jeff bezos
Products and Services PRODUCTS & SERVICES

Selon l’ONU, le prince héritier saoudien MBS aurait piraté le téléphone de Jeff Bezos

Un examen forensique du téléphone portable du PDG d'Amazon, Jeff Bezos, a montré qu'il aurait été infecté par un malware, probablement le célèbre spyware mobile Pegasus du NSO Group.

Ce dernier aurait exfiltré des messages personnels et proviendrait du compte WhatsApp personnel du prince héritier saoudien Mohammed ben Salmane.

Les Nations Unies ont confirmé cette allégation en dévoilant la semaine dernière des preuves détaillées.

Le rapport des Nations Unies indique que tous les détails de l’examen digital forensique du téléphone de Jeff Bezos ont été mis à la disposition de ses rapporteurs spéciaux. La publication de ce rapport faisait suite au récit de ce piratage fait par The Guardian et publié en début de semaine dernière.

Le rapport a été rédigé par Agnes Callamard, une experte de l’ONU sur les exécutions extrajudiciaires et qui a enquêté sur le meurtre du chroniqueur du Washington Post Jamal Khashoggi, et par David Kaye, qui enquête sur les violations de la liberté de la presse. Jeff Bezos est propriétaire du Washington Post.

Khashoggi a été tué en octobre 2018 par des agents du gouvernement saoudien qui auraient à priori utilisé Pegasus pour pirater le téléphone de son ami.

Selon le rapport de l’ONU, le compte WhatsApp du prince héritier a envoyé à Jeff Bezos un message sarcastique un mois après l’assassinat de Khashoggi. Voici un extrait du rapport :

Une seule photo a été envoyée par SMS à M. Bezos à partir du compte WhatsApp du prince héritier, avec une légende sardonique. C’était la photo d’une femme ressemblant à la femme avec laquelle Bezos aurait eu une aventure, des mois avant que l’affaire Bezos ne soit divulguée publiquement.

L’homme le plus riche du monde avait eu une conversation WhatsApp apparemment amicale avec ben Salmane lorsque, le 1er mai 2018, un fichier non sollicité a été envoyé depuis le téléphone du prince héritier.

En quelques heures, une mine de données a été exfiltrée depuis le téléphone de Jeff Bezos, bien que l’examen forensique n’ait pu révéler le contenu précis des messages.

Selon les informations forensiques publiées par l’ONU, le message non sollicité provenant du compte WhatsApp de ben Salmane était une vidéo. Après sa réception, le téléphone de Bezos a commencé à exfiltrer des données à un rythme extraordinaire : la sortie de données a augmenté de 29 156 %. Il n’est pas seulement resté à ce haut niveau pendant des mois; il a également atteint des taux jusqu’à 106 031 045 % supérieurs aux taux de transfert de données sortantes normaux du téléphone.

Il semblerait que le téléphone de Jeff Bezos ait pu être infecté par le spyware mobile Pegasus, ont conclu les experts. Selon la déclaration de l’ONU :

Les experts ont indiqué que l’explication la plus probable de cette sortie anormale de données était l’utilisation de spywares mobiles tels que Pegasus du NSO Group ou, moins probablement, Galileo de Hacking Team, qui peuvent se connecter à des applications légitimes pour contourner la détection et obfusquer leur activité. Par exemple, après le pic initial d’exfiltration suite à la réception du fichier vidéo suspect, plus de 6 Go de données sortantes ont été détectés à l’aide de vecteurs d’exfiltration.

Avant qu’elle ne soit corrigée en mai 2019, une vulnérabilité zero-day dans WhatsApp aurait permis à des espions, via un seul appel, d’accéder à votre téléphone et d’y installer des spywares, en particulier Pegasus.

Le spyware mobile a été utilisé contre des activistes politiques mexicains; a visé l’ONG Amnesty International, qui promeut la défense des droits de l’homme, via une attaque de spearphishing; et utilisé contre Ahmed Mansoor, un éminent militant des droits humains et dissident politique aux Émirats arabes unis qui a été condamné à 10 ans de prison et à une amende de 1 000 000 de dirham émirati (soit environ 245 000 €) après avoir été accusé d'”insultes aux Émirats arabes unis et à ses symboles”.

En mai 2019, Amnesty International a déposé une plainte visant à mettre fin au “réseau de surveillance” qui, selon elle, est rendu possible par NSO Group, la société israélienne qui développe Pegasus.

Comme décrit dans son affidavit, une infection Pegasus peut être mise en œuvre de plusieurs façons. Le plus souvent, une cible clique sur un lien d’exploit, souvent envoyé par message texte. Cette action déclenche le téléchargement sur un appareil mobile.

Une fois installé, Pegasus se transforme en un “espion numérique silencieux“, selon l’appellation trouvée par Citizen Lab. Il peut accéder à tout type de contenu, y compris les contacts, les photos, l’historique des appels et les messages texte précédents, quels que soient le chiffrement ou les autres protections en place. Il permet également à son opérateur de faire fonctionner à distance la caméra et le micro d’un appareil, permettant l’écoute à distance des conversations, ainsi qu’un suivi passif ou actif des données de localisation d’une cible.

Le timing de l’attaque ayant visé le téléphone de Jeff Bezos semble révéler au grand jour une exfiltration de contenu très intime ayant alimenté la presse à scandale. En effet, cette récupération de données a précédé la publication par National Enquirer en janvier dernier de détails intimes sur la vie de Bezos, y compris les sextos concernant son aventure extraconjugale.

L’histoire relatée par le tabloïd a été le déclencheur de ce que les sources de The Guardian ont décrit comme une “course contre la montre” dans laquelle s’était engagée l’équipe de sécurité du PDG d’Amazon pour comprendre comment son téléphone avait bien pu être piraté. American Media Inc (AMI), qui publie le National Enquirer, a nié avoir été prévenu par le prince saoudien, mais la propre équipe du PDG d’Amazon a constaté avec “un niveau de confiance élevé” que les Saoudiens étaient derrière ce piratage.

Ce démenti est survenu en mars 2019, après que le consultant en sécurité de Jeff Bezos, Gavin de Becker, ait écrit une tribune libre pour le Daily Beast dans lequel il a déclaré que son enquête avait conclu que les Saoudiens avaient accédé au téléphone du chef de la sécurité d’Amazon.

Nos enquêteurs et plusieurs experts ont conclu, avec un niveau de confiance élevé, que les Saoudiens avaient eu accès au téléphone de Bezos et obtenu des informations privées. À ce jour, on ne sait pas dans quelle mesure, le cas échéant, AMI était au courant des détails.

L’Arabie saoudite a rejeté les accusations visant ben Salmane, les qualifiant d’”absurdes”.

Dernier podcast Sophos-Naked Security

Billet inspiré de UN report alleges that Saudi crown prince hacked Jeff Bezos’s phone, sur Sophos nakedsecurity.