Propagande algérienne sur le Sahara : La France réitère son soutien à la souveraineté du Maroc    Akhannouch préside une réunion sur la mise en œuvre des peines alternatives    Transformation numérique : l'ACAPS lance le programme "Émergence"    Droits de douane américains : Le Maroc bénéficie d'un taux avantageux    Coopération Chili-Maroc : le président du Sénat chilien plaide pour un agenda commun    CAN U17 : Le Maroc et la Zambie se quittent sur un nul blanc    Abdellatif Ouahbi : Les peines alternatives, une étape positive dès août 2025    Le domaine de la Santé, « un vaste champ d'action » de la coopération franco-marocaine    Droits de douane de Trump : Entre menaces de riposte et appels au dialogue    Guerre commerciale : l'UE prépare sa riposte aux taxes américaines    Turquie : Décès de neuf migrants en mer Égée    Fonction publique : le Conseil de gouvernement approuve des propositions de nouvelles nominations    CAN U17 : Les Camerounais dans le rouge, les Sud-africains en standby !    CAN U17 / Zambie-Maroc: Les Chipolopolos et les Lionceaux du coup d'envoi    Achraf Hakimi signe chez Under Armour !    Liga : Feu vert pour Dani Olmo et Pau Victor avec le Barça jusqu'à la fin de la saison    CSEFRS : Passation de pouvoirs entre M. Habib El Malki et Mme Rahma Bourqia    Le Conseil de gouvernement adopte un projet de décret sur le régime de sécurité sociale    Le Conseil de la Concurrence autorise l'acquisition par le Groupe AKDITAL de deux établissements de santé à Laâyoune    Safi : Interception record de16 Tonnes de Chira !    Lutte contre les maladies infectieuses : L'IA en première ligne au 23ème congrès de la SMALMI    Le Conseil de gouvernement adopte un projet de décret-loi relatif à l'Agence nationale des eaux et forêts    SIEL 2025 : Rabat accueille la 9e semaine de la langue espagnole    Accès aux monuments historiques : Lancement de la 1ère plateforme électronique de vente de tickets    CAN U17/ Programme de la journée    Nasser Bourita reçoit le président du Parlement andin qui a exprimé son appui à l'intégrité territoriale du Maroc    Aid Al-Adha : Coût de la subvention à l'importation d'ovins en 2023-2024 atteint 437 millions de dirhams    Le FMI accorde une nouvelle ligne de crédit flexible de 4,5 milliards de dollars au Maroc    Droits de douane américains : Les Européens « prêts à réagir »    Conjoncture : la croissance de moins en moins sensible aux activités agricoles    La récolte de blé du Maroc en 2025 en dessous de la moyenne malgré les fortes pluies de mars    Le domaine de la Santé, « un vaste champ d'action » de la coopération franco-marocaine    AP-UpM: Rachid Talbi El Alami plaide pour un partenariat équilibré entre le Maroc et l'Europe    Lancement d'une nouvelle version du portail national Maroc.ma dotée d'une interface remaniée    Une subvention de 437 millions de dirhams pour l'importation d'ovins partie en fumée, sans effet notable sur les prix    Classement FIFA: le Maroc fait un bond de deux places    Les Lionnes de l'Atlas s'entraînent avant les matchs contre la Tunisie et le Cameroun    Trump impose de nouveaux tarifs douaniers et distingue les pays amis du reste du monde : 10 % pour le Maroc, 30 % pour l'Algérie et 28 % pour la Tunisie    Nouveaux droits de douane américains : 10 % pour le Maroc, le Golfe et l'Egypte... et 30 % pour l'Algérie    Le Maroc, dans le top 4 des pays au monde où l'IA est utilisée par les cadres    Le Statut de l'artiste : Désormais une réalité pour le Burkina Faso    La Côte d'Ivoire fait son cinéma au Maroc    France. Le célèbre animateur Arthur champion de la lutte contre l'antisémitisme    Francia reafirma apoyo a Marruecos sobre el Sáhara tras diálogo Macron-Tebboune    Understanding the United States' new tariff rate policies    Libye : Un ADN ancien de 7000 ans révèle une lignée de l'Afrique du Nord    Sahel : L'armée malienne répond à l'abattage de son drone Akinci    Festival Mawazine: Will Smith et Kid Cudi en têtes d'affiche    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Pegasus : une «signature faible » et des preuves incertaines pour accabler le Maroc ?
