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#24
2020-01-27 10:06:32
Favicon Safari pour l’URL hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946%2324
Annexe D : Traces médico-légales de Pegasus par cible
[1] Les preuves techniques fournies dans le rapport comprennent les recherches médico-légales menées dans le cadre du projet Pegasus ainsi que des recherches supplémentaires menées par Amnesty International Security Lab depuis la création du Security Lab en 2018.
Les révélations du Pegasus Project montrent une couche de risque supplémentaire pour les journalistes de corruption
Dénoncer ceux qui abusent du pouvoir à des fins personnelles est une activité dangereuse. Depuis que le CPJ a commencé à tenir des registres en 1992, près de 300 journalistes tués pour leur travail couvraient la corruption, soit en tant que sujet principal, soit en tant que sujet parmi d’autres.
Ce risque a été réaffirmé ce mois-ci avec la publication du projet Pegasus, un reportage réalisé en collaboration par 17 médias mondiaux sur une liste de milliers de numéros de téléphone ayant fait l’objet d’une fuite et qui auraient été sélectionnés pour une éventuelle surveillance par des clients gouvernementaux de la société israélienne NSO Group. Selon les groupes impliqués dans le projet, au moins 180 journalistes sont impliqués comme cibles.
NSO Group a nié tout lien avec la liste dans une déclaration au CPJ ; il affirme que seuls les clients gouvernementaux approuvés peuvent acheter son logiciel espion Pegasus pour lutter contre le crime et le terrorisme.
Parmi les organismes qui analysent les données, on trouve le réseau mondial de journalisme Organized Crime and Corruption Reporting Project, qui, au 29 juillet, avait répertorié 122 de ces journalistes sur son site Web.
Tous ne se concentrent pas sur la corruption, a déclaré au CPJ Drew Sullivan, cofondateur et éditeur de l’OCCRP, lors d’un récent appel vidéo. Mais plusieurs des partenaires de l’OCCRP dans le domaine du reportage sur la corruption y figurent, a-t-il ajouté, citant en exemple des personnes qui ont travaillé pour le média indépendant azerbaïdjanais Meydan TV et le média d’investigation hongrois Direkt 36.
« Les personnes qui examinent les problèmes de ces administrations – qui ont tendance à être quelque peu autocratiques – dans de nombreux pays, elles étaient perçues comme des ennemis de l’État parce qu’elles demandaient des comptes aux gouvernements », a-t-il déclaré.
Au moins quatre journalistes spécialisés dans la corruption dont le CPJ suit les cas depuis des années – au Mexique, au Maroc, en Azerbaïdjan et en Inde – sont apparus dans les rapports du projet Pegasus comme de possibles victimes de logiciels espions. Leur inclusion dans le projet ajoute une nouvelle dimension à leurs histoires de persécution, suggérant que les gouvernements sont de plus en plus disposés à explorer une technologie controversée comme un outil supplémentaire pour réduire au silence le journalisme sur la corruption.
Voici comment les révélations du Pegasus Project ont jeté un nouvel éclairage sur ces quatre cas :
Le journaliste indépendant Cecilio Pineda Birto, tué au Mexique
Ce que nous savions: Pineda a subi des menaces de mort et une tentative de tir pour continuer à publier des articles sur le crime et la corruption sur une page Facebook axée sur l’actualité qu’il dirigeait, mais a été abattu à son lave-auto local en 2017. Il était l’un des six journalistes tués en représailles pour leur reportage au Mexique cette année-là.
Nouvelle information : le numéro de téléphone de Pineda a été sélectionné pour une éventuelle surveillance un mois avant sa mort ; il avait récemment déclaré à un mécanisme fédéral de protection des journalistes qu’il pensait pouvoir échapper aux menaces car les assaillants potentiels ne sauraient pas où il se trouve , selon The Guardian.
La réponse du gouvernement : des responsables mexicains ont déclaré ce mois-ci que les deux administrations précédentes avaient dépensé 300 millions de dollars de fonds gouvernementaux pour la technologie de surveillance entre 2006 et 2018, y compris des contrats avec NSO Group, selon l’ Associated Press . Le CPJ a envoyé un courriel à Raúl Tovar, directeur de la communication sociale au bureau du procureur fédéral du Mexique, et à Jesús Ramírez Cuevas, porte-parole du président Andrés Manuel López Obrador, pour commenter l’utilisation de logiciels espions contre les journalistes, mais n’a reçu aucune réponse.
Le journaliste du Desk Omar Radi, emprisonné au Maroc
Ce que nous savions : le 19 juillet 2021 – alors que de nombreuses histoires du projet Pegasus étaient encore en suspens – un tribunal a condamné Radi à six ans de prison pour des accusations largement considérées comme des représailles ; il avait été emprisonné un an plus tôt, peut-être pour empêcher l’achèvement de son enquête sur des saisies abusives de terres. À l’instar de ses collègues journalistes marocains Taoufik Bouachrine et Soulaiman Raissouni , qui purgent respectivement des peines de 15 ans et 5 ans, Radi a été reconnu coupable d’un crime sexuel, dont les journalistes ont déclaré au CPJ qu’il s’agissait d’une tactique pour réduire le soutien du public à l’accusé.
Nouvelles informations : Amnesty International avait déjà effectué une analyse médico-légale du téléphone de Radi en 2019 et 2020 et l’avait connecté au logiciel espion Pegasus, comme indiqué dans le rapport du projet Pegasus . Désormais, on sait que Bouachrine et Raissouni ont également été sélectionnées comme cibles potentielles, selon Forbidden Stories .
La réponse du gouvernement : L’Etat marocain a chargé un avocat d’intenter une action en diffamation contre les groupes impliqués dans le projet Pegasus devant un tribunal français, selon Reuters . Le CPJ a demandé des commentaires à une adresse électronique du ministère marocain de la Justice en juillet mais n’a reçu aucune réponse ; Les tentatives passées du CPJ pour joindre quelqu’un pour répondre aux questions sur les logiciels espions dans les ministères des Communications et de l’Intérieur ont également été infructueuses.
