Voici les étapes pour savoir si votre téléphone est infecté et espionné par le logiciel Pegasus. C’st technique, mais vous y arriverez à force de volonté
Pour démarrer, utilisez un ordinateur sous Windows 10. L’outil conseillé pour démarrer la vérification est le MVT « Mobile Verification Toolkit ».
1 – Exécutez MVT
Si vous n’avez pas Docker Desktop, téléchargez-le sur le site docker.com et exécutez MVT dans ce logiciel. Cela pemet de créer l’environnement de l’analyse.
2- Installez « Git for Windows »
Une fois que c’est fait, installez le logiciel de gestion de version de code informatique « Git for Windows ».
3- Exécutez ces lignes de commandes
Une fois installée, ouvrez l’interface « Git CMD » puis exécutez ces lignes de commandes ci-dessous.
. git clone https://github.com/mvt-project/mvt.git
. cd mvt
. docker build -t mvt .
Vous verrez que le container de MVT sera créé et vous pourrez le voir dans Docker Desktop.
4- Distribution Ubuntu
Ensuite, allez dans le Windows Store de votre machine puis installez la distribution Ubuntu.
Une fois installée, suivez cette procédure « Settings → Resources → WSL Integration » et cochez la case Ubuntu.
5- Dossier « Mvt-scan »
Vous avancez très bien. Cherchez à présent à créer un dossier « mvt-scan » sur un espace de stockage très grand. Nous svons choisi de notre côté une clé Usb de 128 Go qui s’affiche sur le lecteur E. Ouvrez maintenant une fenêtre de commandes Powershell et exécutez les commandes ci-dessous :
- cd [chemin de votre dossier mvt-scan]
- mkdir iocs
- mkdir results
- cd iocs
- wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O pegasus.stix2
Vous venez de créer les dossiers « iocs » et « results », et de télécharger les indices de compromission relevés par les chercheurs d’AISL.
Analaye proprement dit
Pour analyser maintenant votre iPhone et iPad,
- Faites une sauvegarde non chiffrée de votre mobile avec le logiciel iTunes et copiez le répertoire de cette sauvegarde dans votre dossier « mvt-scan ». Le répertoire est disponible dans C:\Utilisateurs\[votre nom d’utilisateur]\Apple\MobileSync\Backup. Son nom va s’afficher par une suite de chiffres et de lettres et l’opération peut prendre du temps.
- 2- Vous ouvez maintenant une fenêtre Powershell et vous tapez la commande ci-dessous :
- wsl -d Ubuntu
Si votre dossier mvt-scan est sur un support de stockage externe, il faudra d’abord le « monter » dans Ubuntu pour que son contenu puisse apparaître dans le système de fichiers. Dans notre cas, cela donne :
- sudo mkdir /mnt/e
- sudo mount -t drvfs e: /mnt/e
3) Ensuite il faut lancer l’analyse MVT dans l’environnement Docker. Pour cela tapez les commandes suivantes :
- docker run -v [chemin du repertoire mvt-scan]:/home/cases/mvt-scan -it mvt
- mvt-ios check-backup –iocs ./mvt-scan/iocs/pegasus.stix2 –output ./mvt-scan/results/ ./mvt-scan/[nom du répertoire de sauvegarde iOS]
Si le répertoire « mvt-scan » est sur le disque local, il suffit d’indiquer le chemin Windows, mais en remplaçant les antislash par des slash. Par exemple : « ~Desktop/mvt-scan ». S’il est sur un disque externe, il faudra utiliser l’accès créé plus haut, en occurrence « /mnt/e/mvt-scan ».
4) Les résultats de l’analyse sont stockés dans le dossier « results » sous forme de fichiers JSON. Si vous y trouvez un fichier dont le nom inclut le mot « detected », c’est que vous avez été infecté par Pegasus. Il est recommandé de contacter alors Amnesty International.
Lady Samira avec 01net.com