L'année dernière, apple a lancé une nouvelle fonctionnalité pour les utilisateurs d'iPhone qui craignent d'être ciblés par des logiciels espions sophistiqués, comme les journalistes ou les défenseurs des droits humains. Aujourd’hui, les chercheurs affirment avoir trouvé des preuves que la fonctionnalité – appelée Lockdown Mode – a permis de bloquer une attaque de pirates informatiques utilisant un logiciel espion créé par le tristement célèbre fournisseur de piratage mercenaire NSO Group.

Mardi, le groupe de recherche sur la cybersécurité et les droits de l'homme Citizen Lab a publié un rapport analyser trois nouveaux exploits zero-day dans iOS 15 et iOS 16, ce qui signifie qu'Apple n'était pas au courant des vulnérabilités au moment où elles étaient utilisé pour cibler au moins deux défenseurs mexicains des droits humains.

L’un de ces exploits a été bloqué par le mode verrouillage, ont découvert les chercheurs. Le mode de verrouillage a été spécialement conçu pour réduire la surface d'attaque de l'iPhone – un jargon de cybersécurité faisant référence à des parties du code ou à des fonctionnalités d'un système sujet aux attaques de pirates. Il s’agit du premier cas documenté où le mode verrouillage a réussi à protéger quelqu’un contre une attaque ciblée.

Dans les cas récents, les chercheurs du Citizen Lab ont déclaré que les iPhones des cibles bloquaient les tentatives de piratage et affichaient une notification indiquant que le mode de verrouillage empêchait quelqu'un d'accéder à l'application Home du téléphone. Les chercheurs notent cependant qu'il est possible qu'à un moment donné, les développeurs d'exploits de NSO « aient trouvé un moyen de corriger le problème de notification, par exemple en prenant des empreintes digitales du mode de verrouillage ».

Comme d’autres chercheurs l’ont souligné par le passé, il est facile de prendre les empreintes digitales des utilisateurs pour déterminer qui a activé le mode de verrouillage, mais cela ne veut pas dire que ses protections ne sont pas significatives. Comme le montre ce cas découvert par Citizen Lab, le mode verrouillage peut être efficace.

« Le fait que le mode verrouillage semble avoir contrecarré, et même notifié, les cibles d'une attaque zéro clic dans le monde réel montre qu'il s'agit d'une puissante atténuation et d'une source d'un grand optimisme », Bill Marczak, chercheur principal au Citizen Lab. et l'un des auteurs du rapport, a déclaré à fr.techtribune.net. « Mais comme pour toute fonctionnalité optionnelle, le diable se cache toujours dans les détails. Combien de personnes choisiront d’activer le mode verrouillage ? Les attaquants abandonneront-ils simplement l’exploitation des applications Apple et cibleront-ils les applications tierces, qui sont plus difficiles à sécuriser par le mode verrouillage ? »

Le porte-parole d'Apple, Scott Radcliffe, a déclaré dans un communiqué : « Nous sommes heureux de constater que le mode de verrouillage a perturbé cette attaque sophistiquée et alerté immédiatement les utilisateurs, avant même que la menace spécifique ne soit connue d'Apple et des chercheurs en Sécurité. Nos équipes de sécurité à travers le monde continueront à travailler sans relâche pour faire progresser le mode de verrouillage et renforcer les protections de sécurité et de confidentialité dans iOS.

Le porte-parole du groupe NSO, Liron Bruck, n'a pas répondu à une série de questions, envoyant plutôt une déclaration disant que « Citizen Lab a produit à plusieurs reprises des rapports qui sont incapables de déterminer la technologie utilisée et refusent de partager leurs données sous-jacentes. NSO adhère à une réglementation stricte et sa technologie est utilisée par ses clients gouvernementaux pour lutter contre le terrorisme et la criminalité dans le monde.

Le rapport de Citizen Lab a identifié trois exploits différents – tous « sans clic », ce qui signifie qu'ils ne nécessitaient aucune interaction de la part de la cible – en analysant plusieurs téléphones soupçonnés d'avoir été piratés avec le logiciel espion de NSO, également connu sous le nom de Pegasus.

Pegasus, que NSO vend exclusivement aux clients gouvernementaux, peut obtenir à distance l'emplacement d'un téléphone, des messages, des photos et pratiquement tout ce à quoi le propriétaire légitime du téléphone peut accéder. Pendant des années, les chercheurs de Citizen Lab, d'Amnesty International et d'autres organisations ont documenté plusieurs cas dans lesquels des clients de NSO ont utilisé les logiciels espions de l'entreprise pour cibler journalistes, défenseurs des droits de l'homme et politiciens de l'opposition.

Les nouvelles découvertes du Citizen Lab montrent que NSO est toujours bien vivant, malgré quelques années difficiles. En 2021, un consortium international d'organisations médiatiques a lancé le projet Pegasus, une série d'articles détaillant les scandales impliquant NSO dans le monde entier. Puis, plus tard cette année-là, le gouvernement américain a placé NSO sur une liste noire, interdisant ainsi à toute entreprise ou individu américain de faire affaire avec l’entreprise.

« D’autres entreprises ont fermé leurs portes, mais, au moins pour l’instant, NSO est toujours en mesure de supporter ces coûts accrus, et Pegasus reste une menace active pour la société civile mondiale », a déclaré Marczak.

Parmi le récent lot d'exploits : le premier exploit a été déployé en janvier 2022 par les clients de NSO et exploitait la fonctionnalité FindMy de l'iPhone, qui aide les propriétaires à localiser leurs téléphones perdus ou volés. Le deuxième exploit déployé à partir de juin 2022 est un exploit « en deux étapes », ce qui signifie qu'il cible deux fonctionnalités, en l'occurrence la fonctionnalité FindMy et iMessage. Et le dernier exploit, déployé à partir d'octobre 2022, exploitait les fonctionnalités HomeKit et iMessage de l'iPhone.

Dans son rapport, Citizen Lab a déclaré que les deux Mexicains visés par ces exploits enquêtaient sur les violations des droits humains qui auraient été perpétrées par l'armée mexicaine. Le gouvernement mexicain est un client connu des logiciels espions.

Citizen Lab a signalé tous ces exploits à Apple, qui a depuis lors poussé les mises à jour et réduit la surface d'attaque. Apple a corrigé la vulnérabilité basée sur HomeKit dans iOS 16.3.1, publiée en février.

Avez-vous plus d’informations sur le groupe NSO ? Ou un autre fournisseur de technologie de surveillance ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail à lorenzo@techcrunch.com. Vous pouvez également contacter fr.techtribune.net via SecureDrop.