Apple publie une mise à jour pour protéger ses appareils du logiciel espion de NSO Group
On savait qu’iOS 14.8 arrivait, mais la mise à jour est arrivée plus tôt que prévu.
Alors que la nouvelle keynote – où Apple devrait présenter un nouvel iPhone et annoncer la date de lancement d’iOS 15 – se tient ce soir, la firme à la pomme déploie une nouvelle version de son système d’exploitation mobile.
<
p align=”center”>
Image : iOS 14.8.
La firme de Cupertino précise que cette mise à jour contient deux correctifs de sécurité, et qu’elle est recommandée pour tous les utilisateurs. Apple publie dans le même temps des correctifs de sécurité pour ses autres systèmes d’exploitation, notamment macOS, iPadOS et watchOS.
Des appareils espions
Apple a publié une mise à jour de sécurité urgente pour les utilisateurs de Mac, d’iPhone, d’iPad et d’Apple Watch après que des chercheurs de Citizen Lab ont découvert un exploit de type “zero-day” et “zero-click”, de la société de logiciels espions NSO Group, qui donnerait à de potentiels attaquants un accès complet à la caméra, au micro, aux messages, aux textes, aux courriels, aux appels, etc. d’un appareil.
Citizen Lab précise dans son rapport que la vulnérabilité – étiquetée CVE 2021-30860 – affecte tous les iPhone avec des versions d’iOS antérieures à 14.8, tous les ordinateurs Mac avec des versions de système d’exploitation antérieures à OSX Big Sur 11.6, Security Update 2021-005 Catalina et toutes les Apple Watch antérieures à watchOS 7.6.2. Apple ajoute qu’il affecte tous les modèles d’iPad Pro, l’iPad Air 2 et plus, l’iPad 5e génération et plus, l’iPad mini 4 et plus, et l’iPod touch 7e génération.
CVE-2021-30860 permet d’exécuter des commandes lors de l’ouverture de fichiers sur certains appareils. Citizen Lab note que la vulnérabilité donnerait à de potentiels attaquants un accès sans même que la victime ne clique sur quoi que ce soit. Citizen Lab a précédemment montré que les gouvernements répressifs du Bahreïn, de l’Arabie Saoudite et d’autres pays avaient utilisé les outils de NSO Group pour traquer les personnes critiques du gouvernement, les militants et les opposants politiques.
Un correctif développé et déployé rapidement par Apple
Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple, raconte à ZDNet qu’après avoir identifié la vulnérabilité utilisée par cet exploit pour iMessage, Apple « a rapidement développé et déployé un correctif dans iOS 14.8 pour protéger ses utilisateurs ».
« Nous tenons à féliciter Citizen Lab pour avoir mené à bien ce rigoureux travail consistant à obtenir un échantillon de l’exploit, afin que nous puissions développer ce correctif rapidement. Les attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques », détaille-t-il.
« Même si cela signifie qu’ils ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données. »
Des activistes espionnés
Sur Twitter, John Scott-Railton raconte la découverte qu’il a faite au Citizen Lab avec Bill Marczak, et signalée à Apple. Ils se sont notamment aperçus que la vulnérabilité était utilisée depuis au moins février. Apple leur a attribué le mérite de cette découverte.
« En mars dernier, mon collègue Bill Marczak examinait le téléphone d’un activiste saoudien infecté par le logiciel espion Pegasus. Bill a fait une sauvegarde à l’époque. Une récente réanalyse a donné quelque chose d’intéressant : des fichiers “.gif” à l’apparence étrange. En fait, les fichiers .gif… étaient des fichiers Adobe PSD et PDF… et exploitaient la bibliothèque de rendu d’image d’Apple. Résultat ? Exploitation silencieuse via iMessage. La victime ne voit *rien*, tandis que Pegasus est installé silencieusement et que son appareil devient un espion dans sa poche », décrit John Scott-Railton.
« NSO Group affirme que son logiciel espion ne sert qu’à cibler les criminels et les terroristes. Mais voilà… encore une fois : leurs exploits ont été découverts par nous, parce qu’ils ont été utilisés contre un activiste. La découverte est un sous-produit inévitable de la vente de logiciels espions à des despotes imprudents. Les applications de chat populaires sont le ventre mou de la sécurité des appareils. Elles sont présentes sur tous les appareils et certaines ont une surface d’attaque inutilement grande. Leur sécurité doit être une priorité absolue. »
Réguler le marché des logiciels espions
Dans un rapport plus long sur la vulnérabilité, les chercheurs de Citizen Lab écrivent qu’il s’agit de la « dernière d’une série d’exploits de type “zéro-clic” liés à NSO Group ». NSO Group a fait face à d’importantes réactions dans le monde entier après que des chercheurs ont découvert que des gouvernements, des criminels et d’autres personnes utilisaient son logiciel espion Pegasus pour suivre tacitement des milliers de journalistes, de chercheurs, de dissidents et même de dirigeants mondiaux.
