Pegasus : "Monsieur et madame Tout-le-monde ont zéro risque de se faire espionner" par ce logiciel, explique un chercheur en cybersécurité
Baptiste Robert, chercheur en cybersécurité, veut rassurer les citoyens, après les révélations sur Pegasus. Ils ne sont pas la cible de ce logiciel d'espionnage, qui ne sert pas à de la surveillance de masse. Mais il invite à adopter quelques bonnes pratiques pour améliorer la sécurité de son smartphone.
Monsieur et madame Tout-le-monde ont quasiment zéro risque de se faire espionner" par le logiciel Pegasus, indique sur franceinfo ce mercredi 21 juillet Baptiste Robert, chercheur en cybersécurité. Dans ce cas-là, "ce n'est absolument pas de la surveillance de masse, c'est de la surveillance extrêmement ciblée sur des individus particuliers". Un des numéros de téléphone d'Emmanuel Macron fait partie des cibles du Maroc pour l'utilisation de l'outil d'espionnage Pegasus. Edouard Philippe, lorsqu'il était Premier ministre, ainsi que plusieurs membres de son gouvernement, ont aussi été ciblés par cet outil crée par une entreprise privée israélienne, selon les révélations de Forbidden Stories et ses 16 partenaires dont la cellule investigation de Radio France.
Cet expert en cybersécurité donne quelques conseils pour naviguer sur Internet en toute sécurité et éviter d'autres types de logiciels malveillants, par "des pratiques de sécurité qui ne sont pas très compliquées à mettre en place, mais il faut prendre le temps de le faire".
franceinfo : Comment fonctionne Pegasus ?
Baptiste Robert : Pegasus est ce qu'on appelle un spyware. C'est un logiciel qui va rentrer dans votre téléphone et qui va être là pour récupérer un maximum d'informations sur votre téléphone. Pour rentrer dans le téléphone, il utilise des failles de sécurité, qu'elles soient directement dans le système d'exploitation ou alors dans les applications qui sont installées par défaut sur vos téléphones, par exemple l'application calendrier ou i-Message...
Est-ce que tout le monde peut être concerné par le ciblage du logiciel espion ?
Pegasus, ce n'est absolument pas de la surveillance de masse, c'est de la surveillance extrêmement ciblée sur des individus particuliers. On voit que cette technologie, qui est une technologie extrêmement puissante, a été très mal utilisée sur certains aspects par les clients de NSO [la société israélienne qui commercialise Pegasus]. Il n'y a pas de justification qui vaille pour aller espionner un avocat, un opposant politique. Mais Monsieur et madame Tout-le-monde ont quasiment zéro risque de se faire espionner par Pegasus. Les activités de NSO sont des activités de haut vol qui sont utilisées par des gouvernements.
C'est le cas auprès des maris qui ont peur ou de leurs femmes qui ont des doutes sur leur couple, et qui parfois contre la volonté de leur conjoint(e), vont installer des logiciels qui vont espionner les moindres faits et gestes de leur conjoint(e). Pour les enfants aussi, il y a beaucoup de parents qui installent ce type de logiciel sur le téléphone de leur enfant pour savoir ce que les enfants font. Donc, on voit que malheureusement, c'est un peu à l'image de l'être humain. Toutes les déclinaisons sont possibles via des escroqueries, des arnaques, du harcèlement.
N’importe quel smartphone est "faillible" ?
Il y a toujours des failles de sécurité, quel que soit le système. Et donc, un attaquant qui va avoir assez d'argent, de motivation, de temps et de compétences va toujours être capable, quel que soit le système, de trouver une faille de sécurité.
Donc oui, votre téléphone, comme votre ordinateur et tous les objets connectés, est faillible. Mais il faut quelques compétences, être spécialisé et un peu de travail pour exploiter tout ça. La réalité est qu'au niveau de NSO, à leur niveau de compétence, que ce soit un téléphone Android ou un iOS, ça ne fait pas de différence. En réalité, dans tous les cas, ils ont les compétences pour aller trouver des failles de sécurité que personne ne connaît pour rentrer dans ces téléphones.
Comment est-ce possible, selon vous, que NSO n'ait pas été au courant de cette utilisation ?
Leur argument commercial, c'est que Pegasus sert à combattre le terrorisme, le crime, etc. NSO est une entreprise privée. Elle n'a pas d'obligation à révéler la liste de ses clients. Effectivement, ici, on a des clients de NSO qui ont extrêmement mal utilisé les produits qu'ils ont mis à disposition. La question de la responsabilité, c'est une question très importante. Est-ce que NSO est responsable ? Est-ce que le client est responsable ? Est-ce que les deux sont responsables ? C'est une vraie question qui n'amène pas de réponse directe et qui va sûrement dépendre, en fonction des pays et des lois nationales. Après, c'est compliqué de dire ce que la société savait, ce qu'elle ne savait pas.
Je pense que tout ça va continuer. Edward Snowden en a bien parlé en disant que c'est quelque chose qu'il va falloir réguler. C'est quelque chose qu'on va avoir de plus en plus dans le futur, c'est-à-dire que si vous avez la capacité d'avoir ce type d'outil au sein de vos services de renseignement, au sein de votre Etat, pour combattre le terrorisme, le crime, ça peut être un vrai plus.
Comment pouvons-nous mieux sécuriser nos téléphones ?
Il y a des conseils, des pratiques qui sont toujours les mêmes et qui sont toujours bonnes à appliquer. La première que je conseillerais, c'est d'avoir des mots de passe différents pour chacun de ces services. Donc ça, c'est vraiment la base de la base. Votre mot de passe Facebook ne va pas être le même mot de passe que votre boîte mail et ainsi de suite. Ça amène souvent une question qui est : comment je fais pour retenir autant de mots de passe ? Dans ce cas-là, le deuxième conseil, c'est utiliser un gestionnaire de mots de passe. C'est très important. Vous allez retenir le mot de passe de votre coffre-fort et ensuite, vous allez avoir accès à tous vos mots de passe. Vous n'avez plus rien à retenir. Et le troisième, c'est de mettre à jour vos logiciels et vos systèmes d'exploitation. Si votre iPhone ou votre Android vous demande de mettre à jour, n'attendez pas. Après, on peut parler de l'utilisation d'un VPN.
En sécurité, il y a ce qu'on appelle le modèle de menace. Si vous êtes journaliste, si vous êtes avocat, vous n'avez pas le même modèle de menaces que monsieur et madame Tout-le-monde, qui ne sont pas ciblés. En revanche, un activiste, un avocat, lui, potentiellement, a NSO dans son modèle de menace, et du coup cela amène d'autres mécanismes de défense. Pour un journaliste, un avocat, on peut changer de téléphone régulièrement. Ça peut se faire. On peut utiliser un autre système d'exploitation.