Un exploit iMessage sans clic a été utilisé pour installer le logiciel espion Pegasus sur les smartphones de journalistes et d'autres personnalités de premier plan.
Apple aime vanter que son iPhone est le smartphone le plus sécurisé de la planète. Ils ont récemment expliqué que leurs smartphones étaient « l'appareil mobile grand public le plus sécurisé du marché »... juste après que les chercheurs ont découvert un exploit iMessage sans clic utilisé pour espionner les journalistes du monde entier.
Amnesty Internationala publié un rapport l'autre jour, c'était Évalués par les pairs par Laboratoire citoyen, et le rapport a confirmé que Pegasus — le Groupe ONS-made spyware — a été installé avec succès sur les appareils via un exploit iMessage zéro jour et sans clic. Les chercheurs ont découvert le logiciel malveillant exécuté sur un appareil iPhone 12 Pro Max fonctionnant sous iOS 14.6, un iPhone SE2 sous iOS 14.4 et un iPhone SE2 sous iOS 14.0.1. L'appareil exécutant iOS 14.0.1 ne nécessitait pas de zero-day exploiter.
L'année dernière, un exploit similaire a été utilisé (appelé KISMET) sur les appareils iOS 13.x, et les chercheurs de Laboratoire citoyen a noté que KISMET est sensiblement différent des techniques employées par Pegasus aujourd'hui dans iOS 14. Pegasus existe depuis longtemps et a été documenté pour la première fois en 2016 lorsqu'il s'est avéré qu'il exploitait trois vulnérabilités zero-day sur les iPhones, même si à l'époque, il était moins sophistiqué car la victime devait toujours cliquer sur le lien envoyé.
Le Washington Post détaillé comment la nouvelle méthode d'exploit a fonctionné lorsqu'elle a infecté l'iPhone 11 de Claude Mangin, l'épouse française d'un militant politique emprisonné au Maroc. Lorsque son téléphone a été examiné, il n'a pas été possible d'identifier les données qui en avaient été exfiltrées, mais le potentiel d'abus était néanmoins extraordinaire. Le logiciel Pegasus est connu pour collecter des e-mails, des enregistrements d'appels, des publications sur les réseaux sociaux, des mots de passe d'utilisateurs, des listes de contacts, des photos, des vidéos, des enregistrements sonores et des historiques de navigation. Il peut activer des caméras et des microphones, écouter des appels et des messages vocaux et même collecter des journaux de localisation.
Dans le cas de Mangin, le vecteur d'attaque provenait d'un utilisateur de Gmail du nom de « Linakeller2203 ». Mangin n'avait aucune connaissance de ce nom d'utilisateur et son téléphone avait été piraté à plusieurs reprises avec Pegasus entre octobre 2020 et juin 2021. Le numéro de téléphone de Mangin figurait sur une liste de plus de 50 000 numéros de téléphone provenant de plus de 50 pays, examinée par Le Washington Post et un certain nombre d'autres organismes de presse. NSO Group affirme qu'il concède sous licence l'outil exclusivement aux agences gouvernementales afin de lutter contre le terrorisme et autres crimes graves, même si d'innombrables journalistes, personnalités politiques et militants de premier plan se sont retrouvés sur la liste.
Le Washington Post aussi trouvé que 1 000 numéros de téléphone en Inde figuraient sur la liste. 22 smartphones obtenus et analysés médico-légalement en Inde ont révélé que 10 d'entre eux avaient été ciblés par Pegasus, dont sept avec succès. Huit des 12 appareils dont les chercheurs n’ont pas pu déterminer qu’ils étaient compromis étaient des smartphones Android. Bien qu'iMessage semble être le moyen le plus populaire d'infecter une victime, il existe également d'autres moyens.
Le laboratoire de sécurité de Amnesty International a examiné 67 smartphones dont les numéros figuraient sur la liste et a trouvé des preuves médico-légales d'infections ou de tentatives d'infection dans 37 d'entre eux. 34 d’entre eux étaient des iPhones et 23 présentaient des signes d’infection réussie. 11 présentaient des signes de tentative d’infection. Seuls trois des 15 smartphones Android examinés ont montré des preuves d'une tentative, bien que les chercheurs aient noté que cela pourrait être dû au fait que les journaux d'Android n'étaient pas aussi complets.
Sur les appareils iOS, la persistance n'est pas maintenue et le redémarrage est un moyen de supprimer temporairement le logiciel Pegasus. En apparence, cela semble être une bonne chose, mais cela rend également plus difficile la détection du logiciel. Bill Marczak de Laboratoire citoyen s'est adressé à Twitter pour expliquer certaines parties plus en détail, notamment en expliquant comment le logiciel espion Pegasus n'est pas actif jusqu'à ce que l'attaque sans clic soit lancée après un redémarrage.
Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité d'Apple, a fait une déclaration défendant les efforts d'Apple.
« Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits de l’homme et tous ceux qui cherchent à rendre le monde meilleur. Depuis plus d'une décennie, Apple est à la pointe du secteur en matière d'innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité conviennent que l'iPhone est l'appareil mobile grand public le plus sûr et le plus sécurisé du marché.", a-t-il déclaré dans un communiqué. « Les attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une durée de vie courte et sont utilisées pour cibler des individus spécifiques. Même si cela signifie qu'ils ne constituent pas une menace pour l'écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et données."
Apple a introduit une mesure de sécurité baptisée « BlastDoor » dans le cadre d'iOS 14. Il s'agit d'un bac à sable conçu pour empêcher les attaques comme Pegasus de se produire. BlastDoor entoure efficacement iMessage et analyse toutes les données non fiables qu'il contient, tout en l'empêchant d'interagir avec le reste du système. Journaux téléphoniques consultés par Laboratoire citoyen montrent que les exploits déployés par NSO Group impliquaient ImageIO, en particulier l'analyse des images JPEG et GIF. "ImageIO a fait l'objet de plus d'une douzaine de bugs de haute gravité signalés en 2021", Bill Marczak a expliqué sur Twitter.
Il s'agit d'une histoire en développement, et il est probable qu'Apple publiera bientôt une mise à jour corrigeant les exploits utilisés par Pegasus dans des applications comme iMessage. Ce genre d'événements souligne l'importance de mises à jour de sécurité mensuelles, et pourquoi il est toujours important d'installer les dernières versions.