La journaliste d’investigation Khadija Ismayilova, anciennement emprisonnée en Azerbaïdjan
Ce que nous savions : Ismayilova, une éminente journaliste d’investigation, est connue pour ses dénonciations de la corruption gouvernementale de haut niveau et des liens présumés entre la famille et les entreprises du président Ilham Aliyev. Elle a été condamnée à sept ans et demi de prison sur une série d’accusations inventées de toutes pièces en décembre 2014 et a purgé 538 jours avant sa libération .
Nouvelle information : Amnesty International a détecté plusieurs traces d’activité liées au logiciel espion Pegasus, datant de 2019 à 2021, dans une analyse médico – légale du téléphone d’Ismayilova après que son numéro a été identifié sur la liste. Ismayilova a ensuite examiné d’autres numéros de téléphone azerbaïdjanais identifiés par le projet Pegasus et a reconnu que certains appartenaient à sa nièce, un ami et son chauffeur de taxi, a rapporté l’OCCRP .
Réponse du gouvernement : Le CPJ a demandé des commentaires aux services de sécurité de l’État azerbaïdjanais via un portail sur son site Internet le 28 juillet, mais n’a reçu aucune réponse ; La demande du CPJ concernant la surveillance présumée du journaliste de Meydan TV Sevinj Vagifgizi la semaine dernière n’a pas non plus été acceptée .
La journaliste de l’ hebdomadaire économique et politique Paranjoy Guha Thakurta, victime de harcèlement judiciaire en Inde
Ce que nous savions : Guha Thakurta, journaliste et auteur, a fait l’objet d’une poursuite pénale et civile en diffamation prolongée datant de 2017, avec trois collègues de la revue universitaire Economic and Political Weekly – et a récemment été menacé d’arrestation lorsqu’il a refusé d’assister à un entendu à travers le pays pendant la pandémie. Cette poursuite – intentée par le conglomérat Adani Group à la suite d’un article décrivant comment l’entreprise avait influencé les politiques gouvernementales – était l’une des nombreuses actions en justice auxquelles il a été confronté, actions qu’il a qualifiées au CPJ de tactique d’intimidation et de moyen de harceler les journalistes.
Nouvelle information : Amnesty International a détecté des indications médico-légales liées au logiciel espion Pegasus dans une analyse du téléphone de Guha Thakurta, datant de début 2018. Dans un témoignage personnel publié par le quotidien de Mumbai The Free Press Journal , Guha Thakurta a indiqué qu’il avait écrit sur le Premier ministre Narendra Modi. et l’utilisation des médias sociaux par le parti au pouvoir Bharatiya Janata pour des campagnes politiques à l’époque, ainsi que pour enquêter sur les actifs étrangers d’une riche famille d’affaires indienne – mais il ne savait toujours pas pourquoi son téléphone était apparemment sur écoute.
Réponse du gouvernement : Ashwini Vaishnaw, le ministre des Technologies de l’information, a qualifié les dernières révélations sur Pegasus de « tentative de calomnier la démocratie indienne », et a déclaré qu’une surveillance illégale n’était pas possible en Inde, selon le quotidien national hindou . Le CPJ a envoyé un courriel au bureau de Vaishnaw pour commentaires, mais n’a reçu aucune réponse. Un ancien responsable du gouvernement indien a déclaré au CPJ que Pegasus est « disponible et utilisé » en Inde et qu’un comité a été formé pour enquêter sur des cibles indiennes présumées de logiciels espions en 2020, mais le CPJ n’a pas pu joindre quelqu’un pour confirmer le statut de ce comité en janvier de cette année. .
Elle était ministre de la Justice sous Sarkozy mais maintenant elle est mêlée à une affaire de fraude – quelle est l’histoire de Rachida Dati ?
De l’aspirant président de la France à l’accusée dans une affaire de fraude qui pourrait se terminer par 15 ans de prison, c’est une distance terriblement grande. Mais pour Rachida Dati , il ne s’agit que d’un virage à la baisse dans la roue de la Fortune, après un virage à la hausse qui l’a amenée d’une grande famille maghrébine en Bourgogne à un poste stellaire en tant que ministre de la Justice de Nicolas Sarkozy, figure la plus glamour de la politique française, eurodéputée, candidate à la mairie de Paris et l’an dernier, candidate à la présidentielle déclarée.
Aujourd’hui, elle est accusée d’avoir reçu 900 000 euros de l’ancien patron de Renault, Carlos Ghosn, pour qui elle a effectué un travail de conseil secret pour développer les activités mondiales de l’entreprise, et est accusée de « corruption passive par une personne ayant un mandat public élu alors qu’elle travaillait dans un organisation » et «profitant personnellement de l’abus de pouvoir». Tout cela peut avoir pour effet de mettre fin à ses espoirs de devenir la première femme et le premier président musulman de la République.
Pourtant, elle n’a jamais laissé la critique détourner son ambition; quand, au sommet de sa gloire en 2009, elle est tombée enceinte, elle a refusé de nommer le père (les spéculations fébriles sur son identité incluaient de hauts responsables politiques français ; en fait, c’était un magnat des casinos) et, devant l’opprobre universel, est retournée au travail trois jours après la naissance de sa fille.
Rachida Dati allie aplomb et allure saisissante à une trame de fond utile. Son père était un maçon marocain; elle vient d’une famille de 11 personnes vivant dans un petit HLM. Elle s’en est sortie lorsque son père a travaillé pour une école catholique privée; elle a été éduquée par les religieuses dès l’âge de cinq ans, ce qui lui a donné une perspective différente de celle de la plupart des jeunes musulmans. Elle est allée à l’université (payée par un travail d’infirmière), l’une des rares femmes de son quartier à le faire, est allée travailler à Paris – et à ce moment-là, ses antécédents l’ont réclamée. Pour éviter les commentaires sarcastiques des voisins, elle a épousé un homme que sa famille connaissait en Algérie. Ce fut un désastre; elle fit plus tard annuler le mariage.
