Un employé mécontent tente de vendre Pegasus sur le Dark Web

kellepics / Pixabay

Le secteur de la cybersécurité en , en particulier le groupe de sécurité NSO Group, vient de comprendre ce qui se passe lorsqu’un employé motivé décide de rompre sa confiance et de se retourner son employeur. NSO s’est retrouvé au cœur de ce que certains pourraient qualifier de bon scénario techno-dramatique, lorsqu’un employé relativement nouveau (moins de 90 jours), copiait le logiciel , quittait l’entreprise avec, puis   le proposait à la vente sur le Dark Web. Prix ? 50 millions de dollars. La dernière fois qu’une boîte à outils a été proposée à la vente avec ce type de prix, c’est lorsque la suite d’outils de la NSA a été mise en vente par Shadow Brokers pour 500 millions de dollars.

Qu’est-ce que Pegasus?

L’application Pegasus est une suite d’outils, y compris les logiciels malveillants, qui sont vendus à uniquement des gouvernements  pour leur interception légale. Selon un article de Forbes publié en août 2016, NSO a créé le kit d’espionnage mobile le plus invasif au monde. Avec Pegasus, les logiciels malveillants sont diffusés par SMS et l’iPhone est également compromis. Forbes explique que Pegasus peut fouiner dans les applications iMessage, Gmail, , , WhatsApp, Telegram, et Skype.

Le Mexique a utilisé Pegasus pour surveiller les journalistes et les Emirats Arabes Unis ont utilisé Pegasus pour surveiller et poursuivre les dissidents. Le gouvernement israélien, le département de contrôle des exportations de la défense du ministère de la Défense, surveille la vente de Pegasus.

Qui possède Pegasus aujourd’hui ?

Aucune preuve  qui indiquerait qu’une vente a été faite, ni aucune information indiquant que l’employé a partagé une copie avec d’autres personnes. Quand on lui a demandé si Pegasus est maintenant dans la nature en raison des actions de leur ancien employé, NSO a déclaré :  Les tentatives de vol d’informations internes à une entreprise sont toujours des menaces pour la prévention et l’identification, auquel cas l’entreprise a rapidement identifié la tentative de vol, a immédiatement enquêté et identifié l’agent concerné. L’ancien employé a été arrêté et arrêté par la police sur la base du matériel incriminant recueilli par la compagnie.

L’employé mécontent de NSO

L’acte d’accusation (en hébreu)  explique pourquoi l’employé a choisi de rompre la confiance et démontre que les outils de prévention des pertes de données (DLP) ne fonctionnent que si vous les utilisez. L’individu n’est pas identifié par son nom, il est plutôt identifié comme un homme de 38 ans qui s’est joint à NSO en novembre 2017 en tant que programmeur principal au sein de l’équipe d’automatisation de NSO. En février 2018, environ trois mois après son embauche, il a été convoqué à une réunion pour discuter de sa performance insatisfaisante.

On ne sait pas si on lui a dit qu’il était congédié ou qu’il était placé sur un plan d’amélioration du rendement. Ce qui est clair, c’est que l’individu a quitté la réunion et il est retourné à son poste de travail. Ensuite, il a commencé à chercher des moyens de contourner les logiciels de sécurité, vraisemblablement DLP. L’acte d’accusation continue à décrire comment l’employé a compromis le logiciel de sécurité, puis téléchargé les fichiers associés à Pegasus. Une fois qu’il avait les fichiers sur son poste de travail, il les a transféré sur une clé USB, puis les a sortis du bâtiment.

Sa tentative de vendre Pegasus sur le Dark Web a échoué lorsque son acheteur potentiel a informé NSO. NSO a appelé la police et le service de sécurité intérieure israélien, le Shin Bet, est intervenu. L’employé a été arrêté. Temps total écoulé : 21 jours. Au cours de cette histoire, il sera intéressant de savoir si l’employé a réussi à désarmer le schéma DLP de NSO ou si le DLP a déclenché une alarme, mais qu’elle a été ignoré.

Alors que la surveillance des ventes par le Ministère de la défense israélien garantit que la demande n’est vendue qu’à ceux qui ne représentent pas une menace pour Israël, nous devons rester vigilants pour la prolifération de Pegasus auprès des acteurs non-étatiques et des pays comme Iran.

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *