Olvid vs. Pegasus


L’affaire Pegasus a fait couler beaucoup d’encre ces derniers jours et Olvid a été interpellée à plusieurs reprises sur cette affaire. Nous apportons ici notre éclairage sur ce sujet et plus généralement sur les risques liés à l’utilisation de messageries instantanées, y compris de celles qui se prétendent sécurisées.

Qu’est-ce que Pegasus ?

Pegasus est un logiciel espion, vendu depuis plusieurs années par NSO Group à divers États à travers le monde, dans le but de surveiller certaines cibles (journalistes, activistes, hommes politiques, etc.).

Sur la base d’un simple numéro de téléphone, ce logiciel est capable d’infecter, sans intervention utilisateur, un smartphone Android ou iOS afin de le placer sous surveillance. Pour cela, il s’appuie sur différentes failles « zero-day » des systèmes d’exploitation, c’est-à-dire des vulnérabilités inconnues des éditeurs, grâce auxquelles ce logiciel peut « élever ses privilèges » afin d’obtenir les mêmes droits d’accès que le système d’exploitation lui-même. En pratique, ce logiciel peut donc avoir accès à tout ce qui est affiché sur le smartphone, tout ce qui est saisi par l’utilisateur, tout ce qui y est stocké (y compris les données privées des applications, ou l’historique de navigation), ainsi qu’à tous les capteurs de l’appareil (micro, géolocalisation, etc.). Le rôle de ce logiciel est évidemment de remonter les informations collectées à l’État ayant commandité l’opération.

Comment savoir si mon smartphone a été infecté par Pegasus ?

La force de Pegasus, et ce qui lui a permis de rester indétecté aussi longtemps, est justement sa capacité à ne laisser quasiment aucune trace. Il est donc impossible pour le grand public de savoir si oui ou non il a été infecté. Certaines sociétés spécialisées (comme Tehtris en France) sont aujourd'hui capables d’analyser le contenu d’un smartphone pour y détecter des traces de Pegasus.

Pour ceux qui ont les compétences techniques suffisantes (ou qui connaissent quelqu’un capable de les aider), l’outil MVT (Mobile Verification Toolkit) publié en open source par Amnesty International Security Lab permet également de rechercher des traces d’infection sur son smartphone. Si vous avez un doute, cela vaut la peine d’essayer cet outil.

Cependant, Pegasus a vocation à évoluer, et ce qui le rend détectable aujourd’hui pourrait disparaître dans le futur.

Que faire si j’ai été infecté, ou si je pense avoir été ciblé ?

Si détecter la présence d’un malware est difficile, il est en général encore plus compliqué de garantir sa suppression. Dans le cas de Pegasus, c’est la même chose.

À notre connaissance, le logiciel Pegasus n’exploite que des failles logicielles. Il est donc « suffisant » de réinstaller le système d’exploitation de son smartphone pour le nettoyer. Notez que rétablir les paramètres d’usine n’est pas forcément suffisant. Sur un iPhone, par exemple, il faut passer l’appareil en mode récupération et le réinitialiser depuis un ordinateur (voir https://support.apple.com/fr-fr/HT201263).

Attention, certains malwares exploitent des vulnérabilités matérielles. Citons par exemple Lojax (voir l’épisode nolimitsecu sur le sujet) qui persiste après une réinstallation complète de Windows car il est installé directement au niveau « BIOS » de la machine. Dans ces cas là, le nettoyage le plus simple est de racheter une nouvelle machine ! Il n’est pas exclu que Pegasus puisse exploiter un jour de telles vulnérabilités, nécessitant alors de changer de téléphone en cas d’infection.

Comment éviter de se faire infecter ou infecter à nouveau ?

Gardons tout d’abord à l’esprit que Pegasus n’est pas un outil de surveillance de masse, mais un outil d’attaque ciblé. La plupart d’entre nous n’a donc pas de raison de s’alarmer. En revanche, le nombre de cibles de Pegasus est énorme (au moins 50000 personnes) donc beaucoup de personnes ont des raisons de se sentir concernées et il n’est pas exclu que d’autres outils similaires à Pegasus fonctionnent à plus grande échelle.

Afin de comprendre comment se protéger, il faut étudier le mode d’infection de Pegasus. Tous les modes d’infection ne sont pas encore connus, mais les principaux sont :

  • la réception d’un SMS, message WhatsApp, etc. contenant une charge virale
  • la connexion à un réseau WiFi malveillant
  • l’accès physique au téléphone pour une installation manuelle

Ces deux derniers vecteurs de contamination nécessitent un contact rapproché les rendants beaucoup plus difficiles à mettre en œuvre, mais également quasi impossible à éviter. Il s’agit donc de se protéger du premier vecteur de contamination.

Comme démontré par le fichier qui a fuité dans l’affaire Pegasus, les cibles étaient identifiées par leur numéro de téléphone. La plupart des messageries (WhatsApp, Signal, Telegram, etc.), comme les SMS, permettent de recevoir du contenu de n’importe qui, sans consentement, dès lors qu’il connaît votre numéro de téléphone. Ce sont donc des vecteurs idéaux pour l’exploitation de vulnérabilités.

Une solution drastique serait de se couper du reste du monde et de demander à ses proches de faire de même. Cette solution n’est bien sûr pas réaliste aujourd’hui. Des méthodes moins radicales permettent de limiter les risques, comme nous l’indiquons dans les bonnes pratiques, mais il faudra faire des concessions.

Bonnes pratiques pour rester connectés, sans risque, avec Olvid


Pour limiter les risques d’infection

Désactiver ou désinstaller tout ce qui permet de recevoir du « contenu riche » de manière non sollicitée

La charge virale d’un malware ne transite en général pas par un simple message texte, mais via un fichier multimédia (photo, vidéo, message vocal, etc.) qui exploite une faille de la libraire de décompression, ou un lien vers un site malveillant.

Il faut donc désinstaller et cesser d’utiliser tout moyen de communication permettant de recevoir des contenus de cette nature de façon non sollicitée, en particulier lorsque votre numéro de téléphone est suffisant pour vous envoyer du contenu. Parmi les exemples les plus évidents : WhatsApp et Telegram.

Vous pouvez en revanche continuer à utiliser Olvid, dont le modèle de sécurité vous garantit de pouvoir rester connecté tout en vous protégeant totalement des messages non sollicités. L’une des particularités d’Olvid, fondamentale pour se protéger contre Pegasus, est de ne pas utiliser votre numéro de téléphone comme identifiant et d’apporter une garantie cryptographique sur l’origine des messages que vous recevez.

Évitez d’utiliser des moyens de communication à base d’annuaire

Nous avons beaucoup parlé du numéro de téléphone comme façon de cibler un smartphone spécifique, mais de façon plus générale, tout système permettant à l’attaquant de déterminer facilement votre « identité numérique » pour vous contacter présente le même risque. Toutes les messageries chiffrées de bout en bout (à l’exception d’Olvid) utilisent un annuaire que n’importe qui peut interroger afin d’initier une communication. Cela peut sembler très pratique à première vue (c’est ce qui permet à WhatsApp de vous découvrir des amis après avoir aspiré votre carnet d’adresse), mais c’est une faille de sécurité monumentale.

Non seulement cet annuaire pose un problème en termes de collecte de données personnelles, mais l’affaire Pegasus met en exergue la véritable faille que cela représente.

Olvid est la seule messagerie apportant une vraie garantie sur l’authenticité et la confidentialité de vos communications, sans s’appuyer sur un annuaire centralisé. C’est ce qui nous amène à faire la recommandation suivante.