C’était probablement la seule fois où elle laissait son passé lui barrer la route. Après avoir obtenu son diplôme, elle contactait les membres de l’établissement et demandait à les rencontrer ; lors d’une soirée à l’ambassade d’Algérie à laquelle elle a réussi à obtenir une invitation, elle a épinglé le ministre de la justice – il lui a dûment trouvé un emploi de haut vol et des contacts. Elle est finalement devenue la conseillère de Nicolas Sarkozy – ici son parcours était un atout positif – et plus tard son ministre de la Justice. A l’ère Macron, son étoile décline, mais elle s’oppose vivement au socialiste Anne Hidalgo dans la course 100% féminine à la mairie de Paris, avec le soutien de son ancien mentor, Sarkozy.
Maintenant, cette formidable mobilité ascendante est au point mort. Mais peut-être pas pour de bon. Il n’y a pas beaucoup de politiciens comme elle – musulmans et farouchement intégrationnistes, classe ouvrière et férocement ascensionnelle. Elle est comme quelqu’un de Balzac ; pas, peut-être, un personnage tout à fait vertueux, mais tout à fait fascinant.
BERLIN (AP) – Le candidat de centre-droit à la succession d’Angela Merkel en tant que chancelière lors des prochaines élections en Allemagne a présenté ses excuses vendredi pour avoir omis de citer une source dans un livre qu’il a écrit en 2009 sur l’immigration.
L’agence de presse allemande dpa a cité Armin Laschet qui a déclaré que le livre sera revu pour déterminer si d’autres erreurs ont été commises.
Les allégations de plagiat et de mauvaise conduite académique sont prises très au sérieux en Allemagne et ont conduit plusieurs hauts responsables politiques à démissionner ces dernières années.
La rivale de Mme Laschet, Annalena Baerbock, du parti des Verts, a reconnu au début du mois avoir commis une erreur en utilisant des éléments dans un nouveau livre sans en indiquer les sources.
Les récents sondages donnent au bloc de l’Union de Laschet une nette avance sur les Verts et les sociaux-démocrates de centre-gauche. Toutefois, la cote de popularité personnelle de M. Laschet, âgé de 60 ans, a chuté en partie à cause de ses faux pas lors des inondations meurtrières de ce mois-ci dans l’ouest de l’Allemagne, où il est gouverneur d’État.
Les Allemands se rendront aux urnes le 26 septembre pour élire un nouveau parlement, le parti le plus fort étant susceptible de diriger la formation d’un nouveau gouvernement et de désigner le prochain chancelier. Mme Merkel, dont M. Laschet dirige actuellement le parti, ne se présente pas pour un cinquième mandat.
L’économie européenne progresse de 2 %, mettant fin à une récession à double creux
FRANCFORT, Allemagne (AP) – L’Europe est sortie d’une récession à double creux au deuxième trimestre avec une croissance plus forte que prévu de 2,0% par rapport au trimestre précédent, selon les chiffres officiels publiés vendredi, alors que les restrictions liées à la pandémie se sont atténuées, que les consommateurs ont commencé à dépenser l’épargne accumulée et que les grandes entreprises ont affiché de meilleurs résultats.
Toutefois, l’économie des 19 pays qui utilisent la monnaie commune de l’euro est restée en deçà des niveaux antérieurs à la pandémie et a été inférieure aux reprises plus rapides enregistrées aux États-Unis et en Chine, la variante hautement transmissible du virus delta ayant jeté une ombre d’incertitude sur la reprise.
Le chiffre de la croissance pour le trimestre avril-juin annoncé par l’agence statistique de l’Union européenne Eurostat est à comparer à une baisse de 0,3 % au premier trimestre 2021, les pays de la zone euro ayant subi une récession à double creux après un rebond à la mi-2020. Le chiffre de la croissance du deuxième trimestre a été plus fort que les 1,5 % prévus par les analystes du marché.
Une grande partie de l’amélioration provient des pays d’Europe du Sud qui avaient été durement touchés par d’importantes épidémies de COVID-19 et une perte de revenus touristiques.
L’Italie, qui a subi 128 000 décès dus à la pandémie et une profonde récession, a été une surprise positive majeure au dernier trimestre, avec une croissance de 2,7 % grâce à la reprise des dépenses de consommation. Le Portugal a connu un boom avec une croissance de 4,9 %. Parallèlement, la croissance est revenue en Allemagne, la plus grande économie de l’UE, qui a vu sa production augmenter de 1,5 % après une forte baisse de 2,1 % au premier trimestre.
Les constructeurs automobiles allemands, en particulier, ont enregistré de solides bénéfices malgré une pénurie de composants de semi-conducteurs, alors que les marchés mondiaux de l’automobile se redressent, notamment pour les véhicules haut de gamme vendus par Mercedes-Benz et par les marques de luxe Audi et Porsche de Volkswagen.
Autre signe de reprise de l’activité, le constructeur aéronautique européen Airbus a relevé cette semaine ses prévisions de livraisons pour cette année.
Toutefois, sur le long terme, la reprise de la zone euro est inférieure à celle des États-Unis, où l’économie a dépassé son niveau pré-pandémique au cours du deuxième trimestre de 2021, avec une croissance de 1,6 % par rapport au trimestre précédent.
Les chiffres de vendredi laissent la zone euro 3% plus petite qu’avant l’apparition du virus, selon Capital Economics. La Chine, qui a été la première touchée par l’épidémie de coronavirus, a été la seule grande économie mondiale à poursuivre sa croissance pendant l’année pandémique de 2020.
La meilleure performance de l’Europe du Sud pourrait être le résultat de l’augmentation des dépenses des ménages suite à l’assouplissement des restrictions, a déclaré Andrew Kenningham, économiste en chef pour l’Europe chez Capital Economics.
