Pegasus – Le malware qui a mis à mal Apple

3
184

Révélation – L’espionnage massif des iPhones est possible grâce à un malware exploitant trois vulnérabilité critiques zero-day. Une firