Le Maroc annonce un partenariat stratégique pour renforcer le secteur de l'eau avec un investissement de 11 milliards de dirhams    Canada: L'Ontario affiche le taux de rétention le plus élevé des nouveaux immigrants    Contre l'oubli: Une année 2025 pour une mémoire revisitée    Gabon. La nouvelle Constitution officiellement promulguée    À Rabat, des proches des otages israéliens à Gaza interpellent l'Internationale socialiste pour une action humanitaire urgente    Aquaculture. 300 MDH pour booster le secteur en 2025    Liquidité bancaire : une fin d'année sous le signe du creusement    Soumission aux marchés de Bank Al-Maghrib : le format électronique obligatoire à compter du 1er janvier 2025    Les Marocains face au défi des déchets plastiques    Cours des devises du lundi 23 décembre 2024    2,5 milliards d'Africains en 2050    Etats-Unis : 88 M$ de missiles air-air pour le Maroc approuvés    Le Grand Mufti d'Al-Qods salue le soutien du Maroc, sous le leadership de SM le Roi, au peuple palestinien    Mobilisation des équipes de l'ONU au Vanuatu frappé par un second séisme    Automne 2024, l'un des plus chauds jamais enregistrés au Maroc    Honda et Nissan en discussions pour une fusion historique    Maroc : Les explications du coran seront traduites vers l'amazigh    Sahel : Le Maroc renforce ses liens militaires avec le Burkina Faso    Karting : Le Maroc deuxième de la MENA Nations Cup au Qatar    Foot. Yann Bisseck intéresse deux grands clubs anglais    Coupe de France : Face à Ayoub El Aynaoui, le PSG d'Achraf Hakimi qualifié aux tirs au but    Casablanca : Un automobiliste arrêté pour avoir percuté un restaurant de fast-food    Justice. Clôture de la 10ème Session ordinaire du Comité technique spécialisé de l'UA    Programme Riaya : Plus de 500 bénéficiaires d'une caravane médicale à Boulemane    Ce que le récit orienté de «l'historien» Ali Lmrabet tait    Rabat : l'ONP tient son conseil d'administration et annonce un référentiel national pour renforcer la traçabilité et la qualité des produits halieutiques    Températures prévues pour le mardi 24 décembre 2024    U.S. approves $88.37 million sale of Advanced Air-to-Air Missiles to Morocco    Oscars 2025. L'Afrique en lice    Recettes fiscales : croissance à deux chiffre en novembre    Loi de finances 2025 : les grandes mesures à la loupe    Maroc-UE, une étape charnière d'un partenariat stratégique de référence    L'axe Rabat-Paris en 2024 : une dynamique nouvelle et un avenir porteur de grands desseins    Funérailles à Casablanca de l'acteur feu Mohamed El Khalfi    Le grand mufti d'Al-Qods salue le soutien du Maroc au peuple palestinien    Karim El Aynaoui : «Pour relever les défis actuels, les pays en développement doivent adopter une approche globale et multidimensionnelle»    Fin de la deuxième édition du Salon international du livre de l'enfant et de la jeunesse 2024    PL : Un festival de buts lors de Tottenham-Liverpool !    Liga : Le Real met la pression sur l'Atlético    Botola : L'AS FAR bat le Hassania d'Agadir    Funérailles à Casablanca de l'acteur feu Mohamed El Khalfi    Botola : Le Raja Casablanca bat le Chabab Mohammedia    Les Etats-Unis approuvent la vente d'armements au Maroc d'une valeur de 86 millions de dollars... Des armes de précision de dernière génération    Selon le New York Times, «le Maroc a bien saisi que le football, au-delà d'un simple jeu, constitue un levier stratégique de développement économique et diplomatique»    MAGAZINE : Nour-Eddine Saïl, un hommage en contreplongée    Musique : Les notes jazz de l'arganier    Exposition : Yamou paysagiste de l'essentiel    L'acteur marocain Mohamed El Khalfi n'est plus    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Pegasus : une «signature faible » et des preuves incertaines pour accabler le Maroc ?
