Comment bloquer les domaines liés à Pegasus

[laliche]

Pegasus est un logiciel espion développé par NSO Group, une entreprise israélienne fondée en 2010 par Niv Carmi, Shalev Hulio et Omri Lavie. Le nom « Pegasus » fait référence au cheval ailé de la mythologie grecque, symbolisant un cheval de Troie numérique.

Révélation

Le développement du logiciel a débuté dès 2011, et sa première version a été commercialisée à partir de 2013, principalement destinée aux gouvernements pour lutter contre le terrorisme et le crime organisé.
Cependant, des enquêtes comme le Projet Pegasus (2021) ont révélé son utilisation massive contre des journalistes, activistes, opposants politiques et chefs d’État.
Ce spyware sophistiqué, souvent déployé via des vulnérabilités zero-day, peut contourner les protections DNS classiques. La sécurité passe par un DNS Privé sécurisé comme NextDNS et aussi par la mise à jour des systèmes, l’utilisation d’antivirus et une vigilance accrue.

Le Maroc utilise Pegasus depuis au moins 2018, selon les analyses du Citizen Lab de l’Université de Toronto.
Des cas avérés incluent :
L’infection du téléphone du journaliste marocain Omar Radi en 2019.
Le ciblage de militants des droits humains comme Aminatou Haidar dès septembre 2018.
Des tentatives d’espionnage contre des responsables français, dont Emmanuel Macron, dès 2019.
Bien que le Maroc nie officiellement son utilisation, des preuves techniques confirment l’activité de Pegasus sur son territoire et à l’étranger depuis 2018.

Les pays les plus impliqués dans l’utilisation de Pegasus sont :

Mexique : Plus de 15 000 numéros ciblés, dont journalistes, avocats et opposants.
Émirats arabes unis : Plus de 10 000 cibles, notamment des dissidents et militants.
Maroc : Plus de 10 000 cibles, y compris des journalistes français comme ceux de Mediapart.
Arabie saoudite : Ciblage de proches de Jamal Khashoggi avant son assassinat.
Inde : Journalistes, opposants politiques et militants surveillés.
Hongrie : Utilisation sous le régime d’Orbán pour cibler des médias critiques.
Azerbaïdjan, Bahreïn, Rwanda, Togo, Kazakhstan : Également identifiés comme clients de NSO.

Ces pays figurent parmi les 11 principaux clients révélés par le Projet Pegasus en 2021

Voici une liste non exhaustive de domaines malveillants associés à Pegasus qu'il faut bloquer pour réduire les risques d'infection pat Pegasus,ils sont identifiés par des recherches techniques menées notamment par Amnesty International et The Citizen Lab :
Domaines liés à Pegasus

    lphantom.com

     iphonelocation.com

    qualitysecure.net

    mysecuretelcome.info

    cloud-sec-check.com

    drp32k77.todoinfonet.com

    imgi64kf5so6k.transferlights.com

    pc43v65k.alignmentdisabled.net

    img54fsd3267h.prioritytrail.net

    jsfk3d43.netvisualizer.com

    cdn42js666.manydnsnow.com

    css1833iv.handcraftedformat.com

    js43fsf7v.opera-van.com

    pypip36z19.myfundsdns.com

    css912jy6.reception-desk.net

    js85mail.preferenceviews.com

    mongo87a.sweet-water.org

    react12x2.towebsite.net

    jsb8dmc5z4.gettingurl.com

    urlpush.net

    free247downloads.com

    tahmilmilafate.com

Ces domaines sont souvent utilisés pour des attaques par injection réseau ou comme serveurs de commande et contrôle (C2).
Beaucoup sont hébergés sur des infrastructures cloud comme DigitalOcean, Amazon AWS, ou Linode.

Note : Ces domaines sont souvent temporaires et changent fréquemment. Leur blocage via un service comme NextDNS peut aider à détecter ou prévenir certaines tentatives d’infection, mais ne protège pas contre les attaques zero-click exploitant des vulnérabilités inconnues.