Pegasus est un logiciel espion malveillant qui vole des informations sensibles à d'innocents propriétaires d'appareils mobiles. D’après les experts, environ 50 000 appareils ont été infectés par Pegasus depuis 2021 [1] X Source de recherche . Malheureusement, les logiciels antivirus classiques ne peuvent pas le détecter. Si vous craignez que votre Android, iPhone ou iPad soit infecté, vous pouvez utiliser MVT, un outil gratuit conçu par le laboratoire de sécurité d'Amnesty International, pour analyser votre téléphone ou votre tablette. Nous vous expliquons comment utiliser l'outil et comment savoir si vous avez un logiciel espion Pegasus sur votre appareil mobile.
L’essentiel en quelques mots
- MVT est un programme en ligne de commande conçu pour Linux, mais vous pouvez également l'utiliser sur macOS.
- Si vous souhaitez analyser un iPhone ou un iPad, vous pouvez utiliser un programme graphique sur votre PC ou votre Mac appelé iMazing. Il fonctionne comme MVT.
- L'exécution de MVT nécessite une certaine familiarité technique avec la ligne de commande Linux. Si vous trouvez le processus trop compliqué, confiez votre appareil à un expert.
Étapes
Le détecter sur un iPhone ou un iPad (Windows et Mac)
-
Ouvrez cette page sur votre Mac ou PC. Les développeurs de logiciels iMazing ont mis en place un moyen simple pour permettre aux propriétaires d'iPhone de détecter le Pegasus.
- L’outil d’iMazing émule le Kit de vérification mobile d’Amnesty International. L'outil d'Amnesty nécessite une configuration préalable sur un appareil MacOS ou Linux. C’est pourquoi l’on recommande aux utilisateurs d'iPhone d'utiliser l'alternative plus simple d'iMazing.
-
Télécharger iMazing. Cliquez sur le bouton Télécharger gratuitement pour télécharger iMazing sur votre ordinateur. Cette application gratuite vous permet de gérer votre iPhone depuis votre Mac ou votre PC. Plus important encore, elle contient l'outil de détection des logiciels espions qu’il vous faut pour détecter Pegasus.
- iMazing propose une version payante, mais sa version d'essai gratuite inclut l'outil de détection des logiciels espions sans limite de temps ni restriction.
-
Connectez votre iPhone ou iPad à votre ordinateur. Utilisez le câble USB fourni avec votre téléphone ou votre tablette ou un autre câble compatible.
- Si vous avez déjà sauvegardé votre appareil sur iMazing, vous pouvez analyser cette sauvegarde sans connecter d'appareil.
-
Exécutez iMazing. L'application devrait détecter votre téléphone immédiatement. Vous devrez entrer le code d'accès de votre téléphone pour terminer le processus de jumelage.
- Assurez-vous que votre téléphone est déverrouillé durant le jumelage avec iMazing.
- Assurez-vous d’être connecté(e) à Internet sur les deux appareils.
-
Cliquez sur Détecter les logiciels espions . Sur le côté droit du client iMazing se trouve une liste de toutes les actions que vous pouvez entreprendre. Faites défiler la liste jusqu'à l’option Détecter les logiciels espions puis cliquez dessus. Cette option est représentée par une icône de produit toxique.
- Si vous avez plusieurs appareils Apple synchronisés avec iMazing, assurez-vous que le bon appareil est sélectionné dans la barre latérale gauche.
-
Suivez les instructions à l'écran pour sélectionner vos préférences. iMazing vous fournira quelques informations. Cliquez sur Suivant pour passer à la configuration où vous pourrez accepter les paramètres par défaut et cliquer à nouveau sur Suivant .
- La page de configuration vous permet de choisir entre un fichier .csv et .xlsx pour votre rapport. Le fichier . csv par défaut devrait faire l’affaire, mais vous pourrez toujours le convertir en .xlsx plus tard.
- Vous serez également invité à créer une sauvegarde de votre appareil. Vous pouvez sauter cette étape ou créer une sauvegarde si vous le voulez.
-
Cliquez sur Commencer l’analyse . Si vous avez choisi de créer une sauvegarde, iMazing effectuera d'abord cette opération qui peut prendre un certain temps en fonction de la capacité de stockage de votre appareil.
-
Interprétez les résultats. À la fin de l'analyse, une fenêtre contextuelle affichera les résultats. Si l'analyse est correcte, vous verrez la phrase Aucun signe d'infection détecté . Si iMazing détecte un logiciel espion, il indiquera Possibilité d'infection détectée [2] X Source de recherche .
- Si l'analyse est correcte, il ne sera pas nécessaire d'ouvrir le rapport. S’il peut y avoir de faux positifs, il n’y a aucun risque d’avoir des faux négatifs.
-
Ouvrez et lisez votre rapport. Le rapport d'iMazing détaille toutes les détections critiques. Prêtez une attention particulière à la colonne Malware et cherchez le terme Pegasus .
- Si vous ne voyez aucun logiciel malveillant qui s’appelle Pegasus , ça signifie que votre appareil n’est pas contaminé par Pegasus. Bien entendu, vous devez toujours tenter de débarrasser votre appareil de tout logiciel malveillant éventuellement détecté.
-
Envoyez votre rapport à iMazing pour vérifier s'il y a de faux positifs. Connectez-vous au site web pour partager votre rapport. Le développeur promet de vous répondre rapidement.
- Si iMazing confirme votre analyse positive, il vous apportera l'aide nécessaire pour nettoyer votre appareil. N'oubliez pas que cet outil n'est qu'un service de détection.
- En attendant la réponse d'iMazing, vous pouvez continuer à utiliser votre appareil, mais vous devez éviter de communiquer avec d'autres personnes pour ne pas les exposer au logiciel malveillant.
Publicité
Le détecter sur un appareil sous Android (Mac et Linux)
-
Rendez-vous sur https://github.com/mvt-project/mvt sur Linux ou macOS. Pour savoir si Pegasus se trouve sur votre téléphone sous Android, vous devrez utiliser l'outil de détection officiel d'Amnesty International. Cet outil est conçu pour les experts en criminalistique et n'est disponible que pour Linux et macOS. Il n'y a pas d'interface graphique, vous devrez donc utiliser la ligne de commande.
- Vous ne verrez aucune notification indiquant la présence de Pegasus. Néanmoins, vous pouvez utiliser cet outil pour réunir des preuves qui pourront être partagées avec des experts.
- L’outil MVT d'Amnesty ne peut offrir que des informations limitées sur les appareils sous Android, car les Android ne stockent pas autant d'informations de diagnostic que les iPhone [3] X Source de recherche .
-
Si vous utilisez un Mac, installez Xcode et Homebrew. Si ces outils sont déjà installés, vous pouvez sauter cette étape.
- Avant tout, ouvrez l’App Store de votre Mac, recherchez Xcode puis installez-le.
- Ensuite, ouvrez une fenêtre de Terminal .
- Tapez cette commande puis appuyez sur Retour : /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" [4] X Source de recherche .
- Tapez export PATH="/usr/local/opt/python/libexec/bin:$PATH" puis appuyez sur Retour .
-
Téléchargez Python. Vous devez avoir Python 3.6 ou une version plus récente sur votre ordinateur pour pouvoir exécuter MVT.
- Sous Linux : vérifiez votre version de Python en exécutant python à l’invite de commande. Si vous avez une ancienne version, utilisez sudo apt-get install python (sous Ubuntu) ou sudo yum install python (sous Redhat/Fedora) pour la mettre à jour.
- Sur Mac : la version de Python fournie avec macOS est obsolète. Exécutez la commande brew install python pour obtenir la dernière version.
-
Installez les dépendances. Vous devez installer quelques dépendances de base qui vous permettront d'exécuter MVT.
- Sous Linux : exécutez sudo apt install python3 python3-pip libusb-1.0-0 sqlite3 .
- Sur macOS : exécutez brew install python3 libusb sqlite3 .
-
Installez Android SDK Platform Tools pour Linux. Il contient les outils dont vous aurez besoin pour interagir avec votre Android, notamment adb (Android Debug Bridge). Vous pouvez le télécharger sur https://developer.android.com/studio/releases/platform-tools sous Linux, ou exécuter brew install --cask android-platform-tools pour l'installer sur Mac [5] X Source de recherche .
-
Installez MVT. Suivez les étapes ci-dessous.
- Exécutez export PATH=$PATH:~/.local/bin pour vous assurer que votre chemin d'accès est configuré pour installer les binaires Pypi.
- Exécutez pip3 install mvt pour installer à l’aide du gestionnaire de paquet de Python.
- Si vous préférez compiler à partir du code source, suivez les étapes ci-dessous.
- Avant tout, exécutez git clone https://github.com/mvt-project/mvt.git pour télécharger le code source.
- Ensuite, exécutez cd mvt pour entrer dans le répertoire.
- Enfin, exécutez pip3 install pour compiler et installer.
-
Activez le débogage sur votre Android. Si vous ne l'avez pas encore fait, allez dans Paramètres , appuyez sur À propos du téléphone puis appuyez 7 fois sur Numéro de build [6] X Source de recherche . Appuyez sur le bouton de retour et vous verrez apparaitre un menu intitulé Options du développeur . Une fois cette option activée, vous pourrez activer le débogage USB.
- Dans Paramètres , allez dans Système > Options avancées > Options de développement .
- Activez le débogage USB s’il est désactivé.
-
Connectez votre Android à votre PC à l'aide d'un câble USB. Assurez-vous que votre appareil est déverrouillé et connecté à Internet. Lorsque vous y serez invité(e) sur votre Android, sélectionnez Faire confiance .
- MVT ne peut analyser que les messages contenant des liens, toutefois il s'agit généralement des messages les plus à risque [7] X Source de recherche .
- MVT peut demander des autorisations supplémentaires pour analyser certaines parties de votre appareil, mais cela vous obligerait à le débrider, ce qui ne ferait qu'exposer davantage votre appareil aux logiciels malveillants. Il vous suffit de refuser ces autorisations et d'accepter l'analyse disponible.
-
Exécutez mvt-android download-iocs . Avec le MVT installé, Python peut maintenant interpréter ses commandes. Cette commande télécharge les fichiers se terminant par l'extension .stix2 et les enregistre dans le répertoire app.
- Exécutez la commande ls -a pour rechercher les fichiers si vous ne savez pas où ils se trouvent. Vous devrez spécifier le chemin vers votre fichier .stix2 pour détecter Pegasus.
-
Exécutez mvt-android check-adb --iocs /path/to/stix.file --output /path/to/results . Cette commande utilisera toutes les options de MVT pour examiner votre Android via USB en utilisant le pont de débogage. Cela peut prendre un certain temps.
- Au fur et à mesure que les données sont comparées au fichier .stix spécifié, les résultats seront enregistrés dans le dossier de résultats spécifié. Les correspondances possibles seront indiquées par un message "WARNING". Notez que les avertissements peuvent indiquer des logiciels espions autres que Pegasus.
- Si vous ne voulez pas analyser tout votre Android, lancez mvt-android sans aucun argument pour voir quelles options individuelles sont disponibles. Si vous suspectez quoi que ce soit, lancez simplement toutes les analyses avec mvt-android .
Publicité
Références
- ↑ https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
- ↑ https://imazing.com/guides/detect-pegasus-and-other-spyware-on-iphone
- ↑ https://docs.mvt.re/en/latest/android/methodology/
- ↑ https://brew.sh/
- ↑ https://docs.mvt.re/en/latest/install/
- ↑ https://developer.android.com/studio/debug/dev-options
- ↑ https://github.com/mvt-project/mvt/blob/main/docs/android/backup.md