Selon le Tribunal Surpême, ils ont étudié les téléphones de Sánchez et de trois ministres avec MVT, un outil développé par cette ONG pour protéger les défenseurs des droits humains
Le Centre national de cryptologie (CCN-Cert), l’organisme du CNI en charge de la cybersécurité, a utilisé un outil développé par Amnesty International connu sous le nom de MVT pour détecter la présence du logiciel d’espionnage Pegasus sur les téléphones des membres du gouvernement.
L’ordonnance du magistrat chargé d’enquêter sur l’affaire précise que les services de renseignement auraient appliqué cette technologie , au moins, dans le terminal du ministre Luis Planas, de l’Agriculture, de la Pêche et de l’Alimentation. Le juge tente de déterminer l’étendue et les circonstances de l’infection des téléphones du président Pedro Sánchez, des ministres de la Défense et de l’Intérieur, Margarita Robles et Fernando Grande-Marlaska, et du susmentionné Luis Planas.
Pour cette raison, il a demandé à la CNI de conserver le dump du contenu de tous ces téléphones infectés il y a un an maintenant. Dans la voiture dans laquelle il a accepté cette diligence, il a recueilli des extraits des rapports préparés par le CCN concernant le travail de ces appareils. Les services secrets ont effectué des analyses manuelles, des sauvegardes et extrait les journaux de diagnostic. Dans le cas de Planas, ils ont précisé que « l’outil MVT1 » était utilisé.
Un système du domaine public Les experts en cybersécurité et en espionnage expliquent à Vozpópuli que ce système est généralement utilisé pour détecter les infections par Pegasus dans ses versions les plus récentes . De plus, il est accessible à tous car il est publié sur une plateforme utilisée par les développeurs open source. La personne chargée de concevoir et de promouvoir ce système était Amnesty International. L’ONG l’a développé en soupçonnant que des défenseurs des droits de l’homme faisaient l’objet d’enquêtes avec ce logiciel .
MVT a été développé parce qu’il a été détecté que des défenseurs des droits de l’homme faisaient l’objet d’une enquête avec cet outil. C’est ainsi qu’Arturo Catá, responsable du domaine des systèmes informatiques à Amnesty International, l’explique dans une conversation avec ce média. Comme indiqué, il a été détecté que les conversations téléphoniques de certains militants étaient espionnées et il a été décidé de développer cet outil en raison du soupçon qu’il pourrait s’agir de Pegasus. Le système MVT s’est concentré sur le suivi des traces laissées par les logiciels israéliens afin d’identifier le piratage .
Le résultat a été positif et l’ONG a décidé de le rendre disponible en open source afin que d’autres utilisateurs puissent s’en servir. Cependant, Amnesty International ignorait que le Centre national de renseignement utilisait cet outil dans son travail d’étude des infections à Pegasus. Certaines sources consultées par Vozpópuli expliquent que le CNI allègue l’utilisation de MVT1 comme prétexte car il serait destiné à cacher qu’ils ont réellement Pegasus et que, par conséquent, ils n’ont besoin d’aucun logiciel pour l’identifier.
Les sources de la cybersécurité mettent en avant les difficultés à détecter l’infection d’un terminal par le logiciel Pegasus s’il n’est pas soumis à un contrôle médico-légal. C’est un travail laborieux qui nécessite la collaboration du propriétaire du téléphone, qui doit transférer physiquement l’appareil pour que l’analyse soit appliquée.
MVT représente le nom complet de Mobile Verification Toolkit . L’ordonnance du magistrat précise que le CCN a eu recours à MVT1 pour analyser le téléphone de Luis Planas. En aucun cas MVT ne peut être utilisé à l’insu du propriétaire. C’est un outil open source, mais il nécessite un minimum de connaissances en cybersécurité pour l’utiliser comme analyse médico-légale dans un terminal.
Le chercheur Carlos Seisdedos , responsable de la cyber intelligence chez Internet Security Auditors, prévient que l’utilisation de MVT n’est pas une ressource définitive pour assurer l’infection d’un logiciel espion sur un téléphone : « Ce que fait MVT, c’est rechercher certains paramètres ou éléments que le Pegasus l’action laisse sur un terminal. Ces éléments auraient pu être placés frauduleusement sur un téléphone pour donner l’impression qu’il était infecté par Pegasus, et il sera testé positif sans être réellement infecté.
L’utilité de l’outil d’Amnesty International, souligne Seisdedos, est son application comme « élément indicatif » qui « peut aider à discriminer » sur une éventuelle infection d’un terminal : « Pour le savoir avec une certitude totale, une analyse médico-légale est nécessaire ».
Contenu mobile Entre-temps, le magistrat José Luis Calama a donné une impulsion à la procédure ouverte devant la Haute Cour nationale en mai à la suite d’une plainte du procureur général de l’État. Il a récemment ordonné au CNI de garder les numéros de téléphone de tous les membres du gouvernement espionnés afin de trouver des indices qui mèneront à la source du piratage .
De plus, il est également en attente de prendre une déclaration de Félix Bolaños , qu’il a cité comme témoin pour le 5 juin. L’appel a échoué car le ministre de la Présidence a profité de la possibilité offerte par la loi de se déclarer par écrit, évitant ainsi son déplacement à la Haute Cour nationale. Comme alternative, le juge lui a proposé de participer par vidéoconférence pour une plus grande collaboration à la procédure, mais Bolaños n’a pas répondu à la proposition.
Ainsi, le magistrat a donné au Parquet général et à l’Avocat général un délai pour déposer leurs questions. Il les analysera et dans les prochains jours il préparera un formulaire qu’il enverra au ministre de la Présidence. Mais les courses ne s’arrêtent pas là. Calama Teixeira a également adressé une commission rogatoire à Israël pour obtenir plus d’informations auprès de NSO Group, la société qui commercialise Pegasus.
intérêts généraux De la même manière, il a pris une déclaration en tant que témoins du fonctionnaire qui a préparé les rapports et aussi de Paz Esteban. L’ancien directeur du CNI a comparu le 3 juin devant le tribunal pour s’expliquer sur les agissements de l’organisme avec les mobiles infectés. Jusqu’à présent, on sait que celui qui a extrait le plus d’informations a été le Premier ministre. Le volume était de 2,6 gigaoctets lors de la première intervention, qui a eu lieu le 19 mai de l’année dernière. Puis il y en a eu un deuxième le 31 mai de cette année-là mais de seulement 130 mégaoctets.
Bien que l’exécutif n’ait jamais confirmé le contenu précis du matériel extrait ni l’auteur des événements, certaines voix pointent vers le Maroc . Rappelons que la première des infections est survenue 48 heures après l’avalanche d’immigrés à Ceuta que Rabat a provoquée après avoir appris la présence en Espagne du chef du Front Polisario, Brahim Ghali.
Cependant, ces dernières semaines, le juge a également donné son feu vert à deux accusations populaires pour plaider dans l’affaire. D’abord admis la personnification de l’Association des juristes européens Pro Lege et après Apedanica. Il leur demande à tous les deux 10 000 euros de caution. Malgré l’opposition des services judiciaires du gouvernement, le magistrat donne son feu vert à son débarquement dans l’affaire, soulignant que l’espionnage ne touche pas seulement les personnes concernées mais aussi les intérêts généraux.
De l’infection au mobile du ministre Robles, il soutient que « c’est un fait » que cela pourrait être avant la divulgation d’informations secrètes liées à la Défense nationale, « dont le caractère public est indiscutable ». Cependant, le chef du Tribunal central d’instruction numéro 4 a déjà prévenu qu’il exclurait de l’affaire toute information recueillie sur ces terminaux mobiles qui touche à la vie intime des ministres ou à la sécurité de l’État.
Amnesty International, Maroc, Sahara Occidental, militantes sahraouies, Sultana Khaya, Zeinab Babi, Embarka Al Hafidhi, Fatima al Hafidhi, Oum Al Moumin Al Kharashi et Nasrathum (Hajatna) Babi,
AMNESTY INTERNATIONAL DÉCLARATION PUBLIQUE
27 mai 2022 MDE 29/5648/2022
LES AUTORITES MAROCAINES AGRESSENT DES MILITANTES SAHRAOUIES
Les 15 et 16 avril 2022, les autorités marocaines ont frappé et blessé au moins cinq femmes ayant participé à des manifestations pacifiques et témoigné leur soutien à Sultana Khaya, une militante sahraouie de renom, qui se trouve dans les faits en résidence surveillée depuis novembre 2020 pour son action en faveur de l’autodétermination du Sahara occidental.
Des policiers et des agents des forces de sécurité marocains vêtus en civil ont donné des coups de poing, de pied et de bâton aux militantes sahraouies Zeinab Babi, Embarka Al Hafidhi, Fatima al Hafidhi, Oum Al Moumin Al Kharashi et Nasrathum (Hajatna) Babi durant le week-end du 15 avril à Boujdour, une ville du Sahara occidental. Lors de ces agressions distinctes, des groupes d’au moins quatre membres des forces de sécurité s’en sont pris à ces femmes devant chez elles, dans le but de les empêcher de se joindre à Sultana Khaya à l’occasion de manifestations pacifiques organisées sur le toit de son domicile afin de revendiquer l’autodétermination du Sahara occidental, ont-elles dit à Amnesty International.
Par ailleurs, le 16 avril au moins sept membres des forces de sécurité ont insulté trois de ces femmes et ont infligé des agressions sexuelles à deux d’entre elles. Des représentants de l’État ont déchiré les habits de Zeinab Babi et d’Embarka Al Hafidhi, et ont touché Embarka à l’aine. Les autorités ont menacé Nasrathum Babi de nouvelles violences, et menacé Embarka Al Hafidhi de mort si elle essayait encore de rendre visite à Sultana Khaya.
Ces cinq femmes ont été gravement blessées et ont peur de sortir de chez elles. Lorsqu’elles ont parlé à Amnesty International, la plupart d’entre elles ont déclaré qu’elles n’avaient pas appelé d’ambulance, en s’appuyant sur le fait que lors d’affaires précédentes aucune ambulance n’est venue quand elles ont appelé les secours. Quand la famille de Zeinab Babi a appelé une ambulance le 16 avril, les forces de sécurité postées devant sa maison lui ont fait rebrousser chemin, et ses proches ont dû la conduire à l’hôpital de Boujdour. Des médecins des hôpitaux de Boujdour et de Laayoune ont soigné les blessures causées par les coups qu’elle avait reçus, notamment plusieurs fractures à la main gauche. Amnesty International a examiné des vidéos et des photos des blessures et hématomes présentés par ces femmes, qui correspondent à leurs descriptions de ces événements.
Présidente d’une organisation appelée Ligue pour la défense des droits humains et contre le pillage des ressources naturelles, Sultana Khaya est connue pour militer haut et fort, de façon pacifique, afin d’obtenir que le droit du peuple sahraoui à l’autodétermination soit respecté. Elle est également membre de l’Instance sahraouie contre l’occupation marocaine (ISACOM). Les autorités marocaines maintiennent dans les faits Sultana et sa famille en résidence surveillée depuis novembre 2020 ; durant cette période, les autorités ont soumis ces personnes à des actes de torture et d’autres formes de mauvais traitements, et ont empêché quiconque de s’approcher de la maison jusqu’à la mi-avril 2022. En mai 2021, des membres des forces de sécurité ont effectué une descente au domicile de Sultana Khaya, l’ont agressée, ont tenté de la violer, et ont violé sa sœur1 . Les forces de sécurité ont aussi arrêté et torturé trois militants qui se trouvaient sur place pour apporter leur soutien à Sultana Khaya et à sa famille. En novembre 2021, des membres des forces marocaines de sécurité se sont introduits chez Sultana Khaya, l’ont violée et ont agressé sexuellement ses deux sœurs et ont agressé sa mère âgée de 80 ans2 .
Le 16 mars 2022, quatre bénévoles américains sont parvenus à rendre visite à Sultana Khaya dans le cadre d’une mission menée par plusieurs organisations caritatives œuvrant en faveur des droits humains et de la paix dans le monde, notamment le Human Rights Action Center (HRAC), Non-Violence International, Karama Sahara et Solidarity 20203 . Le but de leur mission était de témoigner leur solidarité à la famille Khaya, de réclamer la fin de leur assignation à domicile et des mauvais traitements qui leur sont infligés, et de demander que des organisations internationales de défense des droits humains soient autorisées à leur rendre visite. Depuis leur arrivée, des militant·e·s organisent des actions de protestation pacifique quotidiennes sur le toit de Sultana Khaya, durant lesquelles ils agitent des drapeaux sahraouis et scandent des slogans. Au cours du premier mois ayant suivi cette arrivée, les forces de sécurité ont restreint leur présence devant le domicile de Sultana Khaya, et des militant·e·s sahraouis, des ami·e·s et des parent·e·s ont pu se rassembler sur le toit de Sultana pour y mener des actions non violentes. Depuis le 16 avril, cependant, les restrictions et les menaces visant ceux et celles qui essaient de se rendre chez Sultana Khaya se sont intensifiées, et la présence de la police a été renforcée devant son domicile ainsi que devant les maisons d’autres militant·e·s.
Les autorités marocaines imposent de longue date des restrictions arbitraires aux droits des Sahraoui·e·s à la liberté d’expression, de réunion pacifique et d’association, en particulier quand l’exercice de ces droits est en relation avec le statut du Sahara occidental. Les forces marocaines de sécurité ont eu recours, à diverses occasions, à une force injustifiée et excessive pour disperser des manifestations pacifiques, et des militant·e·s sahraouis ont été victimes de harcèlement, de manœuvres d’intimidation et de poursuites simplement pour avoir exprimé leurs opinions de manière non violente et exercé leurs autres droits fondamentaux4 .
La majeure partie du Sahara occidental est placée de fait sous le contrôle du Maroc, depuis que celui-ci s’est arrogé ce pouvoir après le retrait de l’Espagne, l’ancienne puissance coloniale qui administrait ce territoire, en 1975. Le gouvernement marocain considère qu’il s’agit d’un territoire marocain et rejette les demandes en faveur d’un vote d’autodétermination. Cette solution a été incluse dans le référendum sur lequel le Maroc et le Front populaire pour la libération de la Saguia el Hamra et du Rio de Oro (Front Polisario) se sont accordés dans le cadre d’un accord de cessez-le-feu parrainé par les Nations unies en 19915 . La communauté internationale ne reconnaît pas l’annexion de fait par le Maroc, et les Nations unies considèrent que le Sahara occidental est un territoire non autonome. Les États-Unis ont cependant reconnu en décembre 2020 la souveraineté du Maroc sur le Sahara occidental, en échange de la normalisation des relations du Maroc avec Israël6 . L’administration Biden n’a pas remis cette position en cause.
Après un affrontement armé entre des soldats marocains et le Front Polisario en novembre 2021, et la reconnaissance par les États-Unis de la souveraineté du Maroc sur le Sahara occidental en décembre 2020, les autorités marocaines ont intensifié les violations visant les militant·e·s sahraouis indépendantistes, les soumettant à des mauvais traitements, des arrestations, des placements en détention et des manœuvres de harcèlement dans le but de les réduire au silence ou de les sanctionner pour leur action non violente contre les tentatives du Maroc visant à renforcer encore son contrôle sur le territoire contesté du Sahara occidental7 .
En juillet 2021, Mary Lawlor, rapporteuse spéciale de l’ONU sur la situation des défenseurs des droits de l’homme, a fait une déclaration condamnant le gouvernement marocain pour « le ciblage systématique et incessant des défenseurs des droits de l’homme » dans le Sahara occidental, et dénonçant les agressions physiques et sexuelles commises par des policiers masqués contre Sultana Khaya et sa famille. Elle s’est dite particulièrement préoccupée par le recours des autorités marocaines à la violence et à des menaces de violence dans le but d’empêcher des défenseures des droits humains de mener leurs activités pacifiques en faveur de ces droits8 .
