Plus de 50 000 personnes figurent sur la mystérieuse liste sur laquelle se sont appuyés les chercheurs en sécurité d’Amnesty International Security Lab (AISL) pour révéler l’étendue de la surveillance du logiciel Pegasus de NSO. En faites-vous partie ? Votre téléphone est-il infecté par ce logiciel espion ?
Les experts d’AISL ont développé l’outil « Mobile Verification Toolkit » (MVT). Il permet de le savoir, aussi bien pour les terminaux Android que les appareils iOS. Dans cet article, nous n’allons traiter que la procédure à suivre pour les iPhone. Voici les étapes pour y arriver sur un ordinateur Windows 10. Attention, c’est un peu technique, mais si vous suivez notre pas à pas, tout devrait bien se passer.
Création de l’environnement d’analyse
1) Le mieux est d’exécuter MVT dans Docker Desktop, un logiciel libre qui permet de lancer des applications dans des conteneurs logiciels. Pour télécharger et installer Docker Desktop, rendez-vous sur le site docker.com, sélectionnez la version qui convient à votre ordinateur et laissez-vous guider. Ensuite, lancez Docker Desktop.
2) Installez « Git for Windows », le logiciel de gestion de versions de code informatique.
3) Ouvrez l’interface « Git CMD » et exécutez les lignes de commande suivantes :
- git clone https://github.com/mvt-project/mvt.git
- cd mvt
- docker build -t mvt .
Le container de MVT a été créé et il devrait désormais être visible dans Docker Desktop.
4) Rendez-vous dans le Windows Store et installez la distribution Ubuntu.
Puis, dans Docker Desktop, allez dans le menu « Settings → Resources → WSL Integration » et cochez la case Ubuntu.
5) Créez un dossier « mvt-scan » sur un volume qui dispose d’un espace de stockage suffisamment grand. Dans notre cas, nous avons pris une clé USB 128 Go, qui s’est montée sur le lecteur E. Ouvrez une fenêtre de commandes PowerShell et exécutez les commandes suivantes :
- cd [chemin de votre dossier mvt-scan]
- mkdir iocs
- mkdir results
- cd iocs
- wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O pegasus.stix2
Vous venez de créer les dossiers « iocs » et « results », et de télécharger les indices de compromission relevés par les chercheurs d’AISL.
Analyse d’un iPhone ou d’un iPad
1) Réalisez une sauvegarde non chiffrée de votre appareil au moyen du logiciel iTunes et copiez le répertoire de cette sauvegarde dans votre dossier « mvt-scan ». Ce répertoire devrait se trouver dans C:Utilisateurs[votre nom d’utilisateur]AppleMobileSyncBackup. Son nom se caractérise par une suite de chiffres et de lettres. Cette opération peut prendre un certain temps.
2) Ouvrez une fenêtre PowerShell et tapez la commande :
- wsl -d Ubuntu
Si votre dossier mvt-scan est sur un support de stockage externe, il faudra d’abord le « monter » dans Ubuntu pour que son contenu puisse apparaître dans le système de fichiers. Dans notre cas, cela donne :
- sudo mkdir /mnt/e
- sudo mount -t drvfs e: /mnt/e
3) Ensuite il faut lancer l’analyse MVT dans l’environnement Docker. Pour cela tapez les commandes suivantes :
- docker run -v [chemin du repertoire mvt-scan]:/home/cases/mvt-scan -it mvt
- mvt-ios check-backup –iocs ./mvt-scan/iocs/pegasus.stix2 –output ./mvt-scan/results/ ./mvt-scan/[nom du répertoire de sauvegarde iOS]
Si le répertoire « mvt-scan » est sur le disque local, il suffit d’indiquer le chemin Windows, mais en remplaçant les antislash par des slash. Par exemple : « ~Desktop/mvt-scan ». S’il est sur un disque externe, il faudra utiliser l’accès créé plus haut, en occurrence « /mnt/e/mvt-scan ».
4) Les résultats de l’analyse sont stockés dans le dossier « results » sous forme de fichiers JSON. Si vous y trouvez un fichier dont le nom inclut le mot « detected », c’est que vous avez été infecté par Pegasus. Il est recommandé de contacter alors Amnesty International.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
