Les recommandations de RSF pour les journalistes potentiellement “mouchardés” par Pegasus
Après la publication de l’enquête du “Projet Pegasus” ayant révélé comment près de 200 journalistes à travers le monde ont été espionnés par onze États, Reporters sans frontières (RSF) liste un certain nombre de recommandations à destination des journalistes qui pourraient faire partie des cibles des acheteurs de ce logiciel de surveillance extrêmement performant.
La force du logiciel espion Pegasus est qu’“Il n’existe aucun moyen efficace pour un utilisateur de contrer ce type d’attaque”. Comme l’explique l’expert en sécurité informatique au laboratoire Security Lab d’Amnesty International, Claudio Guarnieri, cet outil de surveillance très performant, conçu par la société israélienne NSO Group, est capable d’aspirer tout le contenu d’un téléphone : messages, e-mails, photos, contacts, etc. sans nécessiter une action particulière de l’utilisateur et sans laisser de trace facilement détectables...
A défaut de pouvoir se prémunir d’une telle attaque, les journalistes travaillant sur des sujets sensibles en lien avec les onze États clients du groupe NSO (Mexique, Inde, Maroc, Indonésie, Arabie Saoudite, Émirats arabes unis, Kazakhstan, Azerbaïdjan, Togo, Rwanda, Hongrie) et suspectant une infection potentielle par Pegasus peuvent suivre les démarches suivantes :
- Cesser immédiatement d’utiliser son smartphone, en acheter un nouveau pour continuer de communiquer mais conserver (loin du journaliste et de son environnement de travail) l’appareil potentiellement infecté comme pièce à conviction ;
- Déconnecter tous les comptes du smartphone et changer tous les mots de passe depuis un autre appareil ;
- Se rapprocher de Forbidden Stories ou d’experts en informatique, comme ceux du Security Lab d’Amnesty International pour vérifier si votre numéro fait partie de la liste des 50.000 numéros qui ont fuité. Le groupe d’experts d’Amnesty International a mis au point un outil, le Mobile Verification Toolkit, (MVT) permettant de savoir si un smartphone a été infecté par Pegasus (Attention, son utilisation requiert de bonnes compétences techniques en informatique) Les journalistes peuvent aussi envoyer leur numéro de téléphone pour vérification à [email protected].
Si vous ne pouvez pas changer de téléphone :
- Redémarrer le téléphone. Sur iPhone, les experts d’Amnesty ont constaté que cela pouvait temporairement supprimer Pegasus du système iOS ;
- Effectuer une réinitialisation d’usine du smartphone même si cela ne garanti pas la suppression de Pegasus (Attention, cela peut également détruire les preuves d’une ancienne infection) ;
- Faire la mise à jour du système d’exploitation et de toutes les applications présentent sur le téléphone ;
- Supprimer tous les appareils inconnus connectés aux différentes applications de messagerie et compte en ligne (Signal, WhatsApp, Twitter, Facebook, etc) ;
- Dresser la liste de tous les mots de passe saisis et stockés dans le smartphone, les modifier et ne jamais réutiliser les anciens mots de passe.
Si l’un de vos contacts proches a été infecté, effectuer les mêmes recommandations.
S’il n’existe pas à ce jour de parade fiable contre Pegasus, certains gestes et bonnes pratiques peuvent toutefois compliquer le travail d’un logiciel espion souhaitant accéder au smartphone d’un journaliste :
Sécuriser son smartphone :
- Avoir un code d’accès pour déverrouiller son smartphone. Utiliser au minimum un code PIN à six chiffres, ou - encore mieux - une phrase robuste et unique (différente des autres codes d'accès de l'utilisateur). Avoir un code d'accès de type "0000" "1234" ou sa date de naissance n'est pas un gage de sécurité, qu'il s'agisse du téléphone comme de la carte SIM ;
- Mettre à jour son smartphone de manière régulière ;
- Installer un VPN, (Prudence cependant, le VPN ne protège que contre certains types d’attaques) ;
- Installer un antivirus (Avast, McAfee ou Kaspersky) ;
- Supprimer les applications non utilisées ;
- Éteindre son smartphone au moins une fois par jour. Ce geste simple peut suffire à contrecarrer le fonctionnement de bon nombre de programmes espions.
Sécuriser sa messagerie et ses comptes :
- Activer l'authentification à deux facteurs pour les comptes les plus importants (Twitter, Google, Facebook, etc) ;
- Désactiver iMessage et Facetime (points d’entrée connus de Pegasus) ;
- Eviter l'utilisation de Google Home ou d’un autre assistant vocal ;
- Sur iPhone, désinstaller les applications Apple, telles que Apple Music, FaceTime et iMessage, Mail (NB: il faut désactiver iMessage avant de désinstaller l’application).
Lors de l’utilisation du smartphone :
- Privilégier l’utilisation d’un VPN pour naviguer sur internet ;
- Ne jamais cliquer sur les liens contenus dans un message provenant d’un numéro inconnu ;
- Ne pas utiliser le wifi dans des lieux non fiables, ou l’utiliser avec le VPN activé au préalable ;
- N’installer que des applications provenant de l’App Store (iPhone) et Google Play (Android) ;
- Bloquer les notifications et les demandes d’autorisation d’accès au carnet d’adresse ;
- Ne pas autoriser son smartphone à sauvegarder les mots de passe. Utiliser un gestionnaire de mot de passe sécurisé tel que LastPass ;
- Utiliser Signal pour échanger avec une source.
- Pour les journalistes gérant des informations très sensibles, il peut-être utile d’utiliser un téléphone non relié à Internet : un vieux téléphone portable, ou un smartphone dont l’accès aux données est coupé.
Autre ressources utiles :
- Le service d’assistance d’Access Now peut établir un diagnostic et fournir des conseils techniques utiles en 9 langues.
- Le kit de premiers secours numérique donne des conseils lorsqu’un appareil se comporte de manière suspecte, tout comme le guide de surveillance self-défense.