Publié dans Barlamane le 23 - 07 - 2021

Comment Amnesty et le consortium Forbidden Stories s'y sont-ils pris pour accuser le Maroc d'avoir infecté, ou tenté d'infecter 10 000 numéros de téléphone, dont ceux de chefs d'Etat, de gouvernement, d'organisations internationales ainsi que des journalistes ? À mesure que des éléments de réponse commencent à apparaître, il s'avère que les « révélations » de l'organisation internationale et du consortium de médias sont bien
incertaines...
À en croire Le Monde, Amnesty International aurait «retrouvé des traces de
Pegasus, portant la signature technique distinctive d'un même client, sur les
téléphones utilisés par le journaliste Edwy Plenel ou l'ancien ministre François de Rugy, tout comme sur les téléphones de la militante Claude Mangin et du journaliste marocain Omar Radi – deux personnes qui intéressent au plus haut point les services de renseignement marocains.» C'est ainsi que l'attribution d'une partie du listing au Maroc a pu être réalisée : une signature commune, une compilation de milliers d'individus dont quelques-uns présenteraient un intérêt pour le Maroc, et leur
certitude est faite.
France Info ne dit pas autre chose, lorsque la radio publique mêle deux registres de la preuve : celui de la preuve technique et celui de la présomption adossée à des inductions précipitées. Dans un live en date du jeudi 22 juillet, Jacques Monin, directeur de la cellule investigations de France Info, affirme que «deux éléments permettent de cibler le Maroc. D'un côté, la liste sur laquelle nous avons travaillé nous a permis d'identifier le client qui ciblait le millier de numéros français qui s'y trouvaient. De plus, des expertises ont trouvé des traces portant des signatures similaires sur des cibles françaises et marocaines, ce qui corrobore qu'elles sont ciblées par un même client. »
Pour sa part, Elodie Guéguen, autre journaliste de France Info qui a participé aux investigations, dit dans le même article que « concernant l'intérêt du Maroc, les numéros apparaissant dans la base de données reflètent bien les obsessions du renseignement marocain. On trouve énormément de numéros de militaires algériens, de diplomates en poste à Alger. On sait que l'Algérie est le frère ennemi du Maroc et que les deux pays s'espionnent mutuellement depuis longtemps. Emmanuel Macron
a été ciblé au moment où l'Algérie traversait une crise politique grave, et où le président français avait rappelé son ambassadeur pour discuter de la situation. »
Des « signatures » falsifiables
S'il existe des preuves solides et objectives, pourquoi en surajouter avec des
éléments supposés eux aussi être probatoires, comme « les obsessions du
renseignement marocain » (France Info), l'existence sur les listes de «personnes qui intéressent au plus haut point les services de renseignement marocains » (Le Monde), éléments que l'on peut qualifier de subjectifs ? Pourquoi croiser dans un même argumentaire un registre fort (celui de la preuve technique) avec un autre nettement plus faible (celui de la présomption) ? La raison est simple : la preuve technique ne tient pas, et doit être adossée à autre chose.
L'usage du terme « signature » par Le Monde comme par France Info n'est pas anodin. L'est également le maintien de l'ambiguïté sur ce qui est entendu par-là : une « signature » ne signifie pas la même chose, selon qu'elle soit utilisée en langage courant, ou en langage informatique dans le contexte de l'attribution d'une cyber-attaque. Dans sa première acception, la signature désigne l'ensemble de traits caractéristiques et reconnaissables permettant d'attribuer quelque chose à quelqu'un. Elle a une fonction individualisante et permet d'authentifier la paternité d'un acte.
L'économie sémiotique de la signature puise dans les registres de l'authentification et de la certification, souvent rattachés à celui de la certitude. Dans le second cas, elle désigne un ensemble de traces, d'indices et de pistes qui pourraient indiquer un ou des auteurs potentiels, bien souvent sans certitude absolue. Le lecteur ordinaire, non averti de la nuance, a bien des chances d'interpréter le terme « signature » dans son usage courant. Dans un article datant de 2016, intitulé à juste titre «Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks », Brian Bartholomew & Juan Andres Guerrero-Saade du Kaspersky Lab faisaient observer que «l'attribution (d'une attaque) est souvent le point d'intérêt et de controverse le plus important en matière de Threat Intelligence, tant pour des raisons directes que pour des raisons indirectes. Malgré le grand intérêt qui lui est prêté, la phase d'attribution reste peu comprise, et les complications qui en découlent souvent ignorées. De même, la valeur de l'attribution est souvent largement incontestée », et ce, en dépit des incertitudes dont elle est porteuse. Les deux chercheurs appellent à adopter des méthodes plus saines et à éviter certains biais : l'attribution d'une attaque informatique est un processus très complexe de collecte, de traitement et d'analyse de données souvent incomplètes, en raison du temps écoulé entre l'attaque et l'enquête, et souvent équivoques, car les modus operandi peuvent parfois être similaires. Ceci, quand des attaquants n'adoptent pas délibérément des patterns d'un autre malware, plantent des « false flags » et des traces informatiques renvoyant
vers une autre partie afin de faire diversion. Le résultat est qu'il est «généralement très difficile d'attribuer de manière concluante les cyberattaques à leurs auteurs, et les tactiques de diversion (qu'ils emploient) peuvent entraîner une mauvaise attribution, ce qui peut conduire à des représailles contre la mauvaise partie», selon un travail des experts Florian Skopik et Timea Pahi paru dans le journal de référence Cybersecurity, affilié à l'Institute of Information Engineering (IIE) de Beijing.
Il n'est hélas pas sûr que leur propos ait fait des émules. Car dans le cas de la liste d'Amnesty et de Forbidden Stories, cette « signature » est en réalité peu probante. Les rares données techniques rendues publiques par Amnesty dévoilent sa nature : un ensemble d'éléments et de certificats qui peuvent être falsifiés et introduits dans un set de données avec une telle aisance que le chercheur libanais en informatique et cryptographie appliquée Nadim Kobeissi s'est amusé à en fabriquer « en trente secondes » selon ses dires.
I decided to give the recent Pegasus coverage the benefit of the doubt and spent my lunch break looking up other reports by the same folks.
In a report published last week, their *only* evidence for attribution is a *self-signed* TLS certificate. That's not evidence. pic.twitter.com/SDdP5YBc8J
— Nadim Kobeissi (@kaepora) July 20, 2021
«Aucune des preuves (présentées par Amnesty et Forbidden Stories) n'est
immunisée de la falsification, et aucune ne permet de lier l'activité du logiciel malveillant à Pegasus spécifiquement. Tous ces rapports (et pas seulement le projet Pegasus) reposent sur des preuves maigres et falsifiables », écrit-il sur Twitter. « La « méthodologie jugée fiable » par Citizen Lab peut être falsifiée sans le moindre effort. Il s'agit tout simplement des pratiques de recherche scandaleusement mauvaises.
C'est ce qui se passe lorsque des amis politiquement alignés sont chargés du peer-review d'une recherche », affirme-t-il, faisant allusion à la validation de la méthodologie de recherche d'Amnesty par Citizen Lab.
I've read the report repeatedly and in detail. There is no evidence there that can't be falsified or that ties the malware's activity specifically to Pegasus. All of these reports (not just Pegasus Project) are built on scant, falsifiable evidence: https://t.co/T19gsKnvvl
— Nadim Kobeissi (@kaepora) July 22, 2021
Every single "methodology ruled sound" by Citizen Lab here can be faked with absolutely no effort. This is simply outrageously bad research practice, and what happens when your politically aligned buddies are charged with peer reviewing your research. https://t.co/kDOFD22U0t
— Nadim Kobeissi (@kaepora) July 22, 2021
«Ce que je veux dire », précise-t-il, « c'est qu'il est non seulement possible sans
effort, mais aussi très rentable, qu'un logiciel malveillant adopte intentionnellement le comportement de Pegasus. Ce fait important est ignoré», prévient Nadim Kobeissi.
What I'm saying is: it is not only effortlessly possible, but highly profitable, for malware to exist that intentionally adopts Pegasus's behavioral patterns. This important fact is being ignored.