Séparer la partie « smart » de la partie « phone »

Si votre activité vous oblige à partager un numéro de téléphone « public » pour recevoir des appels téléphoniques de personnes que vous ne connaissez pas a priori, nous vous recommandons d’utiliser deux téléphones : un premier dédié à la téléphonie (idéalement un vieux GSM qui ne risque pas de faire fuiter la moindre information) et un smartphone.

Votre smartphone n’a alors besoin d’une carte SIM que pour avoir accès à Internet en mobilité. Pour que son numéro ne soit jamais divulgué, n’utilisez aucune messagerie qui vous le demande, faute de quoi il serait rendu public comme démontré dans un article d’un groupe de chercheurs des universités de Würzburg et Darmstadt.

Votre smartphone peut également fonctionner sans SIM, juste avec du WiFi (attention toutefois aux réseaux malveillants), ou avec une clé 4G indépendante. Méfiez-vous des partages de connexion car il n’est pas exclu que Pegasus puisse se propager de cette manière.

Olvid n’accède pas à votre numéro de téléphone et ne risque donc pas de le divulguer (Olvid fonctionne d’ailleurs aussi sur tablette, ou sur un téléphone sans SIM). Nous vous recommandons donc son installation sur votre smartphone.

Si vous êtes Emmanuel Macron, nous allons même un peu plus loin et vous recommandons de changer régulièrement la SIM de votre (de vos ?) smartphone. Cela n’aura aucun impact sur l’utilisation d’Olvid.

Pour limiter l’impact d’une infection

Régulièrement réinitialiser son téléphone

Si vous faites partie d’une population à risque, nous vous recommandons également de régulièrement réinitialiser votre téléphone. Comme si vous aviez été infecté, procédez à une réinitialisation complète du système d’exploitation de votre téléphone. Par exemple si vous êtes journaliste, faites le avant de partir en mission à l’étranger, et à votre retour.

Pour retrouver vos contacts Olvid après réinstallation, il vous suffit de restaurer une sauvegarde de votre carnet de contacts Olvid. Attention à n’utiliser aucune autre méthode de sauvegarde (en particulier des pièces jointes reçues) puisqu’elle pourrait contenir une charge virale et réinfecter le téléphone. Si les sauvegardes Olvid ne contiennent pas les messages et pièces jointes, c’est aussi pour cette raison.

Limiter la durée de vie des données sur votre smartphone

Dans l’hypothèse malheureuse où vous seriez ciblé et infecté, l’idéal est de limiter au maximum l’information à laquelle le malware aura accès. Et comme Pegasus a accès à tout ce qui est sur le téléphone, il est indispensable de supprimer régulièrement ce qui s’y trouve. Il faut privilégier des outils qui vous permettent d’automatiser ce processus de nettoyage car il est illusoire d’espérer le faire correctement si cela est fait manuellement.

Là encore, Olvid vient à votre secours via deux mécanismes complémentaires :

  • les trois types de messages éphémères qui garantissent l’effacement (chez vous et chez les destinataires) des messages
  • des politiques de rétention qui permettent de paramétrer finement combien de temps les messages sont conservés sur votre téléphone

De plus, la propriété de « perfect forward secrecy » du chiffrement d’Olvid vous garantit qu’une compromission à un instant T ne permet en aucun cas de compromettre des messages du passé s’ils ont été effacés.

Conclusion


Les outils qui utilisent un identifiant public pour permettre à n’importe qui de vous contacter sont un vecteur d’attaque particulièrement dangereux dans le contexte de Pegasus. Ils permettent d’industrialiser les techniques d’espionnage ciblé.

Olvid est le seule messagerie instantanée alliant la facilité d’usage d’un outil grand public avec la sécurité d’un produit certifié par l’ANSSI. L’affaire Pegasus nous démontre une fois de plus que la sécurité de vos données n’est pas un sujet à prendre à la légère.

Si vous pensez faire partie d’une population à risque, nous sommes à votre disposition pour vous aider.

Remerciements

Merci à @BarbossHack pour le lien sur MVT.