Les autorités marocaines ont limité la possibilité pour les organes de suivi et les journalistes indépendants de se rendre au Sahara occidental, ce qui signifie que la réalité de cette répression est difficile à démontrer. Cela fait une dizaine d’années qu’Amnesty International demande au Conseil de sécurité des Nations unies d’inclure une dimension relative aux droits humains à la Mission des Nations Unies pour l’organisation d’un référendum au Sahara occidental (MINURSO), qui permettrait un suivi et la remontée d’informations sur les atteintes aux droits humains, comme le font la grande majorité des autres missions des Nations unies comparables à travers le monde. En octobre 2021, le Conseil de sécurité des Nations unies a adopté la résolution 2602/2021 reconduisant le mandat de la MINURSO pour 12 mois. Les dernières évolutions en date nous rappellent de manière brutale qu’il est urgent d’établir un mécanisme indépendant, impartial et efficace afin d’effectuer un suivi des droits humains dans ce territoire.
Amnesty International demande aux autorités marocaines d’honorer les obligations qui leur sont faites, en vertu du droit international relatif aux droits humains, de respecter les droits à la liberté d’expression, d’association, de réunion pacifique, ainsi que le droit de ne pas faire l’objet de la torture et d’autres formes de mauvais traitements, et de :
Veiller à ce que soient menées dans les meilleurs délais des enquêtes impartiales, indépendantes et efficaces sur les actes de torture et autres formes de mauvais traitements qu’auraient subis Sultana Khaya et ces autres militantes aux mains de policiers et de membres des forces de sécurité marocains.
Lever tous les placements arbitraires en résidence surveillée et diligenter des enquêtes indépendantes sur le recours arbitraire et abusif à la force lors de descentes au domicile de militant·e·s sahraouis.
Mettre fin aux restrictions à l’accès au Maroc et au Sahara occidental pour les journalistes, les militant·e·s pacifiques et les défenseur·e·s des droits humains, et prévoir un suivi et des comptes rendus impartiaux et indépendants par les Nations unies au Sahara occidental.
ZEINAB BABI
Samedi 16 avril, vers midi, des policiers marocains ont arrêté Zeinab Babi, 43 ans, militante sahraouie en faveur de l’indépendance, alors qu’elle se trouvait dans un taxi à destination d’un supermarché de Boujdour. Zeinab Babi a déclaré à Amnesty International que deux voitures banalisées se sont arrêtées à côté de son taxi, et que quatre policiers et membres des forces de sécurité en civil sont descendus et ont pris les clés du chauffeur de taxi, lui disant que cela ne le concernait pas9 . Au bout d’une dizaine de minutes, trois autres voitures banalisées et une voiture de police transportant huit officiers sont arrivées. Le chef de la police de Boujdour est descendu de la voiture de police et a dit à Zeinab Babi qu’elle était en état d’arrestation, sans lui expliquer pourquoi. Zeinab Babi a déclaré à Amnesty International qu’elle avait récemment participé à plusieurs manifestations pacifiques à Boujdour, notamment sur le toit de la maison de Sultana Khaya.
« Ils ne m’ont pas dit pourquoi ils m’arrêtaient, mais je sais que c’est à cause de mes activités politiques ici, pour des manifestations à Boujdour. »
Les policiers ont poussé Zeinab Babi à l’intérieur de leur voiture et l’ont conduite au poste de police de Boujdour. Dans le véhicule, deux policiers ont roué Zeinab Babi de coups, de pied notamment, sur tout le corps et l’ont insultée. Au poste, quatre agents ont questionné Zeinab Babi de 12 h 30 à environ 15 h 20 au sujet de son action militante, lui demandant si le Front Polisario la payait et combien, tout en l’insultant et en la frappant de manière intermittente, lui donnant notamment des coups de poing. Zeinab Babi a déclaré avoir quitté le poste de police à 15 h 20, pieds nus car les policiers lui avaient pris ses sandales. Sa melehfa (foulard traditionnel sahraoui) avait été déchirée par les coups des policiers. Deux voitures de police ont suivi Zeinab Babi, puis se sont arrêtées une fois qu’elle est arrivée à hauteur d’une route déserte. Zeinab Babi a dit à Amnesty International qu’une Mercedes venant de la direction opposée s’est alors approchée d’elle, et que cinq hommes portant des masques de protection contre le COVID-19 et des chapeaux en sont sortis et se sont mis à lui donner des coups de tige métallique, visant ses genoux, ses bras et ses mains, pendant quelques minutes, tandis que les policiers qui l’avaient suivie observaient la scène depuis leurs voitures. Elle a dit à Amnesty International :
« Ils ont continué à me frapper. J’ai repéré un talkie-walkie sur un des agents, je pouvais voir qu’ils étaient de la police. Ils essayaient de m’empêcher de me débattre en me frappant avec ces tiges de fer. Ils m’ont battue sans pitié. »
Zeinab Babi a déclaré avoir reconnu les officiers qui l’ont ainsi rouée de coups en dépit de leurs masques, car ils sont bien connus à Boujdour. Elle est arrivée à rentrer chez elle à pied malgré ses blessures. Quand elle a atteint sa maison, un groupe de six agents vêtus en civil et arborant des masques contre le COVID-19, lui ont donné des coups de poing, de pied et de bâton. Zeinab Babi a expliqué à Amnesty International qu’elle pouvait à peine tenir debout, que ses habits étaient en loques, et que les agents l’ont battue jusqu’à ce qu’elle perde connaissance. La famille de Zeinab Babi est sortie de la maison et a appelé une ambulance, mais quand cette dernière est arrivée, les autorités lui ont fait rebrousser chemin. Sa famille l’a conduite à l’hôpital de Boujdour, où elle a été soignée pour deux fractures à la main gauche. Le même jour, Zeinab Babi a été transférée à l’hôpital de Laayoune, la capitale du Sahara occidental, afin d’y être soignée, et le 21 avril, des médecins ont opéré sa main cassée afin de la reconstruire. Elle a déclaré à Amnesty International qu’elle avait aussi des entailles sur les jambes et les épaules, et une blessure au-dessus de l’œil gauche. Amnesty International a examiné des vidéos et des photos montrant Zeinab Babi à l’hôpital ainsi que ses blessures. L’hôpital de Laayoune a refusé de fournir un rapport médical à Zeinab Babi. Elle a dit à Amnesty International que des policiers sont postés devant chez elle depuis le jour de ces agressions.
FATIMA AL HAFIDHI
Fatima Al Hafidhi, 40 ans, est une militante sahraouie indépendante ayant pris part à des manifestations demandant l’indépendance du Sahara occidental, notamment sur le toit de Sultana Khaya. Fatima Al Hafidhi a déclaré à Amnesty International que le 15avril 2022, à 8 heures du matin, elle a quitté son domicile afin d’amener ses quatre enfants à l’école locale, à Boujdour, où elle vit, et qu’elle a vu entre six et huit membres des forces de sécurité en civil en train de l’observer depuis une voiture banalisée garée devant chez elle. À midi, Fatima Al Hafidhi est sortie de chez elle pour se rendre chez Sultana Khaya, afin d’apporter son aide lors de la manifestation pacifique quotidienne se tenant sur son toit. Les membres des forces marocaines de sécurité qui attendaient devant son domicile l’ont encerclée et l’ont frappée en utilisant leurs mains, leurs pieds et des bâtons, pendant environ une minute. Fatima Al Hafidhi a déclaré à Amnesty International que ces fonctionnaires portaient des masques contre le COVID-19 et des chapeaux, et que l’un d’entre eux a mis ses mains sur le visage de la militante afin de l’empêcher de crier ou de voir10 . Elle a dit à Amnesty International :
« Ils sont venus, m’ont encerclée et m’ont frappée. Ils m’ont sauté dessus devant chez moi et c’est arrivé très vite, ils avaient peur des appareils photos et de se faire filmer, alors ils ont été rapides. »
Après cette agression, les fonctionnaires sont partis et elle a continué à marcher vers le domicile de Sultana Khaya, malgré une vive douleur dans le genou. Elle a dit à Amnesty International : « Après, quand j’ai essayé de bouger, c’était difficile parce que je saignais du genou, j’ai tenté de continuer à marcher lentement vers la maison de Sultana Khaya, mais un autre groupe est arrivé vers moi armé de bâtons et m’a menacée afin de m’empêcher d’aller jusque chez elle. » Ces agents, vêtus en civil et ne portant pas de masque, ont roué Fatima Al Hafidhi de coups de bâton sur tout le corps. Elle a déclaré à Amnesty International qu’elle s’est cachée dans une maison sahraouie à proximité, jusqu’à ce que les agents partent, puis qu’elle est rentrée chez elle, craignant que d’autres fonctionnaires ne la frappent. À la fin de l’entretien, elle a déclaré que des agents en civil avaient été postés devant son domicile, où elle vit avec ses quatre enfants, depuis le 15 avril, et qu’elle ne quittait plus la maison par crainte d’une autre agression. Elle n’a pas appelé d’ambulance, car elle a dit que lorsqu’elle l’a fait par le passé, l’hôpital a refusé d’en envoyer une. Elle a déclaré à Amnesty International :
« Mon genou me fait trop souffrir, alors je n’ai pas essayé d’aller chez Sultana depuis ce jour-là, j’ai peur de sortir au cas où ils me feraient de nouveau mal. »
Amnesty International a examiné des vidéos et des photos, prises les 16 et 17 avril, sur lesquelles on peut voir Fatima Al Hafidhi en larmes et montrant sa jambe droite, couverte de sang et présentant des marques de perforation sur la peau à l’endroit des lésions causées.
EMBARKA AL HAFIDHI
Le 16 avril, à midi, Embarka Al Hafidhi, 44 ans, est sortie de chez elle avec son fils aîné pour rejoindre un rassemblement pacifique sur le toit de Sultana Khaya. Elle a déclaré qu’une voiture banalisée s’est arrêtée à côté d’elle, et que cinq policiers en civil en sont sortis et l’ont frappée avec les mains et les pieds, devant son fils. Un des agents a traîné Embarka Al Hafidhi par les cheveux, tandis que d’autres ont déchiré sa melehfa, et l’ont touchée à l’aine. Embarka Al Hafidhi a dit que les agents portaient des masques contre le COVID-19 mais qu’elle en a reconnu quelques-uns, notamment le vice président de la police de Boujdour, qui tenait un talkie-walkie11 . Après l’avoir frappée pendant quelques minutes, les agents l’ont soulevée de terre et l’ont reposée devant son portail et sa maison. Ils l’ont insultée et ont menacé de la tuer si elle se rendait de nouveau chez Sultana Khaya un jour. Un des policiers a pris ses clés dans son sac à main, a ouvert sa porte d’entrée et l’a poussée à l’intérieur de chez elle. Un homme sahraoui qui passait en voiture a proposé d’emmener Embarka Al Hafidhi chez ses parents, mais les agents lui ont dit de partir. Ils sont restés près de chez elle et l’ont surveillée tout le reste de la journée. À 16 heures, Embarka Al Hafidhi est sortie pour accueillir son fils cadet. Les agents l’ont poussée et lui ont dit de retourner à l’intérieur. Embarka Al Hafidhi a déclaré à Amnesty International qu’au moment de l’entretien, elle avait toujours mal à la tête, à l’endroit où les agents l’avaient frappée, et que des agents se trouvaient encore devant chez elle, assis sur des chaises et surveillant la maison. Elle avait trop peur de quitter son domicile, alors des voisins lui apportaient de la nourriture et d’autres fournitures. Elle a dit à Amnesty International :
« Ils continuent à surveiller ma maison. Ce ne sont pas les mêmes, mais d’autres agents. Ils sont dehors à se cacher, mais les gens les reconnaissent. Cela arrive tous les jours, nous les connaissons, ils sont toujours assis dehors sur des chaises. Mes voisins m’amènent ce dont j’ai besoin, j’ai trop peur de sortir et qu’ils me frappent encore. »
NASRATHUM (HAJATNA) BABI
Nasrathum Babi, 35 ans, manifeste de manière pacifique en faveur de l’indépendance sahraouie avec des amies et d’autres femmes depuis 2005. Elle a dit à Amnesty International que le 16 avril vers 11 h 30, elle est sortie de chez elle pour se joindre à une manifestation pacifique au domicile de Sultana Khaya. Trois membres des forces marocaines de sécurité vêtus en civil sont arrivés derrière elle, et lui ont mis des gifles et des coups de pied pendant environ une minute. Nasrathum a déclaré à Amnesty International qu’elle est tombée et que les agents ont continué à lui donner des coups de pied alors qu’elle était à terre12 . Elle a ajouté que les agents lui ont demandé si elle allait chez Sultana et lui ont dit qu’elle n’atteindrait jamais la maison de celle-ci. Ils lui ont dit qu’ils lui feraient subir de nouvelles violences si elle continuait à se rendre au domicile de Sultana Khaya. Nasrathum a dit à Amnesty International que les membres des forces de sécurité observent sa maison depuis des années, et que cette surveillance s’est intensifiée depuis que Sultana Khaya a été placée en résidence surveillée. Elle pense que le but des agressions du week-end du 15 avril était de « nous intercepter et de nous frapper pour que nous ne puissions pas bouger. » Au moment de cet entretien, le 27 avril, Nasrathum a déclaré qu’il y avait actuellement deux agents en civil postés devant chez elle. Elle a déclaré à Amnesty International :
« Ils essaient de nous frapper sur les bras et les jambes pour nous empêcher de monter sur le toit avec Sultana, et pour nous réduire au silence pendant quelque temps. » Ce n’est pas la première fois que Nasrathum est prise pour cible par les forces marocaines de sécurité. Elle a dit à Amnesty International que durant le ramadan en 2021, des agents ont lancé une substance toxique inconnue sur son domicile à sept reprises, notamment une fois sur son visage et ses habits, parce qu’elle participait à une campagne contre les élections législatives marocaines du 8 septembre 2021. Cette substance toxique lui a valu des problèmes cutanés, notamment des éruptions et des brûlures, ainsi que des difficultés respiratoires.
OUM AL MOUMIN AL KHARASHI
Oum Al Moumin, 57 ans, est une militante indépendantiste sahraouie et est membre, avec Sultana Khaya, de la Ligue pour la défense des droits humains et contre le pillage des ressources naturelles depuis 2015. À 11 heures le 16 avril, alors que Oum Al Moumin et son fils se rendaient à pied chez Sultana Khaya, cinq policiers en civil portant des masques contre le COVID-19 ont poussé et insulté la militante, et l’ont séparée de son fils. Elle est rentrée chez elle avec son fils. À 12 h 30, Oum Al Moumin a de nouveau quitté son domicile et trois voitures banalisées se sont arrêtées devant chez elle. Chacune transportait quatre agents vêtus en civil, portant des masques contre le COVID-19 et des chapeaux. Six de ces agents l’ont frappée pendant plusieurs minutes, utilisant leurs mains et leurs pieds, et la faisant tomber à terre. Un agent l’a giflée de manière répétée sur le côté de la tête. Au moment de l’entretien, elle a déclaré souffrir de problèmes auditifs résultant de ces coups. Oum Al Moumin a déclaré à Amnesty International que les agents l’ont injuriée tout en la frappant, et lui ont dit qu’elle ne brandirait plus jamais le drapeau sahraoui. Les agents sont restés dans leurs voitures devant le domicile d’Oum Al Moumin cette nuit-là13 .
Le 17 avril à midi, quatre agents arborant des masques contre le COVID-19 et des chapeaux ont intercepté Oum Al Moumin dans la rue principale près de chez elle, où elle essayait de héler un taxi pour se rendre chez son frère. Les agents l’ont frappée sur le dos et partout sur le corps avec des bâtons et des tiges de métal pendant plusieurs minutes, jusqu’à ce qu’elle coure se réfugier au domicile d’une personne sahraouie dans le voisinage, ne rentrant chez elle qu’une fois les agents partis, après le repas de l’iftar, moment où les musulmans rompent leur jeûne durant le ramadan. Pendant l’entretien, Oum Al Moumin a déclaré à Amnesty International que les agents étaient encore devant son domicile, et qu’elle avait peur de sortir de chez elle depuis qu’ils l’ont frappée.
1 Voir Amnesty International, Action urgente : Action urgente : Une militante sahraouie violée par les forces marocaines, 30 novembre 2021, https://www.amnesty.org/fr/documents/mde29/5058/2021/fr/
2 Voir Amnesty International, Action urgente : Action urgente : Une militante sahraouie violée par les forces marocaines, 30 novembre 2021, https://www.amnesty.org/fr/documents/mde29/5058/2021/fr/
3 Voir Amnesty International, Action urgente : Il faut enquêter sur les atteintes aux droits humains infligées à une militante violée, 6 avril 2022, https://www.amnesty.org/fr/documents/mde29/5457/2022/fr/ 4 Voir Amnesty International, Maroc et Sahara occidental : Une enquête doit être ouverte sur la violente répression de manifestations sahraouies, 1er août 2019, amnesty.org/fr/latest/news/2019/08/morocco-western-sahara-investigate-brutal-crackdown-on-sahrawi protesters/ ; et Maroc et Sahara occidental : Répression ciblée de militant·e·s sahraouis, 19 juillet 2021, https://www.amnesty.org/fr/documents/mde29/4404/2021/fr/
5 Le Front Polisario est un mouvement politique revendiquant un État indépendant dans le Sahara occidental. En 1991, le Maroc et le Front Polisario ont signé un cessez-le-feu et les Nations unies ont établi une mission de maintien de la paix (la MINURSO). Le 14 novembre 2020, Brahim Ghali, président de la République arabe sahraouie démocratique autoproclamée, a annoncé que le Front Polisario mettait fin au cessez-le-feu.
6 Voir Amnesty International, Amnesty International Rapport 2020/21: La situation des droits humains dans le monde: Maroc et Sahara occidental, 7 avril 2021, https://www.amnesty.org/fr/documents/pol10/3202/2021/fr/ /
7 Voir Amnesty International, Maroc et Sahara occidental : Répression ciblée de militant·e·s sahraouis, 19 juillet 2021, https://www.amnesty.org/fr/documents/mde29/4404/2021/fr/
8 HCDH des Nations unies, Maroc : un expert des droits de l’homme de l’ONU dénonce la « répression » contre les défenseurs des droits de l’homme, 1 er juillet 2021, https://www.ohchr.org/fr/2021/07/morocco-un-human-rights-expert-decries-clampdown-human rights-defenders?LangID=F&NewsID=27244 9 Entretien téléphonique avec Zeinab Babi et son interprète et ami Khayya Abdellah (Cheikhtoo), 19 avril 2022
10 Entretien téléphonique avec Fatima Al Hafidhi et son interprète et ami, Khayya Abdellah, le 19 avril 2022
11 Entretien téléphonique avec Embarka Al Hafidhi et son interprète et ami, Khayya Abdellah, le 19 avril 2022
12 Entretien téléphonique avec Nasrathum Babi et son interprète et ami, Khayya Abdellah, le 21 avril 2022 13 Entretien téléphonique avec Oum Al Moumin Al Kharashi, et son interprète et ami, Khayya Abdellah, le 19 avril 2022
Tel Aviv reconnaît l’achat par le Maroc du logiciel Pegasus – Israël, NSO group, espionnage, Amnesty International, Forbidden Stories, Emmanuel Macron, Yaïr Lapid,
L’affaire Pegasus continue de livrer ses secrets. Dans une interview au quotidien français “Le Monde”, le chef de la diplomatie israélienne a reconnu implicitement l’achat du logiciel espion Pegasus par le Maroc
Questionné sur si Tel Aviv avait révoqué la licence aux autorités marocaines, Lapid a indiqué que «Cette licence est très stricte. Nous avons exposé tout le matériel que nous avions aux autorités françaises. Et nous nous sommes assurés que chacun comprenne la différence entre une compagnie privée et une compagnie gouvernementale. Ce n’est pas une affaire entre gouvernements », confirmant implicitement ainsi que la société isréllienne NSO group a bel et bien fourni le logiciel espions Pegasus au gouvernement marocain. « Si quelqu’un a mal utilisé cette cyberarme ou a menti, il devrait être puni par la justice », a-t-il ajouté.
Les déclarations du ministre israélien des affaires étrangères apportent un sacré camouflet aux plaintes déposées par Rabat contre Amnesty International et Forbidden Stories que le Maroc avait accusé de diffamation.
Sahara Occidental, Maroc, Etats-Unis, Joe Biden, Amnesty International,
L’ONG Amnesty International a appelé l’administration Biden à « garantir l’inclusion d’un mécanisme de surveillance des droits humains au Sahara Occidental lors de la rédaction de la résolution pour le renouvellement du mandat de la Mission des Nations unies pour le référendum au Sahara occidental (MINURSO) », soulignant que cette dernière « est l’une des seules missions modernes de l’ONU sans mandat en matière de droits humains ».
« Amnesty International exhorte vivement l’administration Biden, représentant les Etats-Unis en tant que porte-plume du mandat et membre permanent du Conseil de sécurité, à garantir l’inclusion d’un mécanisme de surveillance des droits humains lors de la rédaction et de la proposition de la résolution pour le renouvellement de la MINURSO qui devrait être mis aux voix lors du débat prévu le 27 octobre », écrit l’ONG dans un communiqué, précisant qu »‘une lettre similaire a été envoyée à tous les ambassadeurs représentant les autres Etats membres au Conseil de sécurité ».
L’ONG relève qu’il est « essentiel » que l’administration Biden compte un mécanisme de surveillance au sein de la MINURSO, « qui reste l’une des seules missions modernes de l’ONU sans mandat en matière de droits humains », notant que « le Département d’Etat, et l’administration au sens large, ont une responsabilité unique dans ce mandat, qu’ils doivent utiliser pour faire respecter les droits de l’homme ». Selon l’ONG, l’inclusion d’un mécanisme de surveillance des droits humains est d’autant plus urgent car « le gouvernement marocain interdit l’entrée d’observateurs indépendants au Sahara Occidental – au moins neuf en 2020 et deux seulement ce mois-ci – affirmant que « la protection des droits de l’homme sur le territoire est couverte par son Conseil national des droits de l’homme ». « Or, cet organe est fortement influencé par le Roi, sapant toute prétendue indépendance et impartialité », a-t-elle déploré, notant que le mécanisme de surveillance des droits humains « surveillerait de manière cruciale les violations qui, autrement, ne seraient pas signalées ».
Pour Amnesty International (AI), cet état de fait « est reconnu par le secrétaire général de l’ONU, Antonio Guterres, dont le rapport annuel au Conseil ce mois-ci a réitéré son appel à « une surveillance indépendante, impartiale, globale et soutenue de la situation des droits de l’homme » au
Sahara occidental comme étant « nécessaire pour assurer la protection de toutes les personnes ».
« Le rapport a également souligné les lacunes substantielles dans la surveillance des droits de l’homme en raison du manque d’accès du HCDH (Haut Commissariat de l’ONU aux droits de l’homme) au Sahara occidental », malgré « la résolution du CSNU (Conseil de sécurité) 2548 (2020) exhortant les parties à renforcer leur coopération avec le HCDH, notamment en facilitant les visites », rappelle en outre l’ONG.
« Ciblage répressif » des militants sahraouis
Rappelant, par ailleurs, son travail documenté sur les violations des droits de l’Homme par le Maroc au Sahara Occidental, AI a souligné qu’ »elle a documenté le ciblage répressif par les forces de sécurité marocaines d’au moins 22 militants, journalistes, défenseurs des droits humains et mineurs sahraouis exerçant pacifiquement leur droit à la liberté d’expression depuis le seul mois de novembre 2020″.
Elle souligne que « la campagne d’abus ciblés des autorités contre la militante sahraouie Sultana Khaya et sa famille, détenue en résidence surveillée violemment et illégalement depuis novembre 2020 sans motif, est particulièrement inquiétante ».
L’ONG rapporte que « le 12 mai, des policiers marocains masqués sont entrés dans la maison de Khaya et l’ont battue et tenté de la violer, tout en attaquant et en violant sa sœur ». Dans le même sillage, Amnesty International cite le sort inhumain infligé par les forces de sécurité marocaines à l’enfant sahraoui, Mustapha Razouk.
« Mustapha Razouk, un enfant, a été arrêté par la police pour avoir manifesté pacifiquement en faveur de Khaya, les autorités l’ont torturé pendant trois jours, en le frappant, versant du plastique fondu bouillant sur lui et suspendant au plafond ».
Amnesty International fait observer que les violations des droits de l’Homme au Sahara Occidental par le Maroc ont été confirmées par la rapporteuse spéciale de l’ONU, Mary Lawlor qui, dans une déclaration au mois de juillet approuvée par d’autres rapporteurs, a alerté sur la « répression » des autorités marocaines sur les défenseurs des droits humains sahraouis, condamnant des abus « abominables » qui bafouent « l’engagement du gouvernement marocain envers le système des Nations Unies ».
NSO Group affirme que son logiciel espion Pegasus n’est utilisé que pour « enquêter sur le terrorisme et le crime » et « ne laisse aucune trace » . Ce rapport de méthodologie médico-légale montre qu’aucune de ces déclarations n’est vraie. Ce rapport accompagne la publication du Pegasus Project, une enquête collaborative impliquant plus de 80 journalistes de 17 organisations médiatiques dans 10 pays coordonnée par Forbidden Stories avec le soutien technique du Security Lab d’Amnesty International. [1]
Le laboratoire de sécurité d’Amnesty International a effectué une analyse médico-légale approfondie de nombreux appareils mobiles de défenseurs des droits humains (DDH) et de journalistes du monde entier. Cette recherche a mis au jour une surveillance illégale généralisée, persistante et continue et des violations des droits humains perpétrées à l’aide du logiciel espion Pegasus de NSO Group.
Comme indiqué dans les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, NSO Group doit prendre de toute urgence des mesures proactives pour s’assurer qu’il ne cause pas ou ne contribue pas à des violations des droits de l’homme dans le cadre de ses opérations mondiales, et pour répondre à toute violation des droits de l’homme lorsque ils se produisent. Afin de s’acquitter de cette responsabilité, NSO Group doit exercer une diligence raisonnable en matière de droits humains et prendre des mesures pour s’assurer que les DDH et les journalistes ne continuent pas à devenir des cibles de surveillance illégale.
Dans ce rapport sur la méthodologie médico-légale, Amnesty International partage sa méthodologie et publie un outil de criminalistique mobile open source et des indicateurs techniques détaillés, afin d’aider les chercheurs en sécurité de l’information et la société civile à détecter et à répondre à ces menaces graves.
Ce rapport documente les traces médico-légales laissées sur les appareils iOS et Android après le ciblage avec le logiciel espion Pegasus. Cela inclut les dossiers médico-légaux reliant les récentes infections à Pegasus à la charge utile Pegasus 2016 utilisée pour cibler le DRH Ahmed Mansoor.
Les attaques Pegasus détaillées dans ce rapport et les annexes qui l’accompagnent datent de 2014 jusqu’en juillet 2021. Celles-ci incluent également les attaques dites « zéro-clic » qui ne nécessitent aucune interaction de la part de la cible. Des attaques Zero-click sont observées depuis mai 2018 et se poursuivent jusqu’à présent. Plus récemment, une attaque « zéro clic » réussie a été observée en exploitant plusieurs jours zéro pour attaquer un iPhone 12 entièrement corrigé exécutant iOS 14.6 en juillet 2021.
Les sections 1 à 8 de ce rapport décrivent les traces médico-légales laissées sur les appareils mobiles à la suite d’une infection par Pegasus. Ces preuves ont été recueillies à partir des téléphones des DDH et des journalistes dans plusieurs pays.
Enfin, dans la section 9, le rapport documente l’évolution de l’infrastructure du réseau Pegasus depuis 2016. NSO Group a repensé son infrastructure d’attaque en utilisant plusieurs couches de domaines et de serveurs. Des erreurs de sécurité opérationnelles répétées ont permis au laboratoire de sécurité d’ Amnesty International de maintenir une visibilité continue sur cette infrastructure. Nous publions un ensemble de 700 domaines liés à Pegasus.
Les noms de plusieurs des cibles de la société civile dans le rapport ont été anonymisés pour des raisons de sûreté et de sécurité. Les personnes qui ont été rendues anonymes ont reçu un nom de code alphanumérique dans ce rapport.
1. Découvrir les attaques par injection de réseau Pegasus
De nombreux rapports publics avaient identifié les clients de NSO Group utilisant des messages SMS avec des domaines d’exploitation Pegasus au fil des ans. En conséquence, des messages similaires sont ressortis de notre analyse du téléphone de la militante marocaine Maati Monjib, qui était l’une des militantes ciblées, comme le documente le rapport 2019 d’ Amnesty International .
Cependant, lors d’une analyse plus approfondie, nous avons également remarqué des redirections suspectes enregistrées dans l’historique de navigation de Safari. Par exemple, dans un cas, nous avons remarqué une redirection vers une URL étrange après que Maati Monjib a tenté de visiter Yahoo :
( Veuillez noter : tout au long de ce document, nous avons échappé aux domaines malveillants avec le marquage [.] pour éviter les clics et visites accidentels.)
L’URL https://bun54l2b67.get1tn0w.free247downloads[.]com:30495/szev4hz est immédiatement apparue suspecte, notamment en raison de la présence d’un sous-domaine de 4ème niveau, d’un numéro de port élevé non standard, et d’un URI aléatoire similaire aux liens contenus dans des messages SMS précédemment documentés en rapport avec Pegasus de NSO Group. Comme vous pouvez le voir dans le tableau ci-dessus, la visite de Yahoo a été immédiatement redirigée vers cette URL suspecte avec l’ID de base de données 16120.
Dans notre rapport d’ octobre 2019 , nous détaillons comment nous avons déterminé que ces redirections sont le résultat d’attaques par injection de réseau effectuées soit via des dispositifs tactiques, tels que des tours cellulaires malveillantes, soit via des équipements dédiés placés chez l’opérateur mobile. Lorsque, des mois plus tard, nous avons analysé l’iPhone du journaliste indépendant marocain Omar Radi, qui, comme indiqué dans notre rapport 2020, était ciblé, nous avons trouvé des enregistrements similaires impliquant également le domaine free247downloads[.]com .
En novembre 2019, après le premier rapport d’Amnesty International, un nouveau domaine urlpush[.]net a été enregistré. Nous l’avons trouvé par la suite impliqué dans des redirections similaires vers l’URL https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj.
Bien que les enregistrements de l’historique de Safari soient généralement de courte durée et soient perdus après quelques mois (ainsi que potentiellement purgés intentionnellement par des logiciels malveillants), nous avons néanmoins pu trouver les domaines d’infection de NSO Group dans d’autres bases de données du téléphone d’Omar Radi qui n’apparaissaient pas dans Safari. Histoire. Par exemple, nous avons pu identifier les visites via la base de données Favicon.db de Safari , qui a été laissée intacte par Pegasus :
Comme expliqué dans l’annexe technique de notre rapport 2020 sur les attaques Pegasus au Maroc , ces redirections ne se produisent pas seulement lorsque la cible navigue sur Internet avec l’application navigateur, mais également lors de l’utilisation d’autres applications. Par exemple, dans un cas, Amnesty International a identifié une injection de réseau alors qu’Omar Radi utilisait l’application Twitter. Lors de la prévisualisation d’un lien partagé dans sa timeline, le service com.apple.SafariViewService a été invoqué pour charger une Safari WebView, et une redirection s’est produite.
Pour cette raison, nous pouvons trouver des enregistrements supplémentaires impliquant les domaines free247downloads[.]com et urlpush[.]net dans le stockage local WebKit spécifique à l’application, les dossiers IndexedDB, etc. Dans plusieurs cas, les fichiers IndexedDB ont été créés par Safari peu de temps après la redirection de l’injection réseau vers le serveur d’installation Pegasus.
De plus, les journaux des ressources de session de Safari fournissent des traces supplémentaires qui n’apparaissent pas systématiquement dans l’historique de navigation de Safari. Il semble que Safari n’enregistre pas les chaînes de redirection complètes et ne conserve que des enregistrements d’historique indiquant la dernière page chargée. Les journaux de ressources de session récupérés à partir des téléphones analysés démontrent que des domaines de transfert supplémentaires sont utilisés comme trampolines menant éventuellement aux serveurs d’infection. En fait, ces logs révèlent que la toute première injection réseau contre Maati Monjib que nous décrivons au début de cet article impliquait également le domaine documentpro[.]org :
Source de redirection
Origine
Destination de redirection
yahoo.fr
documentpro[.]org
free247downloads[.]com
Maati Monjib a visité http://yahoo.fr, et une injection réseau a redirigé de force le navigateur vers documentpro[.]org avant de le rediriger vers free247downloads[.]com et de procéder à l’exploitation.