L’Espagne, avec une croissance de 2,8 % et des dépenses de consommation en hausse de 6,6 %, a illustré le rebond, tout en soulignant le chemin qu’il reste à parcourir. Le produit intérieur brut y reste inférieur de 6,8 % à ce qu’il était avant la pandémie.
La lenteur du déploiement de la vaccination a freiné l’économie européenne au cours des premiers mois de l’année. Mais l’Europe a fait des progrès constants depuis, dépassant ces derniers jours les États-Unis pour le nombre total de vaccinations ajusté à la population.
Néanmoins, la propagation de la variante delta, hautement contagieuse, a conduit à des prévisions selon lesquelles elle pourrait ralentir, mais pas faire dérailler, la reprise économique de l’Europe. Les voyages et le tourisme se redressent mais restent modérés.
« Étant donné sa dépendance à l’égard du tourisme, l’économie espagnole semble particulièrement vulnérable à la variante delta qui oblige plusieurs régions du pays à imposer de nouvelles restrictions, tandis que les gouvernements étrangers découragent les voyages dans la péninsule ibérique », a déclaré Edoardo Campanella, économiste à la banque UniCredit à Milan.
D’autres chiffres publiés vendredi ont montré que le chômage dans la zone euro était de 7,7 % en juin, contre 8 % en mai. L’inflation a augmenté à 2,2 % en juillet, contre 1,9 % en juin.
L’économie de la zone euro a été soutenue par les importantes dépenses publiques consacrées à l’aide aux victimes de la pandémie, notamment les subventions accordées aux entreprises qui maintiennent les travailleurs licenciés sur le marché du travail.
La Banque centrale européenne apporte un soutien monétaire supplémentaire en maintenant les taux d’intérêt de référence à des niveaux historiquement bas et en achetant pour 1,85 billion d’euros (2,2 billions de dollars) d’obligations d’État et d’entreprises jusqu’en mars 2022 au moins. Cette mesure fait baisser les taux d’emprunt à plus long terme et contribue à maintenir le flux de crédit pour les entreprises et les gouvernements.
Etiquettes : Europe, Union Européenne, économie, zone euro, inflation #Europe #UE #Economie #Croissance #ZoneEuro
DUBAI, Émirats arabes unis (AP) – L’attaque d’un pétrolier lié à un milliardaire israélien a tué deux membres d’équipage au large d’Oman, dans la mer d’Oman, ont indiqué les autorités vendredi, marquant les premiers décès après des années d’attaques visant la navigation dans la région.
Personne n’a immédiatement revendiqué la responsabilité du raid de jeudi soir sur le pétrolier Mercer Street, battant pavillon libérien. Cependant, un responsable américain a déclaré qu’il semble qu’un drone suicide ait été utilisé dans l’attaque, ce qui soulève la possibilité qu’un gouvernement ou une milice en soit à l’origine.
La marine américaine s’est précipitée sur les lieux après l’attaque et escorte le pétrolier vers un port sûr, a déclaré vendredi une société de gestion de navires basée à Londres.
L’assaut a représenté la pire violence maritime connue à ce jour dans les attaques régionales contre le transport maritime depuis 2019. Les États-Unis, Israël et d’autres ont imputé les attaques à l’Iran dans un contexte de détricotage de l’accord nucléaire de Téhéran avec les puissances mondiales. L’Iran semble maintenant déjà prêt à adopter une approche encore plus dure avec l’Occident alors que le pays se prépare à inaugurer un protégé de la ligne dure du guide suprême, l’ayatollah Ali Khamenei, comme président la semaine prochaine.
L’attaque de jeudi soir a visé le pétrolier juste au nord-est de l’île omanaise de Masirah, à plus de 300 kilomètres (185 miles) au sud-est de la capitale d’Oman, Muscat.
La société londonienne Zodiac Maritime, qui fait partie du groupe Zodiac du milliardaire israélien Eyal Ofer, a déclaré que l’attaque avait tué deux membres d’équipage, l’un originaire du Royaume-Uni et l’autre de Roumanie. Elle ne les a pas nommés et n’a pas décrit ce qui s’est passé lors de l’assaut. Elle a déclaré qu’elle pensait qu’aucun autre membre d’équipage à bord n’avait été blessé.
« Au moment de l’incident, le navire se trouvait dans le nord de l’océan Indien et se rendait de Dar es Salaam à Fujairah sans aucune cargaison à bord », indique le communiqué de Zodiac Maritime, qui cite des ports situés respectivement en Tanzanie et aux Émirats arabes unis.
Les données de suivi par satellite de MarineTraffic.com montrent que le navire s’est trouvé à proximité de l’endroit où, selon les autorités britanniques, l’attaque a eu lieu. Toutefois, le dernier signal envoyé par le navire l’a été tôt vendredi matin.
Zodiac Maritime a décrit les propriétaires du Mercer Street comme étant japonais, sans les nommer. L’autorité maritime Lloyd’s List a identifié le propriétaire ultime du navire comme étant Taihei Kaiun Co, qui appartient au groupe Nippon Yusen basé à Tokyo.
Vendredi dernier, Zodiac Maritime a déclaré que le pétrolier naviguait sous le contrôle de son équipage « vers un lieu sûr avec une escorte navale américaine ». La société n’a pas donné de détails. La 5e flotte de la marine américaine, qui patrouille au Moyen-Orient, n’a pas répondu à une demande de commentaire.
Les opérations commerciales maritimes de l’armée britannique ont déclaré qu’une enquête était en cours sur l’attaque et que les forces de la coalition y participaient.
Un responsable américain, s’exprimant sous couvert d’anonymat pour discuter de l’enquête en cours, a déclaré à l’Associated Press que l’attaque semblait avoir été menée par un drone « à sens unique » et que d’autres drones y avaient pris part. Le responsable a déclaré que l’on ne savait pas immédiatement qui avait lancé l’attaque et a refusé de donner plus de détails.
