Une délégation française à Dakhla explore les opportunités d'investissement    Sahara : Tebboune affirme avoir contraint l'Espagne à réviser son soutien au Maroc    Le Maroc et le Royaume-Uni souhaitent renforcer leur partenariat énergétique    Akhannouch représente le roi aux funérailles du Pape François    Un opposant à la marocanité du Sahara convié au congrès du PJD    Gard : Piste islamophobe dans le meurtre d'un fidèle dans une mosquée    Accra : Fouzi Lekjaa élu 1er vice-président de la CAF    Diaspo #386 : Ayman Ramdani, le sport et la culture pour l'autonomisation des jeunes    Diaspo #386: Ayman Ramdani, el deporte y la cultura para la autonomía de los jóvenes    Niger condemns Algeria's migrant deportations    Sahara : Tebboune claims he forced Spain to reconsider its support for Morocco    Le congrès du Parti de la Justice et du Développement provoque la colère des Marocains en raison des positions de ses invités    15ème édition du Concours National pour la sélection de la meilleure qualité d'huile d'olive vierge extra au titre de la campagne oléicole 2024/2025    Dakar accueille le premier Forum de l'Afrique de l'Ouest pour renforcer la coopération avec la Chine dans les domaines du développement et de la modernisation    Grand Prix Moulay El Hassan : Les anges gardiens du meeting    Affrontements armés dans les camps de Tindouf... Des images révèlent la tension    Un parti marocain ouvre ses portes à une figure hostile à la marocanité du Sahara    Congrès du Parti de la Justice et du Développement : d'une tribune politique à une plateforme portant atteinte aux constantes nationales    Pâturage nomade et dommages à Agadir : Le PPS interpelle l'Intérieur    COMEDIABLANCA : quand l'humour marocain s'affirme comme une force culturelle majeure    Al Moutmir. Nouvelles solutions révélées au SIAM    CAN(f) Futsal Maroc 25 : La Tanzanie rejoint le carré final    Ligue 1 : Le PSG perd et le match et son invincibilité en Ligue 1 !    500 Médecins Généralistes en Réunion de formation médicale continue à Tanger    Faire du numérique et de l'IA un levier de productivité durable au Maroc – Une approche systémique appliquée    Autocaz : un 4e anniversaire sous le signe des bonnes affaires    Le fonds MCIII Al Razi Ltd revoit sa position dans Akdital    SIAM 2025 : l'IRESEN dévoile les résultats de ses projets R&D    La météo pour ce samedi 26 avril    Sahel : Le Niger dénonce les expulsions de migrants par l'Algérie    Service militaire 2025 : Début de l'opération de recensement    Ligue des Champions CAF : Pyramids FC rejoint Mamelodi Sundowns en finale    Averses orageuses avec grêle locale et rafales de vent, vendredi dans plusieurs provinces du Royaume    2èmes Assises du Féminisme, pour l'égalité économique    Congrès du PJD. Le casse du siècle    Résultats de la 9ème édition du Grand Prix National de la Presse Agricole et Rurale    Mawazine 2025 : Michael Kiwanuka, la soul britannique sous les étoiles de Rabat    Taghazout Bay célèbre l'humour marocain et l'âme d'Edith Piaf    Le Casa Fashion Show souffle sa 20ème bougie    Gabon/Présidentielle: la Cour constitutionnelle confirme l'élection de Brice Clotaire Oligui Nguema    L'Inspecteur Général des FAR effectue une visite de travail en Ethiopie    Algérie... La liberté d'expression à la merci des militaires    SIEL 2025 : Des illustrateurs marocains valorisent le patrimoine de Rabat    Walid Regragui : Le Maroc offre aux joueurs binationaux un projet de cœur et de conviction    La Chine dément toute négociation commerciale avec Washington : pas de consultations ni d'accord en vue    CAN futsal : Le Maroc bat le Cameroun et file en demi-finale    Mustapha Fahmi amène Cléopâtre et Shakespeare au SIEL 2025    Un chef patissier marocain bat le record Guinness, en réalisant le plus long fraisier du monde    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Pegasus : une «signature faible » et des preuves incertaines pour accabler le Maroc ?
