Les hackers peuvent détourner votre iPhone à distance avec un simple message texte

Une entreprise israélienne vend des zero-days iOS qui permettent aux hackers de détourner à distance votre iPhone

Si vous possédez un iPhone, mettez-le à jour dès maintenant même en lisant cet article car il peut être piraté en utilisant trois zero-days. Selon des rapports, un activiste des droits de l’homme émirati nommé Ahmed Mansoor a vu son iPhone piraté en utilisant l’un des trois zero-days. Mansoor aurait reçu un message SMS promettant de nouveaux détails sur la torture dans les prisons d’État du pays, accompagné d’un lien à suivre s’il était intéressé. Si Mansoor avait suivi le lien, cela aurait jailbreaké son téléphone sur-le-champ et l’aurait implanté avec un logiciel malveillant, capable d’enregistrer des messages chiffrés, d’activer le microphone et de suivre secrètement ses mouvements.

Les zero-days seraient vendus aux gouvernements et autorités du monde entier par une entreprise de cybersécurité israélienne appelée NSO Group. En fait, NSO Group est si secret qu’il change régulièrement de nom pour éviter une exposition indue.

L’incident a été mis au jour lorsque la société de sécurité Lookout et le groupe de surveillance Internet Citizen Lab ont enquêté sur l’attaque cybernétique contre l’iPhone de Mansoor et ont découvert qu’elle était le produit de NSO Group, une organisation de « guerre cybernétique » basée en Israël, responsable de la distribution d’un puissant produit espion exclusif aux gouvernements appelé Pegasus.

Les deux entreprises ont immédiatement informé Apple des graves zero-days que NSO Group vendait et Apple a immédiatement déployé un correctif pour trois exploits zero-day précédemment inconnus qui avaient été utilisés pour cibler l’iPhone 6 de Mansoor.

Les vulnérabilités, connues sous le nom de « zero days » parce qu’elles étaient auparavant inconnues d’Apple, donnent aux hackers un accès total à un iPhone via un message texte de spear-phishing. Ces messages texte étaient conçus pour imiter les types de messages qu’un utilisateur pourrait recevoir d’un site légitime, ont déclaré les chercheurs en sécurité. Parmi ceux qui ont été imités pour inciter les utilisateurs à cliquer sur les liens : la Croix-Rouge, Facebook, Google, et même la Pokémon Company. Une fois cliqué, le message téléchargeait un logiciel malveillant, qui donnait aux attaquants un accès total au téléphone.

« Nous avons été informés de cette vulnérabilité et l’avons immédiatement corrigée avec iOS 9.3.5 », a déclaré Apple dans un communiqué. « Nous conseillons à tous nos clients de toujours télécharger la dernière version d’iOS pour se protéger contre d’éventuels exploits de sécurité. »

Le rapport de Citizen Lab indique que d’autres cibles zero-day de NSO Group incluent des activistes et des journalistes au Yémen, en Turquie, au Mozambique, au Mexique, au Kenya et aux Émirats Arabes Unis.

Veuillez mettre à jour votre iPhone/iPad vers la dernière version pour éviter de devenir la proie d’une telle attaque. Si vous ne pouvez pas mettre à jour votre iPhone/iPad, évitez de cliquer sur des liens même de confiance jusqu’à ce que votre appareil soit corrigé.