De même, à une autre occasion, Omar Radi a visité le site Web du journal français Le Parisien, et une injection de réseau l’a redirigé via le domaine de mise en scène tahmilmilafate[.]com , puis finalement vers free247downloads[.]com également. Nous avons également vu tahmilmilafate[.]info utilisé de la même manière :
Source de redirection
Origine
Destination de redirection
leparisien.fr
tahmilmilafate[.]com
free247downloads[.]com
Lors des dernières tentatives observées par Amnesty International contre Omar Radi en janvier 2020, son téléphone a été redirigé vers une page d’exploitation à l’ adresse gnyjv1xltx.info8fvhgl3.urlpush[.]net en passant par le domaine baramije[.]net . Le domaine baramije[.]net a été enregistré un jour avant urlpush[.]net , et un site Web leurre a été créé à l’aide du CMS open source Textpattern.
Les traces d’activité du réseau n’étaient pas les seuls indicateurs disponibles de compromission, et une inspection plus approfondie des iPhones a révélé des processus exécutés qui ont finalement conduit à l’établissement d’un modèle cohérent unique à tous les iPhones suivants qu’Amnesty International a analysés et trouvés infectés.
2. BridgeHead de Pegasus et d’autres processus malveillants apparaissent
Amnesty International, Citizen Lab et d’autres ont principalement attribué les attaques de logiciels espions Pegasus sur la base des noms de domaine et d’autres infrastructures réseau utilisées pour lancer les attaques. Cependant, les preuves médico-légales laissées par le logiciel espion Pegasus fournissent un autre moyen indépendant d’attribuer ces attaques à la technologie de NSO Group.
iOS conserve des enregistrements des exécutions de processus et de leur utilisation respective du réseau dans deux fichiers de base de données SQLite appelés « DataUsage.sqlite » et « netusage.sqlite » qui sont stockés sur l’appareil. Il convient de noter que si le premier est disponible dans la sauvegarde iTunes, le second ne l’est pas. De plus, il convient de noter que seuls les processus ayant effectué une activité réseau apparaîtront dans ces bases de données.
Les bases de données d’utilisation du réseau de Maati Monjib et d’Omar Radi contenaient des enregistrements d’un processus suspect appelé « bh » . Ce processus « bh » a été observé à plusieurs reprises immédiatement après les visites dans les domaines d’installation de Pegasus.
Le téléphone de Maati Monjib a enregistré l’exécution de « bh » d’avril 2018 à mars 2019 :
Première date (UTC)
Dernière date (UTC)
Nom du processus
WWAN IN
WWAN OUT
ID de processus
2018-04-29 00:25:12
2019-03-27 22:45:10
bh
3319875.0
144443.0
59472
Amnesty International a trouvé des enregistrements similaires sur le téléphone d’Omar Radi entre février et septembre 2019 :
Première date (UTC)
Dernière date (UTC)
Nom du processus
WWAN IN
WWAN OUT
ID de processus
2019-02-11 14:45:56
2019-09-13 17:02:11
bh
3019409.0
147684.0
50465
La dernière exécution enregistrée de « bh » s’est produite quelques secondes après une injection réseau réussie (comme le montrent les enregistrements de favicon répertoriés précédemment au 13-09-2019 17:01:56).
Comme décrit dans l’analyse de Lookout, en 2016, NSO Group a exploité une vulnérabilité dans iOS JavaScriptCore Binary (jsc) pour réaliser l’exécution de code sur l’appareil. Cette même vulnérabilité a également été utilisée pour maintenir la persistance sur l’appareil après le redémarrage. Nous trouvons des références à « bh » dans tout le code de l’exploit :
Ce module est décrit dans l’analyse de Lookout comme suit :
« bh.c – Charge les fonctions API liées à la décompression des charges utiles de l’étape suivante et à leur placement correct sur l’iPhone de la victime à l’aide de fonctions telles que BZ2_bzDecompress, chmod et malloc »
Lookout explique en outre qu’un fichier de configuration situé dans /var/tmp/jb_cfg est déposé à côté du binaire. Fait intéressant, nous trouvons le chemin d’accès à ce fichier exporté en tant que _kBridgeHeadConfigurationFilePath dans la partie fichier libaudio.dylib du bundle Pegasus :
Par conséquent, nous soupçonnons que « bh » pourrait signifier « BridgeHead » , qui est probablement le nom interne attribué par NSO Group à ce composant de leur boîte à outils.
L’apparition du processus « bh » juste après l’injection réseau réussie du téléphone d’Omar Radi est cohérente avec l’objectif évident du module BridgeHead. Il termine l’exploitation du navigateur, enracine l’appareil et se prépare à son infection avec la suite Pegasus complète.
2.1 Processus suspects supplémentaires après BridgeHead
Le processus bh est apparu pour la première fois sur le téléphone d’Omar Radi le 11 février 2019. Cela s’est produit 10 secondes après qu’un fichier IndexedDB a été créé par le serveur d’installation Pegasus et qu’une entrée de favicon a été enregistrée par Safari. À peu près au même moment, le fichier com.apple.CrashReporter.plist a été écrit dans /private/var/root/Library/Preferences/ , probablement pour désactiver le signalement des journaux de plantage à Apple. La chaîne d’exploit avait obtenu l’autorisation root à ce stade.
Moins d’une minute plus tard, un processus » roleaboutd » apparaît pour la première fois.
Date (UTC)
Événement
2019-02-11 14:45:45
Enregistrement DB indexé pour l’URL https_d9z3sz93x5ueidq3.get1tn0w.free247downloads.com_30897/
2019-02-11 14:45:53
Enregistrement Safari Favicon pour l’URL hxxps//d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com :30897/rdEN5YP
2019-02-11 14:45:54
Reporter de crash désactivé en écrivant com.apple.CrashReporter.plist
2019-02-11 14:45:56
Processus : bh
2019-02-11 14:46:23
Processus : roleaboutd en premier
2019-02-11 17:05:24
Processus : dernier rôle
L’appareil d’Omar Radi a été à nouveau exploité le 13 septembre 2019. Là encore, un processus « bh » a démarré peu après. À cette époque, le fichier com.apple.softwareupdateservicesd.plist a été modifié. Un processus « msgacntd » a également été lancé.
Date (UTC)
Événement
2019-09-13 17:01:38
Enregistrement Safari Favicon pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse
Sur la base du moment et du contexte de l’exploitation, Amnesty International pense que les processus roleaboutd et msgacntd sont une étape ultérieure du logiciel espion Pegasus qui a été chargé après une exploitation réussie et une élévation des privilèges avec la charge utile BridgeHead .
De même, l’analyse médico-légale du téléphone de Maati Monjib a révélé l’exécution de processus plus suspects en plus de bh . Un processus nommé pcsd et un autre nommé fmld sont apparus en 2018 :
date de poing
Dernier rendez-vous
Nom du processus
WWAN IN
WWAN OUT
ID de processus
2018-05-04 23:30:45
2018-05-04 23:30:45
pcsd
12305.0
10173.0
14946
2018-05-21 23:46:06
2018-06-4 13:05:43
fmld
0.0
188326.0
21207
Amnesty International a vérifié qu’aucun fichier binaire légitime du même nom n’était distribué dans les versions récentes d’iOS.
La découverte de ces processus sur les téléphones d’Omar Radi et de Maati Monjib est ensuite devenue déterminante pour la poursuite des enquêtes d’Amnesty International, car nous avons trouvé des processus portant les mêmes noms sur les appareils d’individus ciblés du monde entier.
3. Processus Pegasus suite à l’exploitation potentielle d’Apple Photos
Au cours des enquêtes d’Amnesty International dans le cadre du projet Pegasus, nous avons découvert d’autres cas où le processus « bh » mentionné ci-dessus a été enregistré sur des appareils compromis par différents vecteurs d’attaque.
Dans un cas, le téléphone d’un avocat français des droits de l’homme (CODE : FRHRL1) a été compromis et le processus « bh » a été exécuté quelques secondes après que le trafic réseau pour l’application iOS Photos ( com.apple.mobileslideshow ) a été enregistré pour la première fois. Encore une fois, après une exploitation réussie, le rapport de plantage a été désactivé en écrivant un fichier com.apple.CrashReporter.plist sur l’appareil.
La prochaine et dernière activité réseau pour l’application iOS Photos a été enregistrée le 18 décembre 2019, précédant encore une fois l’exécution de processus malveillants sur l’appareil.
2019-12-18 08:13:33
Processus : mobileslideshow/com.apple.mobileslideshow dernier
2019-12-18 08:13:47
Processus : bh
2019-12-18 11:50:15
Processus : ckebld
Dans un cas distinct, nous avons identifié un schéma similaire avec les processus « mobileslideshow » et « bh » sur l’iPhone d’un journaliste français (CODE : FRJRN1) en mai 2020 :
Processus : mobileslideshow/com.apple.mobileslideshow dernier
2020-05-27 16:58:52
Processus : bh
2020-05-27 18:00:00
Processus : ckkeyrollfd
Amnesty International n’a pas été en mesure de capturer les charges utiles liées à cette exploitation, mais soupçonne que l’application iOS Photos ou le service Photostream ont été utilisés dans le cadre d’une chaîne d’exploitation pour déployer Pegasus. Les applications elles-mêmes peuvent avoir été exploitées ou leurs fonctionnalités mal utilisées pour fournir un exploit JavaScript ou de navigateur plus traditionnel à l’appareil.
Comme vous pouvez le voir dans les tableaux ci-dessus , des noms de processus supplémentaires tels que mptbd , ckeblld , fservernetd et ckkeyrollfd apparaissent juste après bh . Comme pour fmld et pcsd, Amnesty International pense qu’il s’agit de charges utiles supplémentaires téléchargées et exécutées après un compromis réussi. Au fur et à mesure que nos enquêtes progressaient, nous avons identifié des dizaines de noms de processus malveillants impliqués dans les infections Pegasus.
De plus, Amnesty International a trouvé le même compte iCloud bogaardlisa803[@]gmail.com enregistré comme étant lié au service « com.apple.private.alloy.photostream » sur les deux appareils. Les comptes iCloud créés à dessein semblent être au cœur de la diffusion de plusieurs vecteurs d’attaque « zéro clic » dans de nombreux cas récents d’appareils compromis analysés par Amnesty International.
4. Un iMessage zero-click 0day largement utilisé en 2019
Alors que les messages SMS contenant des liens malveillants étaient la tactique de choix des clients de NSO Group entre 2016 et 2018, ces dernières années, ils semblent être devenus de plus en plus rares. La découverte d’attaques par injection de réseau au Maroc a signalé que la tactique des attaquants était en effet en train de changer. L’injection de réseau est un vecteur d’attaque efficace et rentable pour un usage domestique, en particulier dans les pays ayant un effet de levier sur les opérateurs mobiles. Cependant, s’il n’est efficace que sur les réseaux nationaux, le ciblage de cibles étrangères ou d’individus dans les communautés de la diaspora a également changé.
À partir de 2019, un nombre croissant de vulnérabilités dans iOS, en particulier iMessage et FaceTime, ont commencé à être corrigées grâce à leurs découvertes par des chercheurs en vulnérabilité ou par des fournisseurs de cybersécurité signalant des exploits découverts dans la nature.
En réponse, Amnesty International a étendu sa méthodologie médico-légale pour collecter toutes les traces pertinentes par iMessage et FaceTime. iOS conserve un enregistrement des identifiants Apple vus par chaque application installée dans un fichier plist situé dans /private/var/mobile/Library/Preferences/com.apple.identityservices. idstatuscache .plist . Ce fichier est également généralement disponible dans une sauvegarde iTunes régulière, il peut donc être facilement extrait sans avoir besoin d’un jailbreak.
Ces dossiers ont joué un rôle essentiel dans les enquêtes ultérieures. Dans de nombreux cas, nous avons découvert des processus Pegasus suspectés exécutés sur des appareils immédiatement après des recherches de compte iMessage suspectes. Par exemple, les enregistrements suivants ont été extraits du téléphone d’un journaliste français (CODE FRJRN2) :
2019-06-16 12:08:44
Recherche de bergers.o79@gmail.com par com.apple.madrid (iMessage)
2019-08-16 12:33:52
Recherche de bergers.o79@gmail \x00\x00 om par com.apple.madrid (iMessage)
2019-08-16 12:37:55
Le fichier Library/Preferences/com.apple.CrashReporter.plist est créé dans RootDomain
2019-08-16 12:41:25
Le fichier Library/Preferences/roleaccountd.plist est créé dans RootDomain
2019-08-16 12:41:36
Processus : roleaccountd
2019-08-16 12:41:52
Processus : mise en scène
2019-08-16 12:49:21
Processus : aggregatenotd
L’analyse médico-légale d’Amnesty International de plusieurs appareils a trouvé des enregistrements similaires. Dans de nombreux cas, le même compte iMessage se reproduit sur plusieurs appareils ciblés, indiquant potentiellement que ces appareils ont été ciblés par le même opérateur. De plus, les processus roleaccountd et stagingd se produisent de manière cohérente, avec d’autres.
Par exemple, l’iPhone d’un journaliste hongrois (CODE HUJRN1) affichait à la place les enregistrements suivants :
2019-09-24 13:26:15
Recherche de jessicadavies1345@outlook.com par com.apple.madrid (iMessage)
2019-09-24 13:26:51
Recherche de emmadavies8266@gmail.com par com.apple.madrid (iMessage)
2019-09-24 13:32:10
Processus : roleaccountd
2019-09-24 13:32:13
Processus : mise en scène
Dans ce cas, les premiers processus suspects réalisant une activité réseau ont été enregistrés 5 minutes après la première recherche. Le fichier com.apple.CrashReporter.plist était déjà présent sur cet appareil après une infection réussie précédente et n’a pas été réécrit.
L’iPhone d’un autre journaliste hongrois (CODE HUJRN2) affiche des recherches pour les mêmes comptes iMessage ainsi que de nombreux autres processus ainsi que roleaccountd et stagingd :
2019-07-15 12:01:37
Recherche de mailto:e \x00\x00 adavies8266@gmail.com par com.apple.madrid (iMessage)
2019-07-15 14:21:40
Processus : accountpfd
2019-08-29 10:57:43
Processus : roleaccountd
2019-08-29 10:57:44
Processus : mise en scène
2019-08-29 10:58:35
Processus : launchrexd
2019-09-03 07:54:26
Processus : roleaccountd
2019-09-03 07:54:28
Processus : mise en scène
2019-09-03 07:54:51
Processus : seracompted
2019-09-05 13:26:38
Processus : seracompted
2019-09-05 13:26:55
Processus : misbrigd
2019-09-10 06:09:04
Recherche de emmadavies8266@gmail.com par com.apple.madrid (iMessage)
2019-09-10 06:09:47
Recherche de jessicadavies1345@outlook.com par com.apple.madrid (iMessage)
2019-10-30 14:09:51
Processus : nehelprd
Il est intéressant de noter que dans les traces qu’Amnesty International a récupérées à partir de 2019, les recherches iMessage qui ont immédiatement précédé l’exécution de processus suspects contenaient souvent un remplissage 0x00 de deux octets dans l’adresse e-mail enregistrée par le fichier ID Status Cache.
5. Apple Music mis à profit pour livrer Pegasus en 2020
À la mi-2021, Amnesty International a identifié un autre cas d’un éminent journaliste d’investigation azerbaïdjanais (CODE AZJRN1) qui a été la cible à plusieurs reprises d’attaques Pegasus Zero-Click de 2019 jusqu’à la mi-2021.