« En 2019, WhatsApp a corrigé CVE 2019-3568, une vulnérabilité “zéro-clic” dans les appels WhatsApp que NSO Group a utilisée contre plus de 1 400 téléphones au cours d’une période de deux semaines pendant laquelle elle a été observée, et en 2020, NSO Group a employé l’exploit iMessage zéro-clic KISMET », accusent les chercheurs.
Ils ajoutent que leur dernière découverte « illustre davantage le fait que des entreprises comme NSO Group facilitent le “despotisme en tant que service” pour des agences de sécurité gouvernementales qui n’ont pas de comptes à rendre. (…) La réglementation de ce marché en pleine expansion, très rentable et nuisible, est désespérément nécessaire ».
Des outils qui pourraient tomber entre de mauvaises mains
Reuters rapporte que depuis que les préoccupations concernant NSO Group ont été soulevées publiquement au début de l’année, le FBI et d’autres agences gouvernementales à travers le monde ont ouvert des enquêtes sur leurs opérations.
NSO Group est basé en Israël, ce qui a incité le gouvernement de ce pays à lancer sa propre enquête sur la société. La société a conçu des outils destinés à contourner la défense BlastDoor d’Apple, mise en place dans iMessage pour protéger les utilisateurs.
Ryan Polk, conseiller politique principal à l’Internet Society, explique à ZDNet que l’affaire Pegasus-NSO est une preuve des conséquences désastreuses des portes dérobées de chiffrement : « les outils conçus pour casser les communications chiffrées courent le risque de tomber entre de mauvaises mains, ce qui met en danger tous ceux qui comptent sur le chiffrement. Imaginez un monde où des outils comme Pegasus sont intégrés dans chaque application ou appareil – mais, contrairement à aujourd’hui, les entreprises n’ont pas la possibilité de les supprimer et tous les utilisateurs sont visés. (…) Le chiffrement de bout en bout permet de garder tout le monde en sécurité, en particulier les membres des communautés vulnérables – comme les journalistes, les militants ou encore les membres des communautés LGBTQ+ dans les pays plus conservateurs ».
Le risque des appareils mobiles
En 2016, la société de cybersécurité Lookout a travaillé avec Citizen Lab pour découvrir Pegasus. Hank Schless, directeur principal des solutions de sécurité chez Lookout, estime que l’outil a continué d’évoluer et qu’il dispose aujourd’hui de nouvelles capacités : il peut désormais être déployé en tant qu’exploit zéro-clic, ce qui signifie que l’utilisateur ciblé n’a même pas besoin de cliquer sur un lien malveillant pour que le logiciel de surveillance soit installé.
C’est ce qu’explique le chercheur, qui ajoute que si le malware a ajusté ses méthodes de livraison, la chaîne d’exploitation de base reste la même. « Pegasus est diffusé via un lien malveillant qui a été conçu socialement pour la cible, la vulnérabilité est exploitée et l’appareil est compromis, puis le malware est renvoyé vers un serveur de commande et de contrôle (C2) qui donne à l’attaquant le contrôle total de l’appareil. De nombreuses applications créent automatiquement un aperçu ou un cache des liens afin d’améliorer l’expérience de l’utilisateur », détaille Hank Schless. « Pegasus profite de cette fonctionnalité pour infecter silencieusement l’appareil. »
Il ajoute que NSO Group continue d’affirmer que le logiciel espion n’est vendu qu’à une poignée de communautés de renseignement, dans des pays qui sont réputés respecter les droits humains. Mais la récente exposition de 50 000 numéros de téléphone, liés à des cibles de clients de NSO Group, a mis à mal cet argumentaire et affiché plus clairement les ambitions de NSO Group, selon lui.
« Cette affaire montre à quel point il est important, tant pour les particuliers que pour les entreprises, d’avoir une visibilité sur les risques que présentent leurs appareils mobiles. Pegasus est un exemple extrême, mais facilement compréhensible. Il existe d’innombrables logiciels malveillants qui peuvent facilement exploiter les vulnérabilités connues des appareils et des logiciels pour accéder à vos données les plus sensibles », avertit Hank Schless.
Source : ZDNet.com