Publié dans Barlamane le 23 - 07 - 2021

Comment Amnesty et le consortium Forbidden Stories s'y sont-ils pris pour accuser le Maroc d'avoir infecté, ou tenté d'infecter 10 000 numéros de téléphone, dont ceux de chefs d'Etat, de gouvernement, d'organisations internationales ainsi que des journalistes ? À mesure que des éléments de réponse commencent à apparaître, il s'avère que les « révélations » de l'organisation internationale et du consortium de médias sont bien
incertaines...
À en croire Le Monde, Amnesty International aurait «retrouvé des traces de
Pegasus, portant la signature technique distinctive d'un même client, sur les
téléphones utilisés par le journaliste Edwy Plenel ou l'ancien ministre François de Rugy, tout comme sur les téléphones de la militante Claude Mangin et du journaliste marocain Omar Radi – deux personnes qui intéressent au plus haut point les services de renseignement marocains.» C'est ainsi que l'attribution d'une partie du listing au Maroc a pu être réalisée : une signature commune, une compilation de milliers d'individus dont quelques-uns présenteraient un intérêt pour le Maroc, et leur
certitude est faite.
France Info ne dit pas autre chose, lorsque la radio publique mêle deux registres de la preuve : celui de la preuve technique et celui de la présomption adossée à des inductions précipitées. Dans un live en date du jeudi 22 juillet, Jacques Monin, directeur de la cellule investigations de France Info, affirme que «deux éléments permettent de cibler le Maroc. D'un côté, la liste sur laquelle nous avons travaillé nous a permis d'identifier le client qui ciblait le millier de numéros français qui s'y trouvaient. De plus, des expertises ont trouvé des traces portant des signatures similaires sur des cibles françaises et marocaines, ce qui corrobore qu'elles sont ciblées par un même client. »
Pour sa part, Elodie Guéguen, autre journaliste de France Info qui a participé aux investigations, dit dans le même article que « concernant l'intérêt du Maroc, les numéros apparaissant dans la base de données reflètent bien les obsessions du renseignement marocain. On trouve énormément de numéros de militaires algériens, de diplomates en poste à Alger. On sait que l'Algérie est le frère ennemi du Maroc et que les deux pays s'espionnent mutuellement depuis longtemps. Emmanuel Macron
a été ciblé au moment où l'Algérie traversait une crise politique grave, et où le président français avait rappelé son ambassadeur pour discuter de la situation. »
Des « signatures » falsifiables
S'il existe des preuves solides et objectives, pourquoi en surajouter avec des
éléments supposés eux aussi être probatoires, comme « les obsessions du
renseignement marocain » (France Info), l'existence sur les listes de «personnes qui intéressent au plus haut point les services de renseignement marocains » (Le Monde), éléments que l'on peut qualifier de subjectifs ? Pourquoi croiser dans un même argumentaire un registre fort (celui de la preuve technique) avec un autre nettement plus faible (celui de la présomption) ? La raison est simple : la preuve technique ne tient pas, et doit être adossée à autre chose.
L'usage du terme « signature » par Le Monde comme par France Info n'est pas anodin. L'est également le maintien de l'ambiguïté sur ce qui est entendu par-là : une « signature » ne signifie pas la même chose, selon qu'elle soit utilisée en langage courant, ou en langage informatique dans le contexte de l'attribution d'une cyber-attaque. Dans sa première acception, la signature désigne l'ensemble de traits caractéristiques et reconnaissables permettant d'attribuer quelque chose à quelqu'un. Elle a une fonction individualisante et permet d'authentifier la paternité d'un acte.
L'économie sémiotique de la signature puise dans les registres de l'authentification et de la certification, souvent rattachés à celui de la certitude. Dans le second cas, elle désigne un ensemble de traces, d'indices et de pistes qui pourraient indiquer un ou des auteurs potentiels, bien souvent sans certitude absolue. Le lecteur ordinaire, non averti de la nuance, a bien des chances d'interpréter le terme « signature » dans son usage courant. Dans un article datant de 2016, intitulé à juste titre «Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks », Brian Bartholomew & Juan Andres Guerrero-Saade du Kaspersky Lab faisaient observer que «l'attribution (d'une attaque) est souvent le point d'intérêt et de controverse le plus important en matière de Threat Intelligence, tant pour des raisons directes que pour des raisons indirectes. Malgré le grand intérêt qui lui est prêté, la phase d'attribution reste peu comprise, et les complications qui en découlent souvent ignorées. De même, la valeur de l'attribution est souvent largement incontestée », et ce, en dépit des incertitudes dont elle est porteuse. Les deux chercheurs appellent à adopter des méthodes plus saines et à éviter certains biais : l'attribution d'une attaque informatique est un processus très complexe de collecte, de traitement et d'analyse de données souvent incomplètes, en raison du temps écoulé entre l'attaque et l'enquête, et souvent équivoques, car les modus operandi peuvent parfois être similaires. Ceci, quand des attaquants n'adoptent pas délibérément des patterns d'un autre malware, plantent des « false flags » et des traces informatiques renvoyant
vers une autre partie afin de faire diversion. Le résultat est qu'il est «généralement très difficile d'attribuer de manière concluante les cyberattaques à leurs auteurs, et les tactiques de diversion (qu'ils emploient) peuvent entraîner une mauvaise attribution, ce qui peut conduire à des représailles contre la mauvaise partie», selon un travail des experts Florian Skopik et Timea Pahi paru dans le journal de référence Cybersecurity, affilié à l'Institute of Information Engineering (IIE) de Beijing.
Il n'est hélas pas sûr que leur propos ait fait des émules. Car dans le cas de la liste d'Amnesty et de Forbidden Stories, cette « signature » est en réalité peu probante. Les rares données techniques rendues publiques par Amnesty dévoilent sa nature : un ensemble d'éléments et de certificats qui peuvent être falsifiés et introduits dans un set de données avec une telle aisance que le chercheur libanais en informatique et cryptographie appliquée Nadim Kobeissi s'est amusé à en fabriquer « en trente secondes » selon ses dires.
I decided to give the recent Pegasus coverage the benefit of the doubt and spent my lunch break looking up other reports by the same folks.
In a report published last week, their *only* evidence for attribution is a *self-signed* TLS certificate. That's not evidence. pic.twitter.com/SDdP5YBc8J
— Nadim Kobeissi (@kaepora) July 20, 2021
«Aucune des preuves (présentées par Amnesty et Forbidden Stories) n'est
immunisée de la falsification, et aucune ne permet de lier l'activité du logiciel malveillant à Pegasus spécifiquement. Tous ces rapports (et pas seulement le projet Pegasus) reposent sur des preuves maigres et falsifiables », écrit-il sur Twitter. « La « méthodologie jugée fiable » par Citizen Lab peut être falsifiée sans le moindre effort. Il s'agit tout simplement des pratiques de recherche scandaleusement mauvaises.
C'est ce qui se passe lorsque des amis politiquement alignés sont chargés du peer-review d'une recherche », affirme-t-il, faisant allusion à la validation de la méthodologie de recherche d'Amnesty par Citizen Lab.
I've read the report repeatedly and in detail. There is no evidence there that can't be falsified or that ties the malware's activity specifically to Pegasus. All of these reports (not just Pegasus Project) are built on scant, falsifiable evidence: https://t.co/T19gsKnvvl
— Nadim Kobeissi (@kaepora) July 22, 2021
Every single "methodology ruled sound" by Citizen Lab here can be faked with absolutely no effort. This is simply outrageously bad research practice, and what happens when your politically aligned buddies are charged with peer reviewing your research. https://t.co/kDOFD22U0t
— Nadim Kobeissi (@kaepora) July 22, 2021
«Ce que je veux dire », précise-t-il, « c'est qu'il est non seulement possible sans
effort, mais aussi très rentable, qu'un logiciel malveillant adopte intentionnellement le comportement de Pegasus. Ce fait important est ignoré», prévient Nadim Kobeissi.
What I'm saying is: it is not only effortlessly possible, but highly profitable, for malware to exist that intentionally adopts Pegasus's behavioral patterns. This important fact is being ignored.