La remarque du responsable est intervenue après qu’un rapport antérieur de la société privée de renseignement maritime Dryad Global ait fait état d’une observation de drone impliquant le navire avant l’attaque. L’Iran et les rebelles Houthi du Yémen, soutenus par Téhéran, ont déjà utilisé des drones suicide dans le passé, des avions sans pilote chargés d’explosifs qui explosent à l’impact avec une cible.
Les responsables omanais n’ont pas répondu aux demandes de commentaires. Le sultanat est situé à l’extrémité orientale de la péninsule arabique, le long de routes maritimes vitales pour le transport de marchandises et d’énergie par le détroit d’Ormuz, l’étroite embouchure du golfe Persique.
Les responsables israéliens n’ont pas reconnu l’attaque. D’autres navires liés à Israël ont également été pris pour cible ces derniers mois, dans le cadre d’une guerre de l’ombre entre les deux nations, les responsables israéliens accusant la République islamique d’être responsable de ces attaques.
Entre-temps, Israël a été soupçonné dans une série d’attaques majeures visant le programme nucléaire iranien. L’Iran a également vu son plus grand navire de guerre couler récemment dans des circonstances mystérieuses dans le golfe d’Oman voisin.
L’attaque de jeudi intervient dans un contexte de tensions accrues autour de l’accord nucléaire iranien et alors que les négociations sur le rétablissement de cet accord sont au point mort à Vienne. La série d’attaques de navires soupçonnées d’avoir été menées par l’Iran a commencé un an après que le président de l’époque, Donald Trump, a retiré unilatéralement l’Amérique de l’accord en 2018.
Les médias iraniens ont cité des rapports de la presse étrangère sur l’attaque de jeudi, mais n’ont rien offert de plus. L’attaque est survenue la nuit après que le secrétaire d’État américain Antony Blinken, s’exprimant depuis le Koweït, a averti l’Iran que les discussions à Vienne sur l’accord nucléaire « ne peuvent pas se poursuivre indéfiniment. »
C’est la deuxième fois ce mois-ci qu’un navire lié à Ofer est apparemment visé. Début juillet, le porte-conteneurs CSAV Tyndall, battant pavillon libérien et lié à Zodiac Maritime, a subi une explosion inexpliquée à bord alors qu’il se trouvait dans le nord de l’océan Indien, selon l’administration maritime américaine.
Quelqu’un doit faire le sale boulot : Les fondateurs de NSO défendent le logiciel espion qu’ils ont créé.
Le PDG Shalev Hulio a déclaré qu’il » fermerait Pegasus » s’il existait une meilleure alternative. Dans de longues interviews, Hulio et le cofondateur Omri Lavie ont retracé un parcours lancé depuis un kibboutz israélien et ont affirmé que la technologie de l’entreprise avait sauvé des vies.
« Si quelqu’un dit : j’ai trouvé un meilleur moyen d’attraper des criminels, des terroristes, d’obtenir des informations d’un pédophile, je fermerai cette entreprise », a récemment déclaré Shalev Hulio, cofondateur et PDG de NSO Group. « Je fermerai complètement Pegasus. » (Jonathan Bloom)
Par Elizabeth Dwoskin et Shira Rubin
Deux entrepreneurs israéliens d’une vingtaine d’années, qui dirigeaient une petite start-up de services à la clientèle pour les téléphones portables, assistaient à une réunion avec un client en Europe en 2009 lorsqu’ils ont reçu la visite de représentants des forces de l’ordre.
Le premier réflexe des entrepreneurs a été la peur. Peut-être avaient-ils fait quelque chose de mal dont ils n’étaient pas conscients, se souviennent Shalev Hulio et Omri Lavie dans des entretiens accordés cette semaine au Washington Post.
Au lieu de cela, les fonctionnaires ont fait une demande inattendue. Les agents ont déclaré que la technologie des Israéliens, qui aidait les opérateurs à dépanner les smartphones de leurs clients en leur envoyant un lien SMS permettant à l’opérateur d’accéder au téléphone à distance, pourrait être utile pour sauver des vies. Les méthodes traditionnelles d’écoute téléphonique devenaient obsolètes à l’ère du smartphone, ont expliqué les agents, car les premiers logiciels de cryptage bloquaient leur capacité à lire et à écouter les conversations des terroristes, des pédophiles et autres criminels. Hulio et Lavie seraient-ils en mesure de les aider, en construisant une version de leur technologie que les fonctionnaires pourraient utiliser ?
Plus de dix ans plus tard, la société de cybersécurité née de cette conversation fatidique – NSO Group, un acronyme basé sur les prénoms des trois fondateurs – est au centre d’un débat mondial sur l’armement d’une technologie de surveillance puissante et largement non réglementée.
Cette semaine, le Washington Post et un consortium de 16 autres médias partenaires ont rapporté que le logiciel espion de qualité militaire de l’entreprise avait été utilisé pour tenter et réussir le piratage de 37 smartphones appartenant à des journalistes, des chefs d’entreprise et deux femmes proches du journaliste saoudien assassiné Jamal Khashoggi.
Le parcours de Hulio – raconté au Post dans des entretiens avec des amis, des investisseurs, des collègues et Hulio lui-même – a été salué au fil des ans comme une version israélienne d’une success story de la Silicon Valley, une vitrine brillante du potentiel d’une minuscule nation qui se targue d’avoir la plus forte concentration de start-ups par habitant au monde, selon Startup Genome, un groupe de recherche basé à San Francisco. Mais NSO montre également le côté plus troublant de cette histoire, selon certains experts – l’histoire d’un pays trop désireux de se faire des amis dans une région hostile et trop disposé à prendre des mesures controversées au nom de la survie, ainsi que les limites des capacités des entreprises technologiques à contrôler l’abus de leurs produits par leurs clients.