— Nadim Kobeissi (@kaepora) July 22, 2021
Omerta d'Amnesty et de Forbidden Stories
Le chercheur, connu pour son soutien à Wikileaks et à Chelsea Manning, ainsi que pour sa création de Cryptocat, un service de discussion sécurisé lancé en 2011, qui lui avait valu des ennuis (et une tentative de piégeage) du FBI, va plus loin dans son propos : il accuse Amnesty de mensonge, lorsque l'organisation attribue les traces retrouvées sur les téléphones à NSO : «bullshit », « smoke and mirrors », « incompétence », etc.
Here's me accusing Amnesty's research team of lying when it came to their ability to do attribution for Pegasus Project, less than 48 hours ago.
Here's Amnesty admitting they were lying just a few hours ago: https://t.co/qKSq2mF1yI https://t.co/LnXMHsKCcR
— Nadim Kobeissi (@kaepora) July 21, 2021
Face à l'absence de preuves présentées et ce, malgré les relances répétées et
successives du Maroc, auxquelles s'ajoutent des appels émanant d'experts en informatique, pour combien de temps encore Amnesty et Forbidden Stories pourront-ils encore faire de la rétention d'information ?
Parmi les experts à réclamer plus de données: Kim Zetter, experte, journaliste d'investigation américaine qui couvre les domaines de la cybersécurité et la sécurité nationale depuis 1999 et auteure de plusieurs livres sur la question, Runa Sandvik, qui fut notamment directrice de la sécurité information du New York Times, ou encore The Grugq, un expert en cybersécurité cité par le passé par The New York Times, Washington Post, Forbes, Wired, TechCrunch, BoingBoing, VICE et BBC News, et bien d'autres.
This NSO story is getting a bit crazy. Would be great if the media outlets behind NSO story could provide more info about how they verified that this was a list of NSO targets, or potential targets, and not a list of something else.
— Kim Zetter (@KimZetter) July 20, 2021
Agree. If every phone number in the world is a potential target, what makes the ones on the list special?
— Runa Sandvik (@runasand) July 22, 2021
Well, now I'm not sure about how good the forensics are. One IOC was for an Apple process that runs as standard. I'm back to wanting a lot more data to make sense of what's actually going on
— thaddeus e. grugq (@thegrugq) July 21, 2021
The story was not coherent to begin with. The numbers just didn't make sense. It was clear that some number of phones were targets for Pegasus. But beyond that there wasn't any data presented
— thaddeus e. grugq (@thegrugq) July 21, 2021
So there has been a list of 50k phone numbers of phones that are apparently attacked with PEGASUS. I did not read all the articles. Were these 50k phone numbers informed about this? Will they be informed at some point? Will the numbers be released? Asking for my phones.
— Stefan Esser (@i0n1c) July 19, 2021
Questionnée par un lecteur qui aurait « aimé savoir comment les journalistes ont pu être en possession de cette fameuse liste (une taupe à NSO ?) et par là quelle fiabilité lui donner ? Savoir aussi si cette liste est complète ou partielle ? », la journaliste Elodie Guéguen, membre de la cellule investigations de France Info, a eu la réponse qu'on lui attendait : «on ne peut évidemment pas communiquer sur l'origine de cette liste, puisque la protection des sources est essentielle. La fiabilité
des informations qu'elle contient a été démontrée par des analyses techniques réalisées sur certains des téléphones qui y apparaissaient. On y a souvent trouvé des traces qui attestent des attaques, et qui valident la fiabilité de cette liste. » En d'autres termes, la fiabilité de la liste a été déterminée par l'analyse de 67 téléphones, dont seuls 37 auraient montré des signes d'infection (23 des signes d'infection réussie, et 14 des signes d'une tentative d'infection) ... sur 50 000.
La « protection des sources » est un prétexte bien commode, lorsqu'il s'agit
d'informations de provenance douteuse ou incertaine. Dans ce cas en particulier, nul ne demande l'identité de la source, mais l'origine des données et les données elles- mêmes, soit des éléments qui n'entrent pas le cadre de la protection des sources.
À partir de là, toutes les théories sont possibles : d'où provient cette liste ? A-t-elle été caviardée ? Des questions auxquelles nous tenterons de répondre dans les prochains jours, à la lumière des incohérences qui apparaissent dans le récit d'Amnesty et de Forbidden Stories.


Cliquez ici pour lire l'article depuis sa source.