— Nadim Kobeissi (@kaepora) July 22, 2021
Omerta d'Amnesty et de Forbidden Stories
Le chercheur, connu pour son soutien à Wikileaks et à Chelsea Manning, ainsi que pour sa création de Cryptocat, un service de discussion sécurisé lancé en 2011, qui lui avait valu des ennuis (et une tentative de piégeage) du FBI, va plus loin dans son propos : il accuse Amnesty de mensonge, lorsque l'organisation attribue les traces retrouvées sur les téléphones à NSO : «bullshit », « smoke and mirrors », « incompétence », etc.
Here's me accusing Amnesty's research team of lying when it came to their ability to do attribution for Pegasus Project, less than 48 hours ago.
Here's Amnesty admitting they were lying just a few hours ago: https://t.co/qKSq2mF1yI https://t.co/LnXMHsKCcR
— Nadim Kobeissi (@kaepora) July 21, 2021
Face à l'absence de preuves présentées et ce, malgré les relances répétées et
successives du Maroc, auxquelles s'ajoutent des appels émanant d'experts en informatique, pour combien de temps encore Amnesty et Forbidden Stories pourront-ils encore faire de la rétention d'information ?
Parmi les experts à réclamer plus de données: Kim Zetter, experte, journaliste d'investigation américaine qui couvre les domaines de la cybersécurité et la sécurité nationale depuis 1999 et auteure de plusieurs livres sur la question, Runa Sandvik, qui fut notamment directrice de la sécurité information du New York Times, ou encore The Grugq, un expert en cybersécurité cité par le passé par The New York Times, Washington Post, Forbes, Wired, TechCrunch, BoingBoing, VICE et BBC News, et bien d'autres.
This NSO story is getting a bit crazy. Would be great if the media outlets behind NSO story could provide more info about how they verified that this was a list of NSO targets, or potential targets, and not a list of something else.
— Kim Zetter (@KimZetter) July 20, 2021
Agree. If every phone number in the world is a potential target, what makes the ones on the list special?
— Runa Sandvik (@runasand) July 22, 2021
Well, now I'm not sure about how good the forensics are. One IOC was for an Apple process that runs as standard. I'm back to wanting a lot more data to make sense of what's actually going on
— thaddeus e. grugq (@thegrugq) July 21, 2021
The story was not coherent to begin with. The numbers just didn't make sense. It was clear that some number of phones were targets for Pegasus. But beyond that there wasn't any data presented
— thaddeus e. grugq (@thegrugq) July 21, 2021
So there has been a list of 50k phone numbers of phones that are apparently attacked with PEGASUS. I did not read all the articles. Were these 50k phone numbers informed about this? Will they be informed at some point? Will the numbers be released? Asking for my phones.
— Stefan Esser (@i0n1c) July 19, 2021
Questionnée par un lecteur qui aurait « aimé savoir comment les journalistes ont pu être en possession de cette fameuse liste (une taupe à NSO ?) et par là quelle fiabilité lui donner ? Savoir aussi si cette liste est complète ou partielle ? », la journaliste Elodie Guéguen, membre de la cellule investigations de France Info, a eu la réponse qu'on lui attendait : «on ne peut évidemment pas communiquer sur l'origine de cette liste, puisque la protection des sources est essentielle. La fiabilité
des informations qu'elle contient a été démontrée par des analyses techniques réalisées sur certains des téléphones qui y apparaissaient. On y a souvent trouvé des traces qui attestent des attaques, et qui valident la fiabilité de cette liste. » En d'autres termes, la fiabilité de la liste a été déterminée par l'analyse de 67 téléphones, dont seuls 37 auraient montré des signes d'infection (23 des signes d'infection réussie, et 14 des signes d'une tentative d'infection) ... sur 50 000.
La « protection des sources » est un prétexte bien commode, lorsqu'il s'agit
d'informations de provenance douteuse ou incertaine. Dans ce cas en particulier, nul ne demande l'identité de la source, mais l'origine des données et les données elles- mêmes, soit des éléments qui n'entrent pas le cadre de la protection des sources.
À partir de là, toutes les théories sont possibles : d'où provient cette liste ? A-t-elle été caviardée ? Des questions auxquelles nous tenterons de répondre dans les prochains jours, à la lumière des incohérences qui apparaissent dans le récit d'Amnesty et de Forbidden Stories.


Cliquez ici pour lire l'article depuis sa source.