M. Hulio a reconnu que certains clients gouvernementaux de NSO avaient abusé de ses logiciels par le passé – décrivant cela comme une « violation de la confiance » – et a déclaré que NSO avait coupé l’accès de cinq clients au cours des dernières années après avoir mené un audit sur les droits de l’homme, et avait mis fin aux liens avec deux d’entre eux au cours de la seule année dernière. M. Hulio a déclaré qu’il était lié par des accords de confidentialité stricts avec les organismes d’application de la loi qui lui interdisent de nommer des clients ou de décrire leurs activités. Il a ajouté qu’il ne pouvait pas nommer le pays ou l’agence qui l’avait initialement approché en Europe, car il est devenu par la suite un client.
Toutefois, deux personnes connaissant bien les activités de la société ont déclaré que les clients suspendus étaient l’Arabie saoudite, Dubaï (Émirats arabes unis) et certaines agences publiques au Mexique. L’une des personnes a déclaré que la décision de l’Arabie saoudite était une réponse au meurtre de Khashoggi, et deux autres ont dit que les agences mexicaines continuaient à utiliser un autre produit de NSO conçu pour aider les premiers intervenants dans les missions de recherche et de sauvetage.
« Il y a une chose que je veux dire : Nous avons construit cette entreprise pour sauver des vies. Un point c’est tout », a déclaré Hulio lors d’une interview tard dans la nuit de lundi à mardi, à un étage élevé de la tour de bureaux non identifiée de la société, située dans la banlieue chic de Tel Aviv, à Herzliya. « Je pense qu’il n’y a pas assez d’éducation sur ce qu’une organisation de sécurité nationale ou de renseignement doit faire chaque jour afin de donner, vous savez, une sécurité de base à leurs citoyens. Et tout ce que nous entendons, c’est cette campagne selon laquelle nous violons les droits de l’homme, et c’est très contrariant. Parce que je sais combien de vies ont été sauvées dans le monde grâce à notre technologie. Mais je ne peux pas en parler ».
Interrogé sur les 37 piratages tentés et confirmés, il a déclaré : « Si même un seul est vrai, c’est quelque chose que nous ne supporterons pas en tant qu’entreprise ». Les téléphones figuraient sur une liste de plus de 50 000 numéros concentrés dans des pays connus pour la surveillance de leurs citoyens et également connus pour avoir été clients de NSO Group, selon l’enquête du consortium. M. Hulio a déclaré que la société poursuivait son enquête sur les numéros fournis par les médias et que les affirmations concernant un quelconque lien entre la liste et NSO étaient fausses.
Dans les premières semaines qui ont suivi la création de la société, en 2010, « avant même d’avoir écrit une ligne de code », Hulio a déclaré que lui et Lavie avaient établi trois principes directeurs qui restent en vigueur aujourd’hui. Premièrement, ils ne concéderaient des licences qu’à certaines entités gouvernementales, reconnaissant que la technologie pourrait être utilisée de manière abusive dans des mains privées. Deuxièmement, ils n’auraient aucune visibilité sur les individus ciblés par les clients après leur avoir vendu une licence logicielle. La troisième, qui selon Hulio était la plus importante, était de demander l’approbation de l’unité de contrôle des exportations du ministère israélien de la Défense, une décision inhabituelle car à l’époque, l’unité ne réglementait que les ventes d’armes à l’étranger (Israël a promulgué une loi sur la cybernétique en 2017).
Ces trois décisions ont été prises, selon Lavie, pour que « nous puissions dormir la nuit ». Il a dit que lui et Hulio croyaient fermement qu’il n’était pas approprié d’avoir une connaissance directe des questions de sécurité nationale interne des pays étrangers. Ils pensaient également qu’ils n’étaient pas équipés pour prendre des décisions politiques sur les clients à qui vendre.
NSO demande également à ses clients de signer un accord dans lequel ils promettent de n’utiliser le logiciel qu’à des fins d’application de la loi ou de lutte contre le terrorisme.
Ces derniers jours, certains dirigeants politiques israéliens ont commencé à faire valoir que les règles de contrôle des exportations qui régissent les entreprises de cybertechnologie étaient peut-être devenues trop sujettes à l’influence politique. Certains des pays où NSO avait des accords, notamment l’Arabie saoudite et les EAU, sont des endroits où le dernier Premier ministre israélien, Benjamin Netanyahu, a cherché à forger de nouvelles alliances.
La version de la Silicon Valley de Hulio et Lavie commence dans un poulailler rénové dans un kibboutz du centre d’Israël. Onze ans plus tard, NSO est une entreprise de 750 employés, évaluée par les investisseurs à plus de 1,5 milliard de dollars.
Hulio – décrit par ses amis comme un optimiste acharné et un charismatique sans prétention – a posé pour des photos tenant une figurine de Superman qu’il gardait dans son bureau à côté d’autres figurines et de statuettes du premier ministre israélien. À 39 ans, il sert dans la réserve militaire israélienne, où il s’est porté volontaire pour de nombreuses missions de recherche et de sauvetage, notamment lors du tremblement de terre de 2010 en Haïti.
Hulio et Lavie étaient les meilleurs amis du lycée, inséparables après s’être rencontrés lors d’un voyage scolaire en Europe où ils ont visité les sites d’anciens camps de concentration. Lavie était axé sur les affaires, tandis que Hulio était un enfant du théâtre. Tous deux étaient des férus d’informatique, passant des heures dans des salons de discussion en ligne et jouant à des jeux vidéo dans la ville portuaire à revenu moyen de Haïfa, disent-ils. Les amis sont entrés dans l’armée après le lycée, comme c’est le cas pour la majorité des citoyens israéliens, mais ont servi dans des rôles non techniques.
« Ils n’avaient pas le parcours de l’entrepreneur israélien typique », a déclaré Eddy Shalev, le premier investisseur de la société. « Ils ne venaient pas de l’intelligence, ni de l’argent. Ils n’étaient pas du tout des informaticiens. Mais il [Hulio] avait le charisme d’un véritable entrepreneur. »
Après l’armée, Hulio était en fac de droit quand lui et Lavie ont eu l’idée de créer un logiciel qui permettrait aux gens d’acheter les produits qu’ils voyaient dans les émissions de télévision. L’entreprise, MediAnd, s’est retrouvée à court d’argent lors du krach boursier de 2008. Dépité et sans emploi, Lavie a commencé à vendre des téléphones Nokia et des BlackBerrys dans un kiosque de centre commercial. Les deux hommes se sont sentis frustrés par la difficulté pour les opérateurs d’effectuer des mises à jour de base sur les appareils mobiles. Ils ont décidé de cofonder la société de service clientèle mobile CommuniTake, ainsi nommée parce qu’elle prenait le contrôle des téléphones des gens avec l’autorisation du client.
Après la réunion impromptue avec les forces de l’ordre en Europe, Lavie a déclaré que Hulio et lui étaient « stupéfaits » par la rapidité avec laquelle le rythme de la technologie et l’avènement des smartphones avaient permis aux criminels d’échapper aux forces de l’ordre.
Ils sont allés directement au conseil d’administration de CommuniTake et ont déclaré qu’ils voulaient changer la direction de l’entreprise. Selon eux, le conseil d’administration s’est moqué de l’idée de faire un changement aussi radical et difficile alors que CommuniTake montrait déjà des signes de succès.
Quelques mois plus tard, Hulio participait à une mission bénévole de recherche et de sauvetage en Haïti, où il retirait des corps des décombres d’une université effondrée.
« J’ai pensé, vous savez, si vous avez quelque chose qui peut sauver des vies, pourquoi ne pas le faire ? C’est le moment ou jamais », a-t-il déclaré.
Il a persuadé Lavie de le rejoindre, et les entrepreneurs ont quitté CommuniTake après avoir tenté en vain de persuader le conseil d’administration de changer de cap.
Mais Hulio dit qu’il s’est vite rendu compte qu’il n’avait aucune idée de la faisabilité technologique de son objectif : créer un logiciel permettant aux forces de l’ordre de prendre le contrôle d’un téléphone portable.
Un jour, lui et Lavie ont entamé une conversation dans un café avec deux inconnus qu’il avait entendus parler de la façon d’accéder à distance à des téléphones, ont-ils dit. Les inconnus ont dit qu’ils avaient un ami, un ingénieur qui travaillait dans une branche locale de Texas Instruments, qui pouvait construire le logiciel envisagé par Hulio. Les inconnus ont appelé l’ingénieur, et Hulio lui a offert un emploi sur-le-champ, lui promettant une augmentation de salaire considérable, bien qu’à l’époque il n’avait pas d’investisseurs. (Eddy Shalev et quelques autres ont rapidement consacré 1,5 million de dollars à l’entreprise).
NSO a obtenu son premier bureau – le poulailler rénové. Environ sept mois plus tard, ils ont fait la démonstration d’une première version du produit et l’année suivante, ils ont décroché leur premier client, le Mexique, selon une personne connaissant bien la société et un rapport des médias israéliens. Ils ont appelé le logiciel espion Pégase, d’après le cheval ailé de la mythologie grecque, parce que Hulio a dit que le logiciel était comme un cheval de Troie envoyé par les airs vers les téléphones des gens. (Le troisième fondateur de l’acronyme NSO, Niv Carmi, est parti peu après).
Le matin de Noël de cette même année, le président du Mexique a appelé NSO pour la remercier du « plus grand cadeau de Noël que vous puissiez offrir au peuple mexicain », à savoir l’arrestation d’un grand criminel, selon deux employés au courant de la conversation qui ont parlé sous le couvert de l’anonymat parce qu’ils ne sont pas autorisés à en parler publiquement.
Deux personnes familières avec les transactions de l’entreprise ont déclaré que le logiciel espion de NSO avait aidé à deux reprises le Mexique à capturer le baron de la drogue Joaquín « El Chapo » Guzmán, d’abord en 2014, puis en 2016. Un rapport de 2019 du journal israélien Yedioth Ahronoth a rapporté la même affirmation ; le Post n’a pas confirmé de manière indépendante un rôle de NSO dans la capture d’El Chapo.
Après cela, Lavie – qui est toujours membre du conseil d’administration et a depuis fondé une autre cyber start-up – a commencé un effort de plusieurs années pour trouver le nom de fixeurs bien connectés qui travaillent avec des agences de renseignement dans le monde entier.
Très vite, la société a doublé sa clientèle chaque année, a déclaré l’un des premiers employés. Il a dit que parfois les clients montraient leurs remerciements en envoyant un article de presse sur l’arrestation d’une figure criminelle – sans référence à un quelconque rôle furtif joué par NSO dans l’arrestation – une expérience qui, selon lui, ressemblait à de la « magie ».
L’employé a déclaré que Hulio est obsessionnellement persistant mais réaliste. « Si 50 personnes lui disent que quelque chose n’est pas possible, il continuera à chercher jusqu’à ce qu’il trouve la personne qui peut le faire. Mais ensuite, si la personne dit qu’elle peut le faire, il dira : « Comment se fait-il que vous puissiez faire quelque chose alors que 50 personnes avant vous ont dit que ce n’était pas possible ? Prouvez-le. »
Au fur et à mesure que NSO se développait, l’entreprise a été couverte de récompenses par les meilleures institutions académiques israéliennes. En 2018, une émission à potins a couvert la retraite d’entreprise tous frais payés de NSO en Thaïlande ; Hulio avait fait venir par avion certaines des plus grandes célébrités israéliennes pour l’occasion.
Mais même avant les controverses croissantes de NSO, certaines personnes de la communauté technologique israélienne très soudée ont déclaré qu’elles pensaient que les activités de NSO étaient contraires à l’éthique et ont dit qu’elles évitaient ce que l’on appelle la « cyber-offensive », se concentrant plutôt sur la technologie qui aide les victimes à se défendre contre les attaques.
Ces jours-ci, Hulio vit de peu de sommeil, de coca light et de sushis à emporter, et tente de s’expliquer sans grand espoir que le monde l’écoute.
Il oscille entre contrition et défensive : Il dit croire que des intérêts hostiles à Israël sont à l’origine de certaines des attaques contre sa société et d’autres cyberentreprises israéliennes. Il note que les États-Unis vendent depuis des années du matériel militaire à l’Arabie saoudite, un pays avec lequel NSO a été identifié comme ayant travaillé.
Dans le même temps, M. Hulio a déclaré que l’entreprise continuerait à fermer immédiatement tout client ayant « violé la confiance » et a refusé de vendre à 90 pays, dont la Russie et la Chine. NSO a commencé à demander à ses clients de signer un engagement en matière de droits de l’homme en 2020, et le mois dernier, elle a publié son premier rapport de transparence.
Mais la capacité de NSO à enquêter est aussi fondamentalement entravée par sa politique de n’avoir aucune visibilité sur les activités des clients.
Si elle apprend ou soupçonne qu’un client a enfreint ses règles, elle peut actionner un interrupteur qui coupe l’accès à Pegasus. Elle a les moyens techniques d’identifier les numéros de téléphone qui ont été ciblés par son logiciel, mais seulement si le client ou une personne extérieure, comme un dénonciateur ou une organisation de presse, fournit les numéros et que le client donne la permission d’accéder à son système.
La situation serait meilleure, selon M. Hulio, si le secteur de la cybersécurité était réglementé par un organisme mondial. Plus important encore, a-t-il ajouté, le gouvernement israélien a un rôle à jouer : Les pays qui ne respectent pas leurs accords devraient se voir interdire l’accès à la cybertechnologie israélienne.
Et il insiste sur le fait que ce que NSO a construit est toujours pour le bien de tous.
« Si quelqu’un dit : j’ai trouvé un meilleur moyen de coincer des criminels, des terroristes, d’obtenir des informations d’un pédophile, je fermerai cette société », a-t-il déclaré. « Je fermerai Pegasus complètement. »
Lavie l’a exprimé en termes encore plus durs.
« C’est horrible », a-t-il dit à propos des rapports sur les attaques contre les journalistes et autres abus. « Je ne le minimise pas. Mais c’est le prix à payer pour faire des affaires. … Cette technologie a été utilisée pour gérer littéralement le pire de ce que cette planète peut offrir. Quelqu’un doit faire le sale boulot ».
Le projet Pegasus est une enquête collaborative qui implique plus de 80 journalistes de 17 organismes de presse, coordonnée par Forbidden Stories avec le soutien technique du Security Lab d’Amnesty International. Plus d’informations sur ce projet.
Questionnée par un journaliste, Eri Kaneko, Porte-parole associée de M. António Guterres, Secrétaire général de l’ONU, a evité d’évoquer la responsabilité de l’Etat d’Israël dans le scandale d’espionnage massif connu sous le nom d’affaire Pegasus
Question : Ma question sur ce système d’espionnage Pegasus. Tout le monde concentre ses critiques sur le système lui-même et peut-être sur l’entreprise, mais personne ne parle du pays qui est derrière, c’est-à-dire Israël. Israël agit comme un État voyou dans ce… dans cette affaire. Pourquoi personne ne pointe du doigt l’État qui parraine ces activités perverses à travers le monde ?
Porte-parole associé : Je veux dire, je pense que la cybersécurité est un problème qui concerne chaque pays. Nous avons vu le piratage de divers acteurs et divers… personnes pointer du doigt partout. Ce n’est pas le seul cas. C’est déjà arrivé. Cela continue et nous nous attendons à le voir à l’avenir aussi, je pense.
Ce qu’il est important de dire, c’est que le Secrétaire général a parlé de la nécessité d’un cadre de réglementation plus rapide et plus flexible pour ces types de technologies et de la manière dont les pays doivent se réunir pour décider de certaines limites. Donc, je pense que l’important est de se concentrer sur la façon dont les gouvernements, les entreprises et la société civile peuvent établir ces protocoles pour définir ensemble les meilleures pratiques. Et le Secrétaire général a été très clair sur le fait que nous avons besoin d’une meilleure gouvernance sur ce type de pratiques.
Question : Mais quand la Russie le fait, les gens pointent du doigt la Russie. Quand la Chine le fait, aussi, ils mentionnent la Chine. Quand l’Angleterre a mis sur écoute le Bureau du Secrétaire général, on a dit tout à fait que c’était l’Angleterre. Pourquoi maintenant, dans ce cas, Israël manque-t-il ?
Porte-parole associé : Je ne sais pas si vous avez lu des rapports, mais je vais simplement vous indiquer tous les rapports des médias où les faits sont exposés… [dialogue croisé]
Question : Oui, je suis les médias… [dialogue croisé]
Porte-parole associé : C’est tout le commentaire que nous avons à ce sujet. Je pense que le rapport Pegasus est très clair à ce sujet, et nous allons le laisser parler de lui-même.
Oui, dans la pièce ici.
Question : Merci beaucoup. J’ai un petit suivi à ce sujet. Le personnel de l’ONU ou les services pertinents de l’ONU ont-ils pris des mesures de sécurité supplémentaires après cette histoire avec Pegasus ?
Porte-parole associé : Oui, je veux dire, je pense – et Farhan en a parlé hier – que nous prenons toutes les mesures pour nous assurer que nos communications sont sécurisées. Et, évidemment, comme je l’ai dit, ce n’est pas la première fois que quelque chose comme ça arrive, et ce ne sera pas la dernière, et nous faisons tout notre possible pour sécuriser nos communications.
Etiquettes : ONU, Eri Kaneko, Pegasus, espionnage, Israël, NSO Group,
