L’année dernière, apple a lancé une nouvelle fonctionnalité pour les utilisateurs d’iPhone qui craignent d’être ciblés par des logiciels espions sophistiqués, tels que des journalistes ou des défenseurs des droits de l’homme. Maintenant, les chercheurs disent avoir trouvé des preuves que la fonctionnalité – appelée mode de verrouillage – a aidé à bloquer une attaque par des pirates utilisant des logiciels espions créés par le tristement célèbre fournisseur de piratage mercenaire NSO Group.
Mardi, le groupe de recherche sur la cybersécurité et les droits humains Citizen Lab a publié un rapport analysant trois nouveaux exploits zero-day dans iOS 15 et iOS 16 – ce qui signifie qu’Apple n’était pas au courant des vulnérabilités au moment où elles étaient utilisé pour cibler au moins deux défenseurs mexicains des droits humains.
L’un de ces exploits a été bloqué par le mode de verrouillage, ont découvert les chercheurs. Le mode de verrouillage a été spécialement conçu pour réduire la surface d’attaque de l’iPhone – le jargon de la cybersécurité faisant référence à des parties du code ou des fonctionnalités d’un système sujet aux attaques de pirates. Il s’agit du premier cas documenté où le mode verrouillage a réussi à protéger quelqu’un d’une attaque ciblée.
Dans les cas récents, les chercheurs de Citizen Lab ont déclaré que les iPhones des cibles bloquaient les tentatives de piratage et ont montré une notification indiquant que le mode de verrouillage empêchait quelqu’un d’accéder à l’application Accueil du téléphone. Les chercheurs notent cependant qu’il est possible qu’à un moment donné, les développeurs d’exploits de NSO « aient trouvé un moyen de corriger le problème de notification, par exemple en prenant les empreintes digitales du mode de verrouillage ».
Comme d’autres chercheurs l’ont souligné par le passé, il est facile de prendre les empreintes digitales des utilisateurs pour déterminer qui a activé le mode de verrouillage, mais cela ne veut pas dire que ses protections ne sont pas significatives. Comme le montre ce cas trouvé par Citizen Lab, le mode verrouillage peut être efficace.
« Le fait que le mode verrouillage semble avoir contrecarré, et même notifié les cibles d’une attaque zéro clic dans le monde réel, montre qu’il s’agit d’une puissante atténuation et d’un grand optimisme », a déclaré Bill Marczak, chercheur principal au Citizen Lab. et l’un des auteurs du rapport, a déclaré à fr.techtribune.net. « Mais, comme pour toute fonctionnalité optionnelle, le diable est toujours dans les détails. Combien de personnes choisiront d’activer le mode verrouillage ? Les attaquants vont-ils simplement s’éloigner de l’exploitation des applications Apple et cibler les applications tierces, qui sont plus difficiles à sécuriser pour le mode verrouillage ? »
Le porte-parole d’Apple, Scott Radcliffe, a déclaré dans un communiqué : « Nous sommes ravis de voir que le mode de verrouillage a interrompu cette attaque sophistiquée et alerté les utilisateurs immédiatement, avant même que la menace spécifique ne soit connue d’Apple et des chercheurs en sécurité. Nos équipes de sécurité du monde entier continueront à travailler sans relâche pour faire progresser le mode de verrouillage et renforcer les protections de sécurité et de confidentialité dans iOS.
Le porte-parole du groupe NSO, Liron Bruck, n’a pas répondu à une série de questions, envoyant à la place une déclaration disant que « Citizen Lab a produit à plusieurs reprises des rapports qui sont incapables de déterminer la technologie utilisée et ils refusent de partager leurs données sous-jacentes. NSO adhère à une réglementation stricte et sa technologie est utilisée par ses clients gouvernementaux pour lutter contre le terrorisme et le crime dans le monde entier. »
Le rapport de Citizen Lab a identifié trois exploits différents – tous « zéro clic », ce qui signifie qu’ils ne nécessitaient aucune interaction de la part de la cible – en analysant plusieurs téléphones soupçonnés d’avoir été piratés avec le logiciel espion de NSO, également connu sous le nom de Pegasus.
Pegasus, que NSO vend exclusivement aux clients gouvernementaux, peut obtenir à distance l’emplacement d’un téléphone, des messages, des photos et pratiquement tout ce à quoi le propriétaire légitime du téléphone peut accéder. Pendant des années, des chercheurs de Citizen Lab, d’Amnesty International et d’autres organisations ont documenté plusieurs cas où des clients de NSO ont utilisé les logiciels espions de l’entreprise pour cibler journalistes, défenseurs des droits de l’homme et politiciens de l’opposition.
Les nouvelles découvertes de Citizen Lab montrent que NSO est toujours bien vivant, malgré quelques années mouvementées. En 2021, un consortium international d’organisations médiatiques a lancé le projet Pegasus, une série d’articles détaillant les scandales impliquant des ONS dans le monde entier. Puis, plus tard cette année-là, le gouvernement américain a mis NSO sur une liste de refus, interdisant ainsi à toute entreprise ou individu américain de faire affaire avec l’entreprise.
« D’autres entreprises ont fermé leurs portes, mais, du moins pour le moment, NSO est toujours en mesure de supporter ces coûts accrus, et Pegasus reste une menace active pour la société civile mondiale », a déclaré Marczak.
Parmi le récent lot d’exploits : le premier exploit a été déployé en janvier 2022 par les clients de NSO et a exploité la fonctionnalité FindMy de l’iPhone, qui aide les propriétaires à localiser leurs téléphones perdus ou volés. Le deuxième exploit déployé à partir de juin 2022 est un exploit « en deux étapes », ce qui signifie qu’il cible deux fonctionnalités, dans ce cas la fonctionnalité FindMy et iMessage. Et le dernier exploit, déployé à partir d’octobre 2022, exploitait les fonctionnalités HomeKit et iMessage de l’iPhone.
Dans son rapport, Citizen Lab a déclaré que les deux Mexicains visés par les exploits enquêtaient sur les violations des droits de l’homme qui auraient été commises par l’armée mexicaine. Le gouvernement mexicain est un client connu de logiciels espions.
Citizen Lab a signalé tous ces exploits à Apple, qui a depuis poussé les mises à jour et réduit la surface d’attaque. Apple a corrigé la vulnérabilité basée sur HomeKit dans iOS 16.3.1, publiée en février.
Avez-vous plus d’informations sur NSO Group ? Ou un autre fournisseur de technologie de surveillance ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail lorenzo@techcrunch.com. Vous pouvez également contacter fr.techtribune.net via SecureDrop.