Publié dans Barlamane le 23 - 07 - 2021

Comment Amnesty et le consortium Forbidden Stories s'y sont-ils pris pour accuser le Maroc d'avoir infecté, ou tenté d'infecter 10 000 numéros de téléphone, dont ceux de chefs d'Etat, de gouvernement, d'organisations internationales ainsi que des journalistes ? À mesure que des éléments de réponse commencent à apparaître, il s'avère que les « révélations » de l'organisation internationale et du consortium de médias sont bien
incertaines...
À en croire Le Monde, Amnesty International aurait «retrouvé des traces de
Pegasus, portant la signature technique distinctive d'un même client, sur les
téléphones utilisés par le journaliste Edwy Plenel ou l'ancien ministre François de Rugy, tout comme sur les téléphones de la militante Claude Mangin et du journaliste marocain Omar Radi – deux personnes qui intéressent au plus haut point les services de renseignement marocains.» C'est ainsi que l'attribution d'une partie du listing au Maroc a pu être réalisée : une signature commune, une compilation de milliers d'individus dont quelques-uns présenteraient un intérêt pour le Maroc, et leur
certitude est faite.
France Info ne dit pas autre chose, lorsque la radio publique mêle deux registres de la preuve : celui de la preuve technique et celui de la présomption adossée à des inductions précipitées. Dans un live en date du jeudi 22 juillet, Jacques Monin, directeur de la cellule investigations de France Info, affirme que «deux éléments permettent de cibler le Maroc. D'un côté, la liste sur laquelle nous avons travaillé nous a permis d'identifier le client qui ciblait le millier de numéros français qui s'y trouvaient. De plus, des expertises ont trouvé des traces portant des signatures similaires sur des cibles françaises et marocaines, ce qui corrobore qu'elles sont ciblées par un même client. »
Pour sa part, Elodie Guéguen, autre journaliste de France Info qui a participé aux investigations, dit dans le même article que « concernant l'intérêt du Maroc, les numéros apparaissant dans la base de données reflètent bien les obsessions du renseignement marocain. On trouve énormément de numéros de militaires algériens, de diplomates en poste à Alger. On sait que l'Algérie est le frère ennemi du Maroc et que les deux pays s'espionnent mutuellement depuis longtemps. Emmanuel Macron
a été ciblé au moment où l'Algérie traversait une crise politique grave, et où le président français avait rappelé son ambassadeur pour discuter de la situation. »
Des « signatures » falsifiables
S'il existe des preuves solides et objectives, pourquoi en surajouter avec des
éléments supposés eux aussi être probatoires, comme « les obsessions du
renseignement marocain » (France Info), l'existence sur les listes de «personnes qui intéressent au plus haut point les services de renseignement marocains » (Le Monde), éléments que l'on peut qualifier de subjectifs ? Pourquoi croiser dans un même argumentaire un registre fort (celui de la preuve technique) avec un autre nettement plus faible (celui de la présomption) ? La raison est simple : la preuve technique ne tient pas, et doit être adossée à autre chose.
L'usage du terme « signature » par Le Monde comme par France Info n'est pas anodin. L'est également le maintien de l'ambiguïté sur ce qui est entendu par-là : une « signature » ne signifie pas la même chose, selon qu'elle soit utilisée en langage courant, ou en langage informatique dans le contexte de l'attribution d'une cyber-attaque. Dans sa première acception, la signature désigne l'ensemble de traits caractéristiques et reconnaissables permettant d'attribuer quelque chose à quelqu'un. Elle a une fonction individualisante et permet d'authentifier la paternité d'un acte.