Encore une fois, nous avons trouvé un modèle similaire de traces médico-légales sur l’appareil après la première exploitation réussie enregistrée :
2019-03-28 07:43:14
Fichier : Library/Preferences/ com.apple.CrashReporter.plist de RootDomain
2019-03-28 07:44:03
Fichier : Bibliothèque/Préférences/ roleaccountd.plist de RootDomain
2019-03-28 07:44:14
Processus : roleaccountd
2019-03-28 07:44:14
Processus : mise en scène
Fait intéressant, nous avons trouvé des signes d’une nouvelle technique d’infection iOS utilisée pour compromettre cet appareil. Une infection réussie s’est produite le 10 juillet 2020 :
2020-07-06 05:22:21
Recherche de f\x00\x00ip.bl82@gmail.com par iMessage (com.apple.madrid)
2020-07-10 14:12:09
Demande Pegasus par l’application Apple Music : https://x1znqjo0x8b8j.php78mp9v.opposedarrangement[.]net:37271/afAVt89Wq/stadium/pop2.html?key=501_4&n=7
2020-07-10 14:12:21
Processus : roleaccountd
2020-07-10 14:12:53
Processus : mise en scène
2020-07-13 05:05:17
Demande Pegasus par l’application Apple Music : https://4n3d9ca2st.php78mp9v.opposedarrangement[.]net:37891/w58Xp5Z/stadium/pop2.html?key=501_4&n=7
Peu de temps avant le lancement de Pegasus sur l’appareil, nous avons vu le trafic réseau enregistré pour le service Apple Music. Ces requêtes HTTP ont été récupérées à partir d’un fichier de cache réseau situé dans /private/var/mobile/Containers/Data/Application/D6A69566-55F7-4757-96DE-EBA612685272/Library/Caches/com.apple.Music/Cache. db que nous avons récupéré en jailbreakant l’appareil.
Amnesty International ne peut pas déterminer à partir de la médecine légale si Apple Music a lui-même été exploité pour transmettre l’infection initiale ou si, au lieu de cela, l’application a été maltraitée dans le cadre d’une chaîne d’évasion et d’escalade des privilèges du bac à sable. Des recherches récentes ont montré que les applications intégrées telles que l’application iTunes Store peuvent être utilisées de manière abusive pour exécuter un exploit de navigateur tout en échappant au sandbox restrictif de l’application Safari.
Plus important encore, la requête HTTP effectuée par l’application Apple Music pointe vers le domaine opposédarrangement[.]net , que nous avions précédemment identifié comme appartenant à l’infrastructure réseau Pegasus de NSO Group. Ce domaine correspondait à une empreinte distinctive que nous avons conçue lors de la réalisation d’analyses à l’échelle d’Internet suite à notre découverte des attaques par injection de réseau au Maroc (voir la section 9).
De plus, ces URL présentent des caractéristiques particulières typiques d’autres URL que nous avons trouvées impliquées dans les attaques Pegasus au fil des ans, comme expliqué dans la section suivante.
6. Megalodon : iMessage zero-click 0-day return en 2021
L’analyse menée par Amnesty International sur plusieurs appareils révèle des traces d’attaques similaires à celles que nous avons observées en 2019. Ces attaques ont été observées aussi récemment qu’en juillet 2021. Amnesty International pense que Pegasus est actuellement livré par le biais d’exploits sans clic qui restent fonctionnels jusqu’au dernier version disponible d’iOS au moment de la rédaction (juillet 2021).
Sur l’iPhone d’un avocat français des droits de l’homme (CODE FRHRL2), nous avons observé une recherche d’un compte iMessage suspect inconnu de la victime, suivie d’une requête HTTP effectuée par le processus com.apple.coretelephony . Il s’agit d’un composant d’iOS impliqué dans toutes les tâches liées à la téléphonie et probablement parmi ceux exploités dans cette attaque. Nous avons trouvé des traces de cette requête HTTP dans un fichier cache stocké sur le disque dans /private/var/wireless/Library/Caches/com.apple.coretelephony/Cache.db contenant des métadonnées sur la requête et la réponse. Le téléphone a envoyé des informations sur l’appareil, notamment le modèle 9,1 (iPhone 7) et le numéro de version iOS 18C66(version 14.3) à un service proposé par Amazon CloudFront, suggérant que NSO Group est passé à l’utilisation des services AWS ces derniers mois. Au moment de cette attaque, la nouvelle version iOS 14.4 n’était sortie que depuis quelques semaines.
Date (UTC)
Événement
2021-02-08 10:42:40
Recherche de linakeller2203@gmail.com par iMessage (com.apple.madrid)
2021-02-08 11:27:10
com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/fV2GsPXgW//stadium/megalodon?m=iPhone9,1&v=18C66
2021-02-08 11:27:21
Processus : gatekeeper
2021-02-08 11:27:22
gatekeeperd exécute une requête HTTP vers https://d38j2563clgblt.cloudfront.net/fV2GsPXgW//stadium/wizard/01-00000000
2021-02-08 11:27:23
Processus : gatekeeper
Le fichier Cache.db pour com.apple.coretelephony contient des détails sur la réponse HTTP qui semble avoir été un téléchargement d’environ 250 Ko de données binaires. En effet, nous avons trouvé le binaire téléchargé dans le sous-dossier fsCachedData , mais il était malheureusement crypté. Amnesty International pense qu’il s’agit de la charge utile lancée en tant que gardien .
Amnesty International a ensuite analysé l’iPhone d’un journaliste (CODE MOJRN1), qui contenait des enregistrements très similaires. Cet appareil a été exploité à plusieurs reprises entre février et avril 2021 et dans toutes les versions d’iOS. La tentative la plus récente a montré les indicateurs de compromis suivants :
Date (UTC)
Événement
2021-04-02 10:15:38
Recherche de linakeller2203@gmail.com par iMessage (com.apple.madrid)
2021-04-02 10:36:00
com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/megalodon?m=iPhone8,1&v=18D52&u=[REDACTED]
2021-04-02 10:36:08
Le processus PDPDialogs exécute une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/ttjuk
2021-04-02 10:36:16
Le processus PDPDialogs exécute une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/01-00000000
2021-04-02 10:36:16
com.apple.coretelephony effectue une requête HTTP vers https://d38j2563clgblt.cloudfront[.]net/dMx1hpK//stadium/wizard/cszjcft=frzaslm
2021-04-02 10:36:35
Processus : gatekeeper
2021-04-02 10:36:45
Processus : rolexd
Comme il est évident , le même compte iMessage observé dans l’affaire distincte précédente a été impliqué dans cette exploitation et compromis des mois plus tard. Le même site Web CloudFront a été contacté par com.apple.coretelephony et les processus supplémentaires ont exécuté, téléchargé et lancé des composants malveillants supplémentaires.
L’enregistrement initial indique que l’iPhone 6s compromis utilisait iOS 14.4 (numéro de build 18D52) au moment de l’attaque. Bien que les versions 14.4.1 et 14.4.2 étaient déjà disponibles à l’époque, elles ne traitaient que les vulnérabilités de WebKit, il est donc prudent de supposer que la vulnérabilité exploitée dans ces attaques iMessage a été exploitée en tant que jour 0.
Il convient de noter que parmi les nombreux autres noms de processus malveillants observés exécutés sur ce téléphone, nous voyons msgacntd , que nous avons également trouvé en cours d’exécution sur le téléphone d’Omar Radi en 2019, comme documenté précédemment.
En outre, il convient de noter que les URL que nous avons observées utilisées dans les attaques au cours des trois dernières années présentent un ensemble cohérent de modèles. Cela confirme l’analyse d’Amnesty International selon laquelle les trois URL sont en fait des composants de l’infrastructure d’attaque des clients Pegasus. L’attaque Apple Music de 2020 montre la même structure de domaine de niveau 4 et le même numéro de port élevé non standard que l’attaque par injection réseau de 2019. Les domaines free247downloads[.]com et opposés[.]net correspondaient à notre empreinte digitale de domaine Pegasus V4.
De plus, l’URL d’attaque Apple Music et les URL d’attaque Megaladon 2021 partagent un modèle distinctif. Les deux chemins d’URL commencent par un identifiant aléatoire lié à la tentative d’attaque suivi du mot « stade ».
Amnesty International a rapporté cette information à Amazon, qui nous a informés avoir « agi rapidement pour fermer l’infrastructure et les comptes impliqués » . [2]
L’iPhone 11 d’un militant français des droits de l’homme (CODE FRHRD1) a également montré une recherche iMessage pour le compte linakeller2203[@]gmail.com le 11 juin 2021 et des processus malveillants par la suite. Le téléphone utilisait iOS 14.4.2 et a été mis à niveau vers 14.6 le lendemain.
Plus récemment, Amnesty International a observé des preuves de compromission de l’iPhone XR d’un journaliste indien (CODE INJRN1) exécutant iOS 14.6 (dernier disponible au moment de la rédaction) le 16 juin 2021. Enfin, Amnesty International a confirmé une infection active. de l’iPhone X d’un militant (CODE RWHRD1) le 24 juin 2021, sous iOS 14.6. Bien que nous n’ayons pas été en mesure d’extraire les enregistrements des bases de données Cache.db en raison de l’impossibilité de jailbreaker ces deux appareils, des données de diagnostic supplémentaires extraites de ces iPhones montrent de nombreuses notifications push iMessage précédant immédiatement l’exécution des processus Pegasus.
L’appareil d’un activiste rwandais (CODE RWHRD1) montre des preuves de plusieurs infections à zéro clic réussies en mai et juin 2021. Nous pouvons en voir un exemple le 17 mai 2021. Un compte iMessage inconnu est enregistré et dans les minutes qui suivent au moins 20 morceaux de pièces jointes iMessage sont créés sur le disque.
Date (UTC)
Événement
2021-05-17 13:39:16
Recherche de compte iCloud benjiburns8[@]gmail.com (iMessage)
Amnesty International n’a trouvé aucune preuve que l’attaque du 17 mai ait été un succès. Les attaques ultérieures des 18 et 23 juin ont été couronnées de succès et ont conduit au déploiement de charges utiles Pegasus sur l’appareil.
Initialement, de nombreuses notifications push iMessage (com.apple.madrid) ont été reçues et des morceaux de pièces jointes ont été écrits sur le disque. Le tableau suivant montre un échantillon des 48 fichiers joints trouvés sur le système de fichiers.
Date (UTC)
Événement
2021-06-23 20:45:00
8 notifications push pour le sujet com.apple.madrid (iMessage)
2021-06-23 20:46:00
46 notifications push pour le sujet com.apple.madrid (iMessage)
54 notifications push pour le sujet com.apple.madrid (iMessage)
Un crash de processus s’est produit à 20:48:56, ce qui a entraîné le démarrage du processus ReportCrash suivi du redémarrage de plusieurs processus liés au traitement d’iMessage :
Date (UTC)
Événement
2021-06-23 20:48:56
Processus avec PID 1192 et nom ReportCrash
2021-06-23 20:48:56
Processus avec PID 1190 et nom IMTransferAgent
2021-06-23 20:48:56
Processus avec le PID 1153 et le nom SCHelper
2021-06-23 20:48:56
Processus avec PID 1151 et nom CategoriesService
2021-06-23 20:48:56
Processus avec PID 1147 et nom MessagesBlastDoorService
2021-06-23 20:48:56
Processus avec PID 1145 et nom NotificationService
Une deuxième série de plantages et de redémarrages se sont produits cinq minutes plus tard. Le processus ReportCrash a été lancé avec les processus liés à l’analyse du contenu iMessage et des avatars personnalisés iMessage.
Date (UTC)
Événement
2021-06-23 20:54:16
Processus avec PID 1280 et nom ReportCrash
2021-06-23 20:54:16
Processus avec PID 1278 et nom IMTransferAgent
2021-06-23 20:54:16
Processus avec PID 1266 et nom com.apple.WebKit.WebContent
2021-06-23 20:54:16
Processus avec PID 1263 et nom com.apple.accessibility.mediaac
2021-06-23 20:54:16
Processus avec le PID 1262 et le nom CategoriesService
2021-06-23 20:54:16
Processus avec PID 1261 et nom com.apple.WebKit.Networking
2021-06-23 20:54:16
Processus avec PID 1239 et nom avatarsd
Peu de temps après à 20h54 l’exploitation a réussi, et nous observons qu’une requête réseau a été faite par le processus com.apple.coretelephony provoquant la modification du fichier Cache.db. Cela correspond au comportement qu’Amnesty International a observé lors des autres attaques zéro clic de Pegasus en 2021.
Enfin, l’analyse d’un iPhone 12 entièrement patché sous iOS 14.6 d’un journaliste indien (CODE INJRN2) a également révélé des signes de compromission réussie. Ces découvertes les plus récentes indiquent que les clients de NSO Group sont actuellement en mesure de compromettre à distance tous les modèles d’iPhone récents et les versions d’iOS.
Nous avons signalé cette information à Apple, qui nous a informés qu’ils enquêtaient sur la question. [3]
7. Tentatives incomplètes pour cacher des preuves de compromission
Plusieurs iPhones qu’Amnesty International a inspectés indiquent que Pegasus a récemment commencé à manipuler des bases de données système et des enregistrements sur des appareils infectés pour cacher ses traces et entraver les efforts de recherche d’Amnesty International et d’autres enquêteurs.
Fait intéressant, cette manipulation devient évidente lors de la vérification de la cohérence des enregistrements restants dans DataUsage.sqlite et netusage.sqlitebases de données SQLite. Pegasus a supprimé les noms des processus malveillants de la table ZPROCESS dans la base de données DataUsage mais pas les entrées correspondantes de la table ZLIVEUSAGE. La table ZPROCESS stocke des lignes contenant un ID de processus et le nom du processus. La table ZLIVEUSAGE contient une ligne pour chaque processus en cours d’exécution, y compris le volume de transfert de données et l’ID de processus correspondant à l’entrée ZPROCESS. Ces incohérences peuvent être utiles pour identifier les moments où des infections peuvent s’être produites. Des indicateurs Pegasus supplémentaires de compromission ont été observés sur tous les appareils où cette anomalie a été observée. Aucune incohérence similaire n’a été trouvée sur les iPhones propres analysés par Amnesty International.
Bien que les enregistrements les plus récents soient désormais supprimés de ces bases de données, des traces d’exécutions de processus récentes peuvent également être récupérées à partir de journaux de diagnostic supplémentaires du système.
Par exemple, les enregistrements suivants ont été récupérés sur le téléphone d’un DRH (CODE RWHRD1) :
Date (UTC)
Événement
2021-01-31 23:59:02
Processus : libtouchregd (PID 7354)
2021-02-21 23:10:09
Processus : mptbd (PID 5663)
2021-02-21 23:10:09
Processus : launchrexd (PID 4634)
2021-03-21 06:06:45
Processus : roleaboutd (PID 12645)
2021-03-28 00:36:43
Processus : otpgrefd (PID 2786)
2021-04-06 21:29:56
Processus : locserviced (PID 5492)
2021-04-23 01:48:56
Processus : eventfssd (PID 4276)
2021-04-23 23:01:44
Processus : aggregatenotd (PID 1900)
2021-04-28 16:08:40
Processus : xpccfd (PID 1218)
2021-06-14 00:17:12
Processus : faskeepd (PID 4427)
2021-06-14 00:17:12
Processus : lobbrogd (PID 4426)
2021-06-14 00:17:12
Processus : neagentd (PID 4423)
2021-06-14 00:17:12
Processus : com.apple.rapports.events (PID 4421)
2021-06-18 08:13:35
Processus : faskeepd (PID 4427)
2021-06-18 15:31:12
Processus : launchrexd (PID 1169)
2021-06-18 15:31:12
Processus : frtipd (PID 1168)
2021-06-18 15:31:12
Processus : RappelIntentsUIExtension (PID 1165)
2021-06-23 14:31:39
Processus : launchrexd (PID 1169)
2021-06-23 20:59:35
Processus : otpgrefd (PID 1301)
2021-06-23 20:59:35
Processus : launchafd (PID 1300)
2021-06-23 20:59:35
Processus : vm_stats (PID 1294)
2021-06-24 12:24:29
Processus : otpgrefd (PID 1301)
Les fichiers journaux du système révèlent également l’emplacement des binaires Pegasus sur le disque. Ces noms de fichiers correspondent à ceux que nous avons systématiquement observés dans les journaux d’exécution de processus présentés précédemment. Les fichiers binaires sont situés dans le dossier /private/var/db/com.apple.xpc.roleaccountd.staging/, ce qui est cohérent avec les conclusions de Citizen Lab dans un rapport de décembre 2020 .
Les enquêtes d’Amnesty International, corroborées par des informations secondaires que nous avons reçues, semblent suggérer que Pegasus ne maintient plus la persistance sur les appareils iOS. Par conséquent, les charges utiles binaires associées à ces processus ne sont pas récupérables à partir du système de fichiers non volatile. Au lieu de cela, il faudrait pouvoir jailbreaker l’appareil sans redémarrage et tenter d’extraire les charges utiles de la mémoire.
8. Processus Pegasus déguisés en services système iOS
Parmi les nombreuses analyses médico-légales menées par Amnesty International sur des appareils du monde entier, nous avons trouvé un ensemble cohérent de noms de processus malveillants exécutés sur des téléphones compromis. Alors que certains processus, par exemple bh , semblent être propres à un vecteur d’attaque particulier, la plupart des noms de processus Pegasus semblent simplement déguisés pour apparaître comme des processus légitimes du système iOS, peut-être pour tromper les enquêteurs médico-légaux inspectant les journaux.
Plusieurs de ces noms de processus falsifient les binaires iOS légitimes :
Nom du processus Pegasus
Binaire iOS falsifié
ABSCarryLog
ASPCarryLog
agrégénotd
agrégé
ckkeyrollfd
ckkeyrolld
com.apple.Mappit.SnapshotService
com.apple.MapKit.SnapshotService
com.apple.rapports.events
com.apple.rapport.events
CommsCenterRootHelper
CommCenterRootHelper
Diagnostique-2543
Diagnostique-2532
événementsfssd
fseventsd
fmld
fmfd
JarvisPluginMgr
JarvisPlugin
launchafd
lancé
MobileSMSd
MobileSMS
nehelprd
aide
pcsd
com.apple.pcs
Dialogues PPD
Dialogues PPP
RappelIntentsUIExtension
RappelsIntentsUIExtension
rlaccountd
xpcroleaccountd
roleaccountd
xpcroleaccountd
La liste des noms de processus que nous associons aux infections Pegasus est disponible parmi tous les autres indicateurs de compromission sur notre page GitHub .
9. Démêler l’infrastructure d’attaque Pegasus au fil des ans
L’ensemble de noms de domaine, de serveurs et d’infrastructures utilisés pour fournir et collecter des données à partir du logiciel espion Pegasus de NSO Group a évolué à plusieurs reprises depuis sa première divulgation publique par Citizen Lab en 2016.
En août 2018, Amnesty International a publié un rapport « Amnesty International parmi les cibles de la campagne soutenue par les NSO » qui décrivait le ciblage d’un membre du personnel d’Amnesty International et d’un défenseur des droits humains saoudien. Dans ce rapport, Amnesty International a présenté un extrait de plus de 600 noms de domaine liés à l’infrastructure d’attaque de NSO Group. Amnesty International a publié la liste complète des domaines en octobre 2018. Dans ce rapport, nous appelons ces domaines le réseau Pegasus version 3 (V3) .
L’ infrastructure de la version 3 utilisait un réseau de VPS et de serveurs dédiés. Chaque serveur d’installation Pegasus ou serveur de commande et de contrôle (C&C) hébergeait un serveur Web sur le port 443 avec un domaine unique et un certificat TLS. Ces serveurs de périphérie feraient ensuite passer les connexions via une chaîne de serveurs, appelée par NSO Group sous le nom de « Pegasus Anonymizing Transmission Network » (PATN).
Il était possible de créer une paire d’empreintes digitales pour l’ensemble distinctif de suites de chiffrement TLS prises en charge par ces serveurs. La technique d’empreinte digitale est conceptuellement similaire à la technique d’empreinte digitale JA3S publiée par Salesforce en 2019 . Avec cette empreinte digitale, le laboratoire de sécurité d’Amnesty International a effectué des analyses à l’échelle d’Internet pour identifier l’installation/l’infection de Pegasus et les serveurs C&C actifs à l’été 2018.
NSO Group a commis des erreurs de sécurité opérationnelle critiques lors de la configuration de son infrastructure de version 3. Deux domaines de l’ancien réseau Version 2 ont été réutilisés dans leur réseau Version 3. Ces deux domaines de la version 2, pine-sales[.]com et ecommerce-ads[.]org avaient déjà été identifiés par Citizen Lab. Ces erreurs ont permis à Amnesty International de lier la tentative d’attaque contre notre collègue au produit Pegasus de NSO Group. Ces liens ont été confirmés de manière indépendante par Citizen Lab dans un rapport de 2018 .
NSO Group a rapidement fermé bon nombre de ses serveurs de la version 3 peu de temps après les publications d’Amnesty International et de Citizen Lab le 1er août 2018.
9.1 Nouvelles tentatives de NSO Group pour cacher leur infrastructure
En août 2019, Amnesty International a identifié un autre cas d’utilisation des outils du groupe NSO pour cibler un défenseur des droits humains, cette fois au Maroc. Maati Monjib a été la cible de messages SMS contenant des liens Pegasus Version 3 .
Amnesty a effectué une analyse médico-légale de son iPhone comme décrit précédemment. Cette analyse médico-légale a montré des redirections vers un nouveau nom de domaine free247downloads.com . Ces liens ressemblaient étrangement aux liens d’infection précédemment utilisés par NSO.
Amnesty International a confirmé que ce domaine était lié au groupe NSO en observant des artefacts Pegasus distinctifs créés sur l’appareil peu de temps après l’ouverture de l’URL d’infection. Avec ce nouveau domaine en main, nous avons pu commencer à cartographier l’ infrastructure Pegasus Version 4 (V4) .
NSO Group a remanié son infrastructure pour introduire des couches supplémentaires, ce qui a compliqué la découverte. Néanmoins, nous pouvions maintenant observer au moins 4 serveurs utilisés dans chaque chaîne d’infection.
Un serveur de validation : La première étape était un site web que nous avons vu hébergé sur des hébergeurs mutualisés. Ce site Web exécutait fréquemment une application PHP ou CMS aléatoire et parfois obscure. Amnesty International pense qu’il s’agissait d’un effort visant à rendre les domaines moins distinguables.
Le serveur de validation vérifierait la demande entrante. Si une requête avait une URL valide et toujours active, le serveur de validation redirigerait la victime vers le domaine du serveur d’exploitation nouvellement généré. Si l’URL ou l’appareil n’était pas valide, il redirigerait vers un site Web leurre légitime. Tout passant ou crawler Internet ne verrait que le leurre PHP CMS.
Serveur DNS d’infection : NSO semble désormais utiliser un sous-domaine unique pour chaque tentative d’exploit. Chaque sous-domaine a été généré et n’a été actif que pendant une courte période. Cela a empêché les chercheurs de trouver l’emplacement du serveur d’exploit sur la base des journaux de périphérique historiques.
Pour résoudre dynamiquement ces sous-domaines, NSO Group a exécuté un serveur DNS personnalisé sous un sous-domaine pour chaque domaine d’infection. Il a également obtenu un certificat TLS générique qui serait valide pour chaque sous-domaine généré tel que *.info8fvhgl3.urlpush[.]net ou *.get1tn0w.free247downloads[.]com .
Serveur d’installation Pegasus : pour servir la charge utile d’infection réelle, NSO Group doit exécuter un serveur Web quelque part sur Internet. Encore une fois, NSO Group a pris des mesures pour éviter l’analyse Internet en exécutant le serveur Web sur un numéro de port aléatoire élevé.
Nous supposons que chaque serveur Web d’infection fait partie de la nouvelle génération « Pegasus Anonymizing Transmission Network » . Les connexions au serveur d’infection sont probablement renvoyées par proxy à l’infrastructure Pegasus du client.
Serveur de commande et de contrôle : dans les générations précédentes du PATN, NSO Group utilisait des domaines distincts pour l’infection initiale et la communication ultérieure avec le logiciel espion. Le rapport iPwn de Citizen Lab a fourni la preuve que Pegasus utilise à nouveau des domaines distincts pour le commandement et le contrôle. Pour éviter la découverte basée sur le réseau, le logiciel espion Pegasus a établi des connexions directes avec les serveurs Pegasus C&C sans effectuer au préalable une recherche DNS ou envoyer le nom de domaine dans le champ TLS SNI.
Amnesty International a commencé par analyser la configuration des domaines d’infection et des serveurs DNS utilisés dans les attaques contre les journalistes et les défenseurs des droits humains marocains.
Sur la base de notre connaissance des domaines utilisés au Maroc, nous avons développé une empreinte digitale qui a identifié 201 domaines d’installation Pegasus dont l’infrastructure était active au moment de l’analyse initiale. Cet ensemble de 201 domaines comprenait à la fois urlpush[.]net et free247downloads[.]com .
Amnesty International a identifié 500 domaines supplémentaires avec une analyse du réseau ultérieure et en regroupant les modèles d’enregistrement de domaine, l’émission de certificats TLS et la composition de domaine qui correspondaient à l’ensemble initial de 201 domaines.
Amnesty International pense que cela représente une part importante de l’infrastructure d’attaque de la version 4 du groupe NSO. Nous publions ces 700 domaines aujourd’hui. Nous recommandons aux organisations de la société civile et des médias de vérifier leur télémétrie réseau et/ou leurs journaux DNS pour rechercher des traces de ces indicateurs de compromission.
9.3 Que peut-on apprendre de l’infrastructure de NSO Group
Le graphique suivant montre l’évolution de l’infrastructure de NSO Group Pegasus sur une période de 4 ans, de 2016 à mi-2021. Une grande partie de l’ infrastructure de la version 3 a été brutalement fermée en août 2018 à la suite de notre rapport sur un membre du personnel d’Amnesty International ciblé par Pegasus. L’ infrastructure Version 4 a ensuite été progressivement déployée à partir de septembre et octobre 2018.
Un nombre important de nouveaux domaines ont été enregistrés en novembre 2019, peu de temps après que WhatsApp a informé leurs utilisateurs du ciblage présumé avec Pegasus. Cela peut refléter la rotation des domaines NSO en raison du risque perçu de découverte, ou en raison de la perturbation de leur infrastructure d’hébergement existante.
L’infrastructure du serveur DNS V4 a commencé à se déconnecter au début de 2021 à la suite du rapport Citizen Lab iPwn qui a révélé plusieurs domaines Pegasus V4.
Amnesty International soupçonne que la fermeture de l’infrastructure V4 a coïncidé avec le passage de NSO Group à l’utilisation de services cloud tels qu’Amazon CloudFront pour livrer les premières étapes de leurs attaques. L’utilisation de services cloud protège NSO Group de certaines techniques d’analyse Internet.
9.4 Infrastructure d’attaque hébergée principalement en Europe et en Amérique du Nord
L’infrastructure Pegasus de NSO Group se compose principalement de serveurs hébergés dans des centres de données situés dans des pays européens. Les pays hébergeant le plus de serveurs DNS de domaine d’infection comprenaient l’Allemagne, le Royaume-Uni, la Suisse, la France et les États-Unis (États-Unis).
De campagne
Serveurs par pays
Allemagne
212
Royaume-Uni
79
Suisse
36
La France
35
États Unis
28
Finlande
9
Pays-Bas
5
Canada
4
Ukraine
4
Singapour
3
Inde
3
L’Autriche
3
Japon
1
Bulgarie
1
Lituanie
1
Bahreïn
1
Le tableau suivant indique le nombre de serveurs DNS hébergés chez chaque fournisseur d’hébergement. La plupart des serveurs identifiés sont attribués aux sociétés d’hébergement américaines Digital Ocean, Linode et Amazon Web Services (AWS).
De nombreux hébergeurs proposent un hébergement de serveur dans plusieurs emplacements physiques. Sur la base de ces deux tableaux, il apparaît que NSO Group utilise principalement les centres de données européens gérés par des sociétés d’hébergement américaines pour exécuter une grande partie de l’infrastructure d’attaque de ses clients.
Réseau
Serveurs par réseau
DIGITALOCEAN-ASN
142
Linode, LLC
114
AMAZONE-02
73
Akenes SA
60
UpCloud Ltd
9
Choopa
7
OVH SAS
6
Systèmes virtuels LLC
2
ASN-QUADRANET-GLOBAL
1
combahton GmbH
1
UAB Rakréjus
1
HZ Hosting Ltd
1
PE Brejnev Daniil
1
Neterra Ltd.
1
Kyiv Optic Networks Ltd
1
Les recherches d’Amnesty International ont identifié 28 serveurs DNS liés à l’infrastructure d’infection qui étaient hébergés aux États-Unis.
Nom de domaine
IP du serveur DNS
Réseau
drp32k77.todoinfonet.com
104.223.76.216
ASN-QUADRANET-GLOBAL
imgi64kf5so6k.transferlights.com
165.227.52.184
DIGITALOCEAN-ASN
pc43v65k.alignmentdisabled.net
167.172.215.114
DIGITALOCEAN-ASN
img54fsd3267h.prioritytrail.net
157.245.228.71
DIGITALOCEAN-ASN
jsfk3d43.netvisualizer.com
104.248.126.210
DIGITALOCEAN-ASN
cdn42js666.manydnsnow.com
138.197.223.170
DIGITALOCEAN-ASN
css1833iv.handcraftedformat.com
134.209.172.164
DIGITALOCEAN-ASN
js43fsf7v.opera-van.com
159.203.87.42
DIGITALOCEAN-ASN
pypip36z19.myfundsdns.com
167.99.105.68
DIGITALOCEAN-ASN
css912jy6.reception-desk.net
68.183.105.242
DIGITALOCEAN-ASN
imgi64kf5so6k.transferlights.com
206.189.214.74
DIGITALOCEAN-ASN
js85mail.preferenceviews.com
142.93.80.134
DIGITALOCEAN-ASN
css3218i.quota-reader.net
165.227.17.53
DIGITALOCEAN-ASN
mongo87a.sweet-water.org
142.93.113.166
DIGITALOCEAN-ASN
réagir12x2.towebsite.net
3.13.132.96
AMAZONE-02
jsb8dmc5z4.gettingurl.com
13.59.79.240
AMAZONE-02
réagir12x2.towebsite.net
3.16.75.157
AMAZONE-02
cssgahs5j.redirigir.net
18.217.13.50
AMAZONE-02
jsm3zsn5kewlmk9q.dns-analytics.com
18.225.12.72
AMAZONE-02
imgcss35d.domain-routing.com
13.58.85.100
AMAZONE-02
jsb8dmc5z4.gettingurl.com
18.191.63.125
AMAZONE-02
js9dj1xzc8d.beanbounce.net
199.247.15.15
CHOOPA
jsid76api.buildyourdata.com
108.61.158.97
CHOOPA
cdn19be2.reloadinput.com
95.179.177.18
CHOOPA
srva9awf.syncingprocess.com
66.175.211.107
Linode
jsfk3d43.netvisualizer.com
172.105.148.64
Linode
imgdsg4f35.permalinking.com
23.239.16.143
Linode
srva9awf.syncingprocess.com
45.79.190.38
Linode
9.5 Résolutions de domaine d’infection observées dans la base de données DNS passive
Sur la base d’une analyse médico-légale des appareils compromis, Amnesty International a déterminé que NSO Group utilisait un sous-domaine unique et généré de manière aléatoire pour chaque tentative de livraison du logiciel espion Pegasus.
Amnesty International a recherché des ensembles de données DNS passifs pour chacun des domaines Pegasus Version 4 que nous avons identifiés. Les bases de données DNS passives enregistrent la résolution DNS historique pour un domaine et incluent souvent des sous-domaines et l’adresse IP historique correspondante.
Un sous-domaine ne sera enregistré dans les enregistrements DNS passifs que si le sous-domaine a été résolu avec succès et que la résolution a transité par un réseau qui exécutait une sonde DNS passive.
Ces données de sonde sont collectées sur la base d’accords entre les opérateurs de réseau et les fournisseurs de données DNS passifs. De nombreux réseaux ne seront pas couverts par de tels accords de collecte de données. Par exemple, aucune résolution DNS passive n’a été enregistrée pour les domaines d’infection Pegasus utilisés au Maroc.
En tant que telles, ces résolutions ne représentent qu’un petit sous-ensemble de l’activité globale de NSO Group Pegasus .
