Exploitation Zero-Day d'iPhone Dangereuse Utilisée par des Hackers Gouvernementaux Maintenant Corrigée par Apple

En ce qui concerne la vie privée, les agences gouvernementales n’ont pas toujours été du bon côté de la loi, c’est en fait pour cette raison même que les fuites de Snowden ont eu un tel impact. Le 10 août, Ahmed Mansoor, un activiste des droits de l’homme des Émirats, a reçu un message étrange d’un numéro inconnu sur son iPhone. Le message contenait un lien hypertexte plutôt accrocheur qui disait “Nouveaux secrets sur la torture des Émiratis dans les prisons d’État.”

Mansoor avait déjà été victime de hackers gouvernementaux utilisant des produits disponibles dans le commerce et ce lien ne faisait que renforcer ses soupçons. L’activiste a ensuite transféré le message à un chercheur de Citizen Lab nommé Bill Marczak. Après un examen de près, il a été établi que le soupçon de Mansoor était fondé. Le message n’était rien d’autre qu’une couverture qui transportait un logiciel malveillant sophistiqué comme charge utile. Le logiciel malveillant était en fait une triple menace qui exploitait trois vulnérabilités différentes dans l’iOS d’Apple qui étaient inconnues du monde (elles ont été corrigées maintenant).

Des rapports de Citizen Lab et de la société de sécurité mobile Lookout ont confirmé que l’attaquant aurait eu un accès complet à l’iPhone de Mansoor s’il avait ouvert le lien. Les entreprises de sécurité ont en outre déclaré que le logiciel malveillant était “l’un des logiciels d’espionnage cybernétique les plus sophistiqués que nous ayons jamais vus.” Ne vous y trompez pas, exploiter les zero-days ou les bugs inconnus dans l’iPhone ne peut pas être l’œuvre d’un hacker de ruelle. Nous devons réaliser que des outils d’une valeur allant jusqu’à un million de dollars ont été instrumentaux dans cette attaque qui consiste à jailbreaker un iPhone à distance.

Les cybercriminels se sont déguisés en syndicat organisé et en fait, il a également été révélé plus tôt que des fournisseurs proposent des ransomwares en tant que services, tout comme les logiciels en tant que service (SaaS). Pour revenir à cela, la société (il est sûr de l’appeler ainsi) qui a fourni l’exploitation zero-day aux hackers est une entreprise de surveillance discrète basée en Israël appelée NSO Group.

NSO est notoire pour avoir fourni des logiciels malveillants sophistiqués aux gouvernements qui nécessitaient de cibler les smartphones de leurs victimes tout en restant derrière des portes closes. Compte tenu de la nature de son activité, la société a principalement été en mode furtif, mais selon des informations récemment divulguées, elle a été financée à hauteur de 120 millions de dollars avec une valorisation de 1 milliard de dollars, une fois de plus, le montant énorme d’argent échangé soulève des inquiétudes quant à ses futures exploitations.

Mike Murray, vice-président de Lookout, a été assez animé par tout cet épisode et voici comment il décrit le logiciel malveillant dans ses propres mots : “Il vole essentiellement toutes les informations sur votre téléphone, il intercepte chaque appel, il intercepte chaque message texte, il vole tous les e-mails, les contacts, les appels FaceTime. Il ouvre également une porte dérobée dans tous les mécanismes de communication que vous avez sur le téléphone” et il a ajouté que “Il vole toutes les informations dans l’application Gmail, tous les messages Facebook, toutes les informations Facebook, vos contacts Facebook, tout de Skype, WhatsApp, Viber, WeChat, Telegram - vous le nommez.”

Les chercheurs ont utilisé leur iPhone de démonstration pour découvrir comment le logiciel malveillant a infecté l’appareil. De plus, les mesures déprimantes prises par les agences gouvernementales montrent le type d’informations que les journalistes, les activistes et les dissidents protègent. Ce sont souvent ces personnes qui font face à la menace aujourd’hui, mais dans un avenir imminent, cela pourrait également être des citoyens ordinaires comme vous et moi.

La Piste

Comment NSO a été attrapé peut être expliqué par une chaîne d’événements qui dissémine davantage sur la façon dont le logiciel malveillant a été conçu. Jusqu’au 10 août, les chercheurs n’avaient pas pu trouver les échantillons du logiciel malveillant que les hackers utilisaient, jusqu’à ce que Mansoor les y mène. Après avoir examiné le lien, ils ont réalisé que le logiciel espion communiquait avec un serveur et une adresse IP qu’ils avaient heureusement identifiées dans le passé. Ce qui les a aidés davantage, c’est qu’un autre serveur enregistré au nom d’un employé de NSO pointait vers la même adresse IP.

Les choses ont commencé à devenir plus claires lorsque les chercheurs ont vu la chaîne de code dans le logiciel malveillant réel qui disait “PegasusProtocol” qui a été immédiatement lié au nom de code du logiciel espion de NSO, Pegasus. NSO a été profilé par le Wall Street Journal et dans la description plutôt courte, la société avait révélé qu’elle avait vendu ses produits au gouvernement mexicain et qu’elle attirait même des critiques de la CIA. Puisqu’Apple a déjà corrigé la vulnérabilité, les zero-days en question ont été éliminés. Cela dit, il serait prudent de supposer que NSO pourrait encore être armé de quelques-uns de ceux-ci et la révélation actuelle n’est pas quelque chose qui nuirait à leurs opérations.

Correction d’Apple

Le correctif d’Apple est inclus dans iOS 9.3.5 et les utilisateurs d’iOS sont conseillés de mettre à jour leurs appareils immédiatement. Dan Guido, le PDG de la société de cybersécurité, déclare que ce genre d’attaques voit rarement le jour et est presque jamais attrapé dans la “nature”. Le Mexique semble être le meilleur client des équipes de hacking à travers le monde et des organisations comme NSO prennent simplement cela au niveau supérieur.

Victimes et tentatives

https://twitter.com/raflescabrera/status/638057388180803584?ref_src=twsrc%5Etfw

Mansoor n’est pas la seule victime de ce logiciel espion et plus tôt, c’était un journaliste mexicain, Rafael Cabrera, qui a reçu des messages similaires. Comme pour Mansoor, les messages envoyés à Rafael étaient également accompagnés de titres accrocheurs. Tant Mansoor que Rafael semblent avoir échappé à l’attaque car ils ont l’habitude de regarder par-dessus leur épaule, un trait que la plupart d’entre nous n’ont pas. Pour conclure, la vie privée complète semble être un mythe et il est presque impossible de se protéger contre de telles attaques. Bien que le fabricant de smartphones puisse allouer plus de fonds pour sécuriser ses téléphones, la demande pour des armes cybernétiques atteindra également son apogée. Nous espérons simplement que les chercheurs d’entreprises comme Citizen Labs sont sur leurs gardes pour exposer de telles attaques et établir une sorte de résurgence.