L'économie sémiotique de la signature puise dans les registres de l'authentification et de la certification, souvent rattachés à celui de la certitude. Dans le second cas, elle désigne un ensemble de traces, d'indices et de pistes qui pourraient indiquer un ou des auteurs potentiels, bien souvent sans certitude absolue. Le lecteur ordinaire, non averti de la nuance, a bien des chances d'interpréter le terme « signature » dans son usage courant. Dans un article datant de 2016, intitulé à juste titre «Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks », Brian Bartholomew & Juan Andres Guerrero-Saade du Kaspersky Lab faisaient observer que «l'attribution (d'une attaque) est souvent le point d'intérêt et de controverse le plus important en matière de Threat Intelligence, tant pour des raisons directes que pour des raisons indirectes. Malgré le grand intérêt qui lui est prêté, la phase d'attribution reste peu comprise, et les complications qui en découlent souvent ignorées. De même, la valeur de l'attribution est souvent largement incontestée », et ce, en dépit des incertitudes dont elle est porteuse. Les deux chercheurs appellent à adopter des méthodes plus saines et à éviter certains biais : l'attribution d'une attaque informatique est un processus très complexe de collecte, de traitement et d'analyse de données souvent incomplètes, en raison du temps écoulé entre l'attaque et l'enquête, et souvent équivoques, car les modus operandi peuvent parfois être similaires. Ceci, quand des attaquants n'adoptent pas délibérément des patterns d'un autre malware, plantent des « false flags » et des traces informatiques renvoyant
vers une autre partie afin de faire diversion. Le résultat est qu'il est «généralement très difficile d'attribuer de manière concluante les cyberattaques à leurs auteurs, et les tactiques de diversion (qu'ils emploient) peuvent entraîner une mauvaise attribution, ce qui peut conduire à des représailles contre la mauvaise partie», selon un travail des experts Florian Skopik et Timea Pahi paru dans le journal de référence Cybersecurity, affilié à l'Institute of Information Engineering (IIE) de Beijing.
Il n'est hélas pas sûr que leur propos ait fait des émules. Car dans le cas de la liste d'Amnesty et de Forbidden Stories, cette « signature » est en réalité peu probante. Les rares données techniques rendues publiques par Amnesty dévoilent sa nature : un ensemble d'éléments et de certificats qui peuvent être falsifiés et introduits dans un set de données avec une telle aisance que le chercheur libanais en informatique et cryptographie appliquée Nadim Kobeissi s'est amusé à en fabriquer « en trente secondes » selon ses dires.
I decided to give the recent Pegasus coverage the benefit of the doubt and spent my lunch break looking up other reports by the same folks.
In a report published last week, their *only* evidence for attribution is a *self-signed* TLS certificate. That's not evidence. pic.twitter.com/SDdP5YBc8J
— Nadim Kobeissi (@kaepora) July 20, 2021
«Aucune des preuves (présentées par Amnesty et Forbidden Stories) n'est
immunisée de la falsification, et aucune ne permet de lier l'activité du logiciel malveillant à Pegasus spécifiquement. Tous ces rapports (et pas seulement le projet Pegasus) reposent sur des preuves maigres et falsifiables », écrit-il sur Twitter. « La « méthodologie jugée fiable » par Citizen Lab peut être falsifiée sans le moindre effort. Il s'agit tout simplement des pratiques de recherche scandaleusement mauvaises.
C'est ce qui se passe lorsque des amis politiquement alignés sont chargés du peer-review d'une recherche », affirme-t-il, faisant allusion à la validation de la méthodologie de recherche d'Amnesty par Citizen Lab.
I've read the report repeatedly and in detail. There is no evidence there that can't be falsified or that ties the malware's activity specifically to Pegasus. All of these reports (not just Pegasus Project) are built on scant, falsifiable evidence: https://t.co/T19gsKnvvl
— Nadim Kobeissi (@kaepora) July 22, 2021
Every single "methodology ruled sound" by Citizen Lab here can be faked with absolutely no effort. This is simply outrageously bad research practice, and what happens when your politically aligned buddies are charged with peer reviewing your research. https://t.co/kDOFD22U0t
— Nadim Kobeissi (@kaepora) July 22, 2021
«Ce que je veux dire », précise-t-il, « c'est qu'il est non seulement possible sans
effort, mais aussi très rentable, qu'un logiciel malveillant adopte intentionnellement le comportement de Pegasus. Ce fait important est ignoré», prévient Nadim Kobeissi.
What I'm saying is: it is not only effortlessly possible, but highly profitable, for malware to exist that intentionally adopts Pegasus's behavioral patterns. This important fact is being ignored.