Domaine d’infection
Sous-domaines d’infection uniques
mongo77usr.urlredirect.net
417
str1089.mailappzone.com
410
apiweb248.theappanalytics.com
391
dist564.htmlstats.net
245
css235gr.apigraphs.net
147
nodesj44s.unusualneighbor.com
38
jsonapi2.linksnew.info
30
img9fo658tlsuh.securisurf.com
19
pc25f01dw.loading-url.net
12
dbm4kl5d3faqlk6.healthyguess.com
8
img359axw1z.reload-url.net
5
css2307.cssgraphics.net
5
info2638dg43.newip-info.com
3
img87xp8m.catbrushcable.com
2
img108jkn42.av-scanner.com
2
mongom5sxk8fr6.extractsight.com
2
img776cg3.webprotector.co
1
tv54d2ml1.topadblocker.net
1
drp2j4sdi.safecrusade.com
1
api1r3f4.redirectweburl.com
1
pc41g20bm.redirectconnection.net
1
jsj8sd9nf.randomlane.net
1
php78mp9v.opposedarrangement.net
1
Le domaine urlredirect.net avait le plus grand nombre de sous-domaines uniques observés. Au total, 417 résolutions ont été enregistrées entre le 4 octobre 2018 et le 17 septembre 2019. La deuxième plus élevée était mailappzone.com qui compte 410 résolutions sur une période de 3 mois entre le 23 juillet 2020 et le 15 octobre 2020.
Amnesty International pense que chacune de ces résolutions de sous-domaine, 1748 au total, représente une tentative de compromission d’un appareil avec Pegasus. Ces 23 domaines représentent moins de 7 % des 379 domaines du serveur d’installation Pegasus que nous avons identifiés. Sur la base de ce petit sous-ensemble, Pegasus a peut-être été utilisé dans des milliers d’attaques au cours des trois dernières années.
10. Appareils mobiles, sécurité et auditabilité
Une grande partie du ciblage décrit dans ce rapport implique des attaques Pegasus ciblant les appareils iOS. Il est important de noter que cela ne reflète pas nécessairement la sécurité relative des appareils iOS par rapport aux appareils Android, ou à d’autres systèmes d’exploitation et fabricants de téléphones.
D’après l’expérience d’Amnesty International, il y a beaucoup plus de traces médico-légales accessibles aux enquêteurs sur les appareils Apple iOS que sur les appareils Android d’origine, c’est pourquoi notre méthodologie se concentre sur les premiers. En conséquence, les cas les plus récents d’infections confirmées par Pegasus ont impliqué des iPhones.
Cette enquête et toutes les enquêtes précédentes démontrent à quel point les attaques contre les appareils mobiles constituent une menace importante pour la société civile dans le monde. La difficulté non seulement à prévenir, mais à détecter à titre posthume les attaques est le résultat d’une asymétrie insoutenable entre les capacités facilement accessibles aux attaquants et les protections inadéquates dont bénéficient les personnes à risque.
Alors que les appareils iOS fournissent au moins quelques diagnostics utiles, les enregistrements historiques sont rares et facilement falsifiés. D’autres appareils offrent peu ou pas d’aide pour effectuer des analyses médico-légales consensuelles. Bien que beaucoup puisse être fait pour améliorer la sécurité des appareils mobiles et atténuer les risques d’attaques telles que celles documentées dans ce rapport, il est possible d’en faire encore plus en améliorant la capacité des propriétaires d’appareils et des experts techniques à effectuer des contrôles réguliers de l’intégrité du système. .
Par conséquent, Amnesty International encourage vivement les fournisseurs d’appareils à explorer des options pour rendre leurs appareils plus contrôlables, sans bien sûr sacrifier les protections de sécurité et de confidentialité déjà en place. Les développeurs de plateformes et les fabricants de téléphones devraient engager régulièrement des conversations avec la société civile pour mieux comprendre les défis auxquels sont confrontés les DDH, qui sont souvent sous-représentés dans les débats sur la cybersécurité.
11. Avec notre Méthodologie, nous publions nos outils et indicateurs
Pendant longtemps, trier l’état d’un appareil mobile présumé compromis a été considéré comme une tâche presque impossible, en particulier au sein des communautés de défense des droits humains dans lesquelles nous travaillons. Grâce au travail du laboratoire de sécurité d’Amnesty International, nous avons développé des capacités importantes qui peuvent profiter à nos pairs et collègues soutenant les militants, les journalistes et les avocats qui sont en danger.
Par conséquent, à travers ce rapport, nous partageons non seulement la méthodologie que nous avons construite au fil des années de recherche, mais également les outils que nous avons créés pour faciliter ce travail, ainsi que les indicateurs de compromis Pegasus que nous avons collectés.
Tous les indicateurs de compromission sont disponibles sur notre GitHub , y compris les noms de domaine de l’infrastructure Pegasus, les adresses e-mail récupérées à partir des recherches de compte iMessage impliquées dans les attaques et tous les noms de processus identifiés par Amnesty International comme associés à Pegasus.
Amnesty International publie également un outil que nous avons créé, appelé Mobile Verification Toolkit (MVT) . MVT est un outil modulaire qui simplifie le processus d’acquisition et d’analyse des données des appareils Android, ainsi que l’analyse des enregistrements des sauvegardes iOS et des vidages du système de fichiers, en particulier pour identifier les traces potentielles de compromission.
MVT peut être fourni avec des indicateurs de compromission au format STIX2 et identifiera tous les indicateurs correspondants trouvés sur l’appareil. En conjonction avec les indicateurs Pegasus, MVT peut aider à identifier si un iPhone a été compromis.
Entre autres, certaines des caractéristiques de MVT incluent :
Décryptez les sauvegardes iOS cryptées.
Traitez et analysez les enregistrements de nombreuses bases de données et journaux système du système et des applications iOS.
Extrayez les applications installées des appareils Android.
Extrayez les informations de diagnostic des appareils Android via le protocole adb.
Comparez les enregistrements extraits à une liste fournie d’indicateurs malveillants au format STIX2. Identifiez automatiquement les messages SMS malveillants, les sites Web visités, les processus malveillants, etc.
Générez des journaux JSON des enregistrements extraits et séparez les journaux JSON de toutes les traces malveillantes détectées.
Générez une chronologie unifiée des enregistrements extraits, ainsi qu’une chronologie de toutes les traces malveillantes détectées.
Remerciements
Le laboratoire de sécurité d’Amnesty International souhaite remercier tous ceux qui ont soutenu cette recherche. Les outils publiés par la communauté de recherche sur la sécurité iOS, notamment libimobiledevice et checkra1n, ont été largement utilisés dans le cadre de cette recherche. Nous tenons également à remercier Censys et RiskIQ pour avoir fourni l’accès à leur analyse Internet et à leurs données DNS passives.
Amnesty International souhaite remercier Citizen Lab pour ses recherches importantes et approfondies sur NSO Group et d’autres acteurs contribuant à la surveillance illégale de la société civile. Amnesty International remercie Citizen Lab pour son évaluation par les pairs de ce rapport de recherche .
Enfin, Amnesty International souhaite remercier les nombreux journalistes et défenseurs des droits humains qui ont courageusement collaboré pour rendre cette recherche possible.
Annexe A : Examen par les pairs du rapport méthodologique par Citizen Lab
Le Citizen Lab de l’Université de Toronto a évalué de manière indépendante par des pairs une ébauche de la méthodologie médico-légale décrite dans ce rapport. Leur avis est disponible ici .
Annexe B : Recherches de comptes iCloud suspectes
Cette annexe montre le chevauchement des comptes iCloud trouvés recherchés sur les appareils mobiles de différentes cibles. Cette liste sera progressivement mise à jour.
Compte iCloud
Cibler
emmaholm575[@]gmail.com
• AZJRN1 – Khadija Ismayilova
filip.bl82[@]gmail.com
• AZJRN1 – Khadija Ismayilova
kleinleon1987[@]gmail.com
• AZJRN1 – Khadija Ismayilova
bergers.o79[@]gmail.com
• Omar Radi• FRHRL1 – Joseph Breham• FRHRL2• FRJRN1 – Lenaig Bredoux• FRJRN2• FRPOI1• FRPOI2 – François de Rugy
naomiwerff772[@]gmail.com
• Omar Radi• FRHRL1 – Joseph Breham• FRPOI1
bogaardlisa803[@]gmail.com
• FRHRL1 – Joseph Breham• FRJRN1 – Lenaig Bredoux• FRJRN2
linakeller2203[@]gmail.com
• FRHRD1 – Claude Mangin• FRPOI3 – Philippe Bouyssou• FRPOI4• FRPOI5 – Oubi Buchraya Bachir• MOJRN1 – Hicham Mansouri
Cette annexe contient des ventilations détaillées des traces médico-légales récupérées pour chaque cible. Cette annexe sera progressivement mise à jour.
C.1 Aperçu des traces médico-légales pour Maati Monjib
Date (UTC)
Événement
2017-11-02 12:29:33
SMS Pegasus avec lien vers hxxps://tinyurl[.]com/y73qr7mb redirigeant vers hxxps :/ /revolution-news[.]co /ikXFZ34ca
2017-11-02 16:42:34
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /vi78ELI
2017-11-02 16:44:00
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /vi78ELI à partir de +212766090491
2017-11-02 16:45:10
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 16:57:00
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:13:45
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:21:57
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:30:49
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-02 17:40:46
SMS Pegasus avec lien vers Hxxps:// stopsms[.]biz /bi78ELI à partir de +212766090491
2017-11-15 17:05:17
SMS Pegasus avec lien vers hxxps:// videosdownload[.]co /nBBJBIP
2017-11-20 18:22:03
SMS Pegasus avec lien vers hxxps:// infospress[.]com /LqoHgMCEE
2017-11-24 13:43:17
SMS Pegasus avec lien vers hxxps://tinyurl[.]com/y9hbdqm5 redirigeant vers hxxps:// hmizat[.]co /JaCTkfEp
2017-11-24 17:26:09
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /2Kj2ik6
2017-11-27 15:56:10
SMS Pegasus avec lien vers hxxps:// stopsms[.]biz /yTnWt1Ct
2017-11-27 17:32:37
SMS Pegasus avec lien vers hxxps:// hmizat[.]co /ronEKDVaf
2017-12-07 18:21:57
SMS Pegasus avec lien vers hxxp://tinyurl[.]com/y7wdcd8z redirigeant vers hxxps:// infospress[.]com /Ln3HYK4C
2018-01-08 12:58:14
SMS Pegasus avec lien vers hxxp://tinyurl[.]com/y87hnl3o redirigeant vers hxxps:// infospress[.]com /asjmXqiS
2018-02-09 21:12:49
Processus : pcsd
16/03/2018 08:24:20
Processus : pcsd
2018-04-28 22:25:12
Processus : bh
2018-05-04 21:30:45
Processus : pcsd
2018-05-21 21:46:06
Processus : fmld
2018-05-22 17:36:51
Processus : bh
2018-06-04 11:05:43
Processus : fmld
2019-03-27 21:45:10
Processus : bh
2019-04-14 23:02:41
Favicon Safari de l’URL hxxps://c7r8x8f6zecd8j.get1tn0w. free247downloads[.]com :30352/Ld3xuuW5
2019-06-27 20:13:10
Favicon Safari de l’URL hxxps://3hdxu4446c49s.get1tn0w. free247downloads[.]com :30497/pczrccr#052045871202826837337308184750023238630846883009852
2019-07-22 15:42:32
Visite Safari à hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz
2019-07 22 15:42:32
Visite Safari à hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz#048634787343287485982474853012724998054718494423286
2019-07-22 15:43:06
Favicon Safari de l’URL hxxps://bun54l2b67.get1tn0w. free247downloads[.]com :30495/szev4hz#048634787343287485982474853012724998054718494423286
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://c7r8x8f6zecd8j.get1tn0w. free247downloads[.]com
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://bun54l2b67.get1tn0w. free247downloads[.]com
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://keewrq9z.get1tn0w. free247downloads[.]com
n / A
Fichier WebKit IndexedDB pour l’URL hxxps://3hdxu4446c49s.get1tn0w. free247downloads[.]com
C.2 Aperçu des traces médico-légales pour Omar Radi
Date (UTC)
Événement
2019-02-11 14:45:45
Fichier Webkit IndexedDB pour l’URL hxxps://d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com
2019-02-11 13:45:53
Favicon Safari de l’URL hxxps://d9z3sz93x5ueidq3.get1tn0w. free247downloads[.]com :30897/rdEN5YP
2019-02-11 13:45:56
Processus : bh
2019-02-11 13:46:16
Processus : roleaboutd
2019-02-11 13:46:23
Processus : roleaboutd
2019-02-11 16:05:24
Processus : roleaboutd
2019-08-16 17:41:06
Recherche iMessage pour le compte bergers.o79[@]gmail.com
2019-09-13 15:01:38
Favicon Safari pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse#011356570257117296834845704022338973133022433397236
2019-09-13 15:01:56
Favicon Safari pour l’URL hxxps://2far1v4lv8.get1tn0w. free247downloads[.]com :31052/meunsnyse#068099561614626278519925358638789161572427833645389
2019-09-13 15:02:11
Processus : bh
2019-09-13 15:02:20
Processus : msgacntd
2019-09-13 15:02:33
Processus : msgacntd
2019-09-14 15:02:57
Processus : msgacntd
2019-09-14 18:51:54
Processus : msgacntd
2019-10-29 12:21:18
Recherche iMessage pour le compte naomiwerff772[@]gmail.com
2020-01-27 10:06:24
Favicon Safari pour l’URL hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946
2020-01-27 10:06:26
Visite Safari à hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#2
2020-01-27 10:06:26
Visite Safari à hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946#24
2020-01-27 10:06:32
Favicon Safari pour l’URL hxxps://gnyjv1xltx.info8fvhgl3. urlpush[.]net :30875/zrnv5revj#074196419827987919274001548622738919835556748325946%2324
Annexe D : Traces médico-légales de Pegasus par cible
[1] Les preuves techniques fournies dans le rapport comprennent les recherches médico-légales menées dans le cadre du projet Pegasus ainsi que des recherches supplémentaires menées par Amnesty International Security Lab depuis la création du Security Lab en 2018.
Maroc : les autorités ne doivent pas expulser les Ouïghours détenus vers la Chine
Les autorités marocaines ne doivent pas expulser Idris Hasan, un Ouïghour détenu dans le pays, vers la Chine où il risque d’être torturé, a déclaré Amnesty International aujourd’hui.
Hasan, 34 ans, père de trois enfants, a été arrêté après avoir pris l’avion pour le Maroc depuis la Turquie la semaine dernière, et emmené dans une prison près de la ville de Tiflet. Il a téléphoné à sa femme Zaynura vendredi dernier (23 juillet) et lui a dit qu’il pensait qu’il serait bientôt expulsé vers la Chine.
Zaynura a déclaré à Amnesty International : « Hasan a déclaré : ‘Ils m’ont emmené en prison à la demande de la Chine. S’il vous plaît soyez rapide, ou ils vont me renvoyer en Chine’.
Hasan, informaticien, possède la nationalité chinoise et un permis de séjour turc. On n’a plus eu de ses nouvelles depuis ce vendredi, et Amnesty International pense qu’il risque d’être détenu arbitrairement et torturé s’il est renvoyé de force en Chine.
« Les autorités marocaines doivent garantir à Idris Hasan un accès immédiat à un avocat, la possibilité de contester toute mesure d’éloignement, et permettre à sa famille de le contacter pour assurer sa sécurité », a déclaré Joanne Mariner, directrice du programme de réponse aux crises d’Amnesty International.
« Expulser Idris Hasan vers la Chine, où les Ouïghours et d’autres minorités ethniques sont confrontés à une horrible campagne d’internement de masse, de persécution et de torture, violerait le droit international.
« Le principe de non-refoulement garantit que personne ne doit être renvoyé dans un pays où il serait exposé à un risque réel de torture ou d’autres peines ou traitements cruels, inhumains ou dégradants, et d’autres violations graves des droits humains.
Contexte
Idris Hasan vit en Turquie depuis 2012, avec sa femme Zaynura et leurs trois enfants. Sa femme et ses enfants ont un permis de séjour permanent en Turquie, mais son permis de séjour est classé comme « humanitaire ».
Le gouvernement chinois considérerait Hasan comme un « terroriste », en raison du travail qu’il a déjà effectué pour des organisations ouïghoures. La loi chinoise définit le « terrorisme » et « l’extrémisme » de manière trop large et vague, et a été utilisée pour réprimer les Ouïghours et d’autres minorités ethniques.
Le mois dernier, Amnesty International a publié un rapport révélant comment des centaines de milliers d’hommes et de femmes musulmans dans la région autonome ouïghoure du Xinjiang en Chine sont soumis à des détentions de masse arbitraires, à l’endoctrinement et à la torture.
Dans le rapport de 160 pages intitulé « Comme nous étions des ennemis dans une guerre » : l’internement de masse, la torture et la persécution des musulmans au Xinjiang en Chine, l’ équipe d’intervention en cas de crise d’Amnesty International a publié des dizaines de nouveaux témoignages d’anciens détenus détaillant les mesures extrêmes prises par les Chinois autorités depuis 2017 pour éradiquer essentiellement les croyances et les traditions religieuses islamiques, ainsi que les pratiques culturelles et les langues locales des groupes ethniques musulmans de la région.
Perpétrés sous couvert de lutte contre le « terrorisme », ces crimes ont visé les Ouïghours, les Kazakhs, les Hui, les Kirghizes, les Ouzbeks et les Tadjiks.
Amnesty International a également lancé une campagne appelant à la fermeture des camps d’internement, avec plus de 60 dossiers détaillés sur certains de ceux qui seraient actuellement détenus.
Le projet Pegasus – Une enquête mondiale Lettre de l’éditeur Par Sally Buzbee
Cher lecteur,
Aujourd’hui, le Washington Post se joint à des organismes de presse du monde entier pour vous faire part d’un sujet important. La surveillance numérique est omniprésente dans notre société, et les nouvelles technologies offrent plus que jamais le pouvoir de suivre chaque aspect de notre vie quotidienne. Le risque d’abus n’a jamais été aussi grand. Dans la plupart des pays, il n’existe pas de règles ou de normes efficaces limitant les entreprises privées qui vendent des technologies de surveillance aux gouvernements ou autres.
C’est pourquoi nous avons consacré des ressources extraordinaires pour rejoindre le projet Pegasus.
Le projet a été conçu par Forbidden Stories, une association de journalisme à but non lucratif basée à Paris, qui, avec Amnesty International, un groupe de défense des droits de l’homme, a eu accès à des documents qui ont servi de base à notre reportage : une liste de plus de 50 000 numéros de téléphone portable concentrés dans des pays connus pour surveiller leurs citoyens et également connus pour avoir été clients de NSO Group, une entreprise privée israélienne qui est un leader mondial dans le domaine de la surveillance privée. NSO est le développeur de Pegasus, un puissant outil d’espionnage, et affirme avoir 60 agences gouvernementales clientes dans 40 pays, qu’elle ne nommera pas. La société affirme qu’elle n’accorde de licences pour son logiciel qu’à des gouvernements contrôlés et que Pegasus est destiné à cibler les criminels – trafiquants de drogue, terroristes, pédophiles – et non les citoyens ordinaires.
NSO affirme qu’elle n’exploite pas les logiciels dont elle concède la licence. Elle maintient qu’elle suit les normes éthiques les plus strictes et surveille ses clients en matière de violations des droits de l’homme. Néanmoins, le Pegasus Project a examiné les numéros figurant sur la liste pour identifier des dizaines de smartphones appartenant à des journalistes, des militants des droits de l’homme et d’autres personnes qui ont été infectés ou soumis à des tentatives de pénétration par le logiciel de NSO. Bien que l’objectif de la liste n’ait pu être déterminé de manière concluante, il s’agit d’un document fascinant. Sur les plus de 1 000 identités qui ont pu être confirmées, on compte au moins 85 militants des droits de l’homme, 65 chefs d’entreprise, plusieurs membres de familles royales arabes, 189 journalistes et 600 fonctionnaires et hommes politiques, répartis dans plus de 50 pays. Parmi les journalistes figurent des reporters d’investigation qui ont mené une croisade contre la corruption au sein des gouvernements, tandis que parmi les hommes politiques figurent des figures de proue de l’opposition dans des pays aux dirigeants autoritaires. Plusieurs chefs d’État et premiers ministres figuraient sur la liste.
Forbidden Stories et Amnesty International ont eu accès à cette liste. Sur la base des rapports que nous avons établis avec le consortium, nous sommes convaincus que ces documents donnent un aperçu précis et révélateur de l’omniprésence de la surveillance privée.
Plus de 80 journalistes de Forbidden Stories, du Monde, de la Süddeutsche Zeitung, de Die Zeit, du Washington Post, du Guardian, de Daraj, de Direkt36, du Soir, de Knack, de Radio France, de the Wire, de Proceso, d’Aristegui Noticias, du Organized Crime and Corruption Reporting Project, de Haaretz et de PBS Frontline ont participé à cette enquête. Les journalistes ont passé des mois à réaliser des reportages et des entretiens sur quatre continents. Le Security Lab d’Amnesty a effectué l’analyse des smartphones.
Citizen Lab, un groupe de recherche indépendant de l’université de Toronto qui s’est spécialisé dans le suivi des infections par Pegasus au cours des dernières années, a examiné les méthodes d’expertise d’Amnesty et les données provenant de quatre téléphones portables et a approuvé les analyses d’Amnesty.
NSO affirme que la liste de plus de 50 000 numéros ne montre probablement rien d’autre que la collecte innocente de données à des fins commerciales, et non de surveillance. Elle affirme que les conclusions du projet Pegasus sont erronées et sans fondement. Elle invoque des obligations de confidentialité pour ne pas identifier ses clients et affirme ne pas connaître les détails de leur collecte de renseignements.
L’un des experts que nous citons dans notre rapport expose clairement le problème : « L’humanité n’est pas dans un endroit où nous pouvons avoir autant de pouvoir accessible à n’importe qui. »
Le Post est fier de participer à des reportages qui mettent en lumière de telles informations.
En France, la plainte portée par l’Etat marocain n’est pas la première dans son genre. Le 27 février 2015, le Maroc a assigné en justice le franco-marocain Zakaria Moumni qui avait dénoncé sur deux chaïnes de télévision françaises des actes de torture à son encontre dans les prisons du roi Mohammed VI.
Le 10 mai 2019, la Cour de Cassation de Paris s’est prononcé sur l’affaire et son verdict était d’un raisonnement d’une simplicité biblique. Elle a repoussé tous les recours de l’Etat marocain pour défendre sa plainte contre l’ex-champion de boxe marocain. Un État n’est pas un « particulier ». Il ne peut donc engager une procédure en diffamation « envers les particuliers », comme le prévoit la loi sur la liberté de la presse du 29 juillet 1881.
Le verdict précise que « l’article 32, alinéa 1er, de la loi du 29 juillet 1881 sur la liberté de la presse ne permet pas à un Etat, qui ne peut pas être assimilé à un particulier au sens de ce texte, d’engager une poursuite en diffamation ». « En droit interne, la liberté d’expression est une liberté fondamentale qui garantit le respect des autres droits et libertés. Les atteintes portées à son exercice doivent être nécessaires, adaptées et proportionnées à l’objectif poursuivi. Il en est de même au sens de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (pourvoi n° 18-82.737) ».
« A la supposer invocable, il ne résulte pas de l’article 8 de ladite Convention qu’un Etat peut se prévaloir de la protection de sa réputation pour limiter l’exercice de cette liberté (pourvoi n° 18-82.737). De même, il ne résulte pas de la jurisprudence de la Cour européenne des droits de l’homme que les organes de la Convention peuvent créer, par voie d’interprétation de son article 6, § 1, un droit matériel de caractère civil qui n’a aucune base légale dans l’Etat concerné (pourvois n°s 17-84.509 et 17-84.511) ».
« Ainsi, il n’existe aucun droit substantiel, dont le droit processuel devrait permettre l’exercice en organisant un accès au juge de nature à en assurer l’effectivité ».
« En conséquence, aucun Etat, qui soutient être victime d’une diffamation, ne peut agir en réparation du préjudice qui en résulterait ».
Par conséquent, pour l’action en diffamation intentée par le Maroc devant le Tribunal correctionnel de Paris contre Forbidden Stories et Amnesty International, un État ne peut être victime de diffamation en droit français. De ce fait, il y a lieu de conclure que la plainte de l’Etat marocain n’a d’autre but que celui d’amuser la foule marocaine remontée par les déclarations incendiaires de ses responsables.
Le parquet de Paris a ouvert mardi une enquête sur l’espionnage de journalistes français dont l’infiltration de téléphones par le logiciel Pegasus pour le compte de l’Etat marocain, a été révélé dimanche par un consortium de médias, a-t-il annoncé dans un communiqué. Cette enquête a été ouverte pour une longue liste de dix infractions dont « atteinte à la vie privée », « interception de correspondance », « accès frauduleux » à un système informatique et « association de malfaiteurs ».
Elle fait suite à la plainte déposée par le site Mediapart, dont deux journalistes ont été espionnés, à laquelle doit s’ajouter une plainte similaire du Canard enchaîné. L’enquête vise également d’autres infractions d’atteintes à un système informatique, telles que l’introduction, l’extraction et la transmission frauduleuses de données, qui peuvent être potentiellement reprochées aux utilisateurs de Pegasus. Elle concerne aussi la « mise à disposition et détention d’un équipement » permettant des atteintes à un système de données et « l’offre et la vente sans autorisation d’un dispositif de captation de données », qui visent cette fois potentiellement la commercialisation du logiciel et les intermédiaires impliqués.
Plusieurs médias dont Le Monde, le Guardian et le Washington Post ont révélé dimanche que le fondateur de Mediapart Ewdy Plenel et la journaliste de son média Lénaïg Bredoux avaient été espionnés par les services secrets marocains. Le Canard Enchaîné, lui, aurait été visé notamment à travers son ancienne collaboratrice Dominique Simmonnot, aujourd’hui contrôleure générale des lieux de privation de liberté, qui a également annoncé qu’elle allait saisir personnellement la justice. Les investigations ont été confiées à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), a précisé le parquet.
Selon l’enquête publiée dimanche par un consortium de 17 médias internationaux, le logiciel Pegasus, élaboré par l’entreprise sioniste NSO Group, aurait permis d’espionner les numéros d’au moins 180 journalistes, 600 hommes et femmes politiques, 85 militants des droits humains ou encore 65 chefs d’entreprise de différents pays. Le logiciel espion Pegasus, introduit dans un smartphone, permet d’en récupérer les messages, photos, contacts et même d’écouter les appels de son propriétaire.
Ces révélations ont suscité l’indignation dans le monde entier d’organisations de défense des droits humains, de médias et de dirigeants politiques. NSO, régulièrement accusé de faire le jeu de régimes autoritaires, assure que son logiciel sert uniquement à obtenir des renseignements contre des réseaux criminels ou terroristes.
Le travail mené par les 17 médias, dont les quotidiens français Le Monde, britannique The Guardian et américain The Washington Post, se fonde sur une liste obtenue par le réseau basé en France Forbidden Stories et l’ONG Amnesty International. Elle compte, selon eux, 50.000 numéros de téléphone sélectionnés par les clients de NSO depuis 2016 pour une surveillance potentielle.
VIA PEGASUS Une enquête journalistique internationale révèle l’espionnage de 50 000 militants et hommes politiques L’enquête de Forbidden Stories montre un abus mondial de l’arme de la cybersurveillance par le biais de données qui auraient été vendues à des régimes autoritaires dans au moins dix pays.
Des militants des droits de l’homme, des journalistes et des avocats du monde entier ont été espionnés par des gouvernements utilisant un logiciel de piratage connu sous le nom de Pegasus et vendu par la société de surveillance israélienne NSO Group, selon une enquête menée par un consortium comprenant le Guardian, Le Monde, Süddeutsche Zeitung et le Washington Post, parmi 16 autres médias. Une violation massive des données de l’entreprise a révélé une liste de plus de 50 000 numéros de téléphone censés avoir été identifiés comme des cibles potentielles par les clients de NSO depuis 2016. Parmi eux, le journaliste espagnol et collaborateur d’El Confidencial Ignacio Cembrero, qui couvre l’actualité marocaine depuis des décennies.
NSO affirme que son produit n’est destiné qu’à acquérir des données auprès de « criminels et de terroristes », mais l’enquête montre la portée mondiale de l’abus d’une arme de cybersurveillance que l’entreprise israélienne aurait vendue à des gouvernements, pour la plupart autoritaires, dans au moins dix pays : l’Azerbaïdjan, le Bahreïn, le Kazakhstan, le Mexique, le Maroc, le Rwanda, l’Arabie saoudite, la Hongrie, l’Inde et les Émirats arabes unis (EAU). Il est impossible de déterminer si les appareils dont les numéros ont été divulgués ont finalement été piratés, car les données montrent seulement que les clients de NSO les ont identifiés en prélude à un éventuel espionnage.
La recherche révèle que le Mexique est le pays qui a collecté le plus de numéros de téléphone. En deuxième position, on trouve le Maroc et les Émirats arabes unis, qui auraient sélectionné plus de 10 000 numéros de téléphone. La liste marocaine comprend le numéro de Cembrero. « Les services secrets marocains ont placé le logiciel malveillant israélien Pegasus, fabriqué par NSO, sur mon téléphone portable », affirme le journaliste. « Mon téléphone portable a été espionné en 2019, mais à cause d’une erreur commise dans un journal officialiste marocain, je suis sûr qu’il est encore espionné aujourd’hui. Ce journal a reproduit deux conversations que je n’ai eues que via WhatsApp. Les services secrets marocains s’intéressent à mes conversions, mais leur priorité était mon répertoire téléphonique, me dit-on dans l’équipe d’enquête », ajoute-t-il. L’un des cas de journalistes potentiellement espionnés par « Pegasus » qui a le plus résonné est celui du Mexicain Cecilio Pineda, assassiné en 2017 et qui figure deux fois sur la liste. La deuxième fois que son nom a été enregistré, c’était quelques jours avant qu’il ne soit abattu sur une moto alors qu’il attendait dans une station de lavage de voitures. Jusqu’à présent, son téléphone n’a pas été retrouvé, de sorte qu’aucune analyse médico-légale n’a pu être effectuée pour déterminer s’il était infecté par le logiciel de NSO. La société se défend en disant qu’il n’y a aucune preuve que le meurtre est lié. Les cas de Cembrero et de Pineda ne sont pas uniques. Plus de 180 journalistes du Financial Times, CNN, New York Times, France 24, The Economist, Associated Press et Reuters font partie des données.
‘Forbidden Stories’, basée à Paris, est une organisation à but non lucratif qui dépend du soutien financier public. Grâce à la collaboration entre journalistes, elle a formé un consortium de médias locaux et internationaux pour enquêter sur le « Projet Pegasus ». Amnesty International a également eu accès à la liste qui a fait l’objet d’une fuite et qui a été partagée. Amnesty International publiera le premier chapitre de cette exclusivité mondiale à 21 heures en Espagne. Elle révélera l’identité des personnes figurant sur la liste, notamment des hommes d’affaires, des personnalités religieuses, des universitaires, des membres d’ONG, des syndicats et des fonctionnaires. Ce n’est pas la première fois que Pegasus fait la une des journaux. À l’automne 2019, Facebook a annoncé que l’entreprise israélienne avait exploité la vulnérabilité de WhatsApp pour espionner une centaine de militants. Les deux sociétés américaines ont déposé une plainte en Californie contre les sociétés israéliennes NSO Group Technologies Ltd et Q Cyber Technologies Ltd, les accusant d’utiliser les serveurs de l’application de messagerie pour acheminer le logiciel espion, en le déguisant en appels, en messages ou en demandes apparemment inoffensives de modification de la configuration. « Entre avril et mai 2019, les défendeurs ont également utilisé et fait utiliser les serveurs relais de WhatsApp sans autorisation pour envoyer des paquets de données chiffrées destinés à activer le code malveillant injecté dans la mémoire des appareils cibles », ajoute la plainte. La même année, une autre enquête journalistique a révélé que 1 400 numéros de téléphone dans le monde avaient été ciblés par Pegasus, dont le téléphone portable de Roger Torrent, alors président du parlement catalan.