— Nadim Kobeissi (@kaepora) July 22, 2021
Omerta d'Amnesty et de Forbidden Stories
Le chercheur, connu pour son soutien à Wikileaks et à Chelsea Manning, ainsi que pour sa création de Cryptocat, un service de discussion sécurisé lancé en 2011, qui lui avait valu des ennuis (et une tentative de piégeage) du FBI, va plus loin dans son propos : il accuse Amnesty de mensonge, lorsque l'organisation attribue les traces retrouvées sur les téléphones à NSO : «bullshit », « smoke and mirrors », « incompétence », etc.
Here's me accusing Amnesty's research team of lying when it came to their ability to do attribution for Pegasus Project, less than 48 hours ago.
Here's Amnesty admitting they were lying just a few hours ago: https://t.co/qKSq2mF1yI https://t.co/LnXMHsKCcR
— Nadim Kobeissi (@kaepora) July 21, 2021
Face à l'absence de preuves présentées et ce, malgré les relances répétées et
successives du Maroc, auxquelles s'ajoutent des appels émanant d'experts en informatique, pour combien de temps encore Amnesty et Forbidden Stories pourront-ils encore faire de la rétention d'information ?
Parmi les experts à réclamer plus de données: Kim Zetter, experte, journaliste d'investigation américaine qui couvre les domaines de la cybersécurité et la sécurité nationale depuis 1999 et auteure de plusieurs livres sur la question, Runa Sandvik, qui fut notamment directrice de la sécurité information du New York Times, ou encore The Grugq, un expert en cybersécurité cité par le passé par The New York Times, Washington Post, Forbes, Wired, TechCrunch, BoingBoing, VICE et BBC News, et bien d'autres.
This NSO story is getting a bit crazy. Would be great if the media outlets behind NSO story could provide more info about how they verified that this was a list of NSO targets, or potential targets, and not a list of something else.
— Kim Zetter (@KimZetter) July 20, 2021
Agree. If every phone number in the world is a potential target, what makes the ones on the list special?
— Runa Sandvik (@runasand) July 22, 2021
Well, now I'm not sure about how good the forensics are. One IOC was for an Apple process that runs as standard. I'm back to wanting a lot more data to make sense of what's actually going on
— thaddeus e. grugq (@thegrugq) July 21, 2021
The story was not coherent to begin with. The numbers just didn't make sense. It was clear that some number of phones were targets for Pegasus. But beyond that there wasn't any data presented
— thaddeus e. grugq (@thegrugq) July 21, 2021
So there has been a list of 50k phone numbers of phones that are apparently attacked with PEGASUS. I did not read all the articles. Were these 50k phone numbers informed about this? Will they be informed at some point? Will the numbers be released? Asking for my phones.
— Stefan Esser (@i0n1c) July 19, 2021
Questionnée par un lecteur qui aurait « aimé savoir comment les journalistes ont pu être en possession de cette fameuse liste (une taupe à NSO ?) et par là quelle fiabilité lui donner ? Savoir aussi si cette liste est complète ou partielle ? », la journaliste Elodie Guéguen, membre de la cellule investigations de France Info, a eu la réponse qu'on lui attendait : «on ne peut évidemment pas communiquer sur l'origine de cette liste, puisque la protection des sources est essentielle. La fiabilité
des informations qu'elle contient a été démontrée par des analyses techniques réalisées sur certains des téléphones qui y apparaissaient. On y a souvent trouvé des traces qui attestent des attaques, et qui valident la fiabilité de cette liste. » En d'autres termes, la fiabilité de la liste a été déterminée par l'analyse de 67 téléphones, dont seuls 37 auraient montré des signes d'infection (23 des signes d'infection réussie, et 14 des signes d'une tentative d'infection) ... sur 50 000.
La « protection des sources » est un prétexte bien commode, lorsqu'il s'agit
d'informations de provenance douteuse ou incertaine. Dans ce cas en particulier, nul ne demande l'identité de la source, mais l'origine des données et les données elles- mêmes, soit des éléments qui n'entrent pas le cadre de la protection des sources.
À partir de là, toutes les théories sont possibles : d'où provient cette liste ? A-t-elle été caviardée ? Des questions auxquelles nous tenterons de répondre dans les prochains jours, à la lumière des incohérences qui apparaissent dans le récit d'Amnesty et de Forbidden Stories.


Cliquez ici pour lire l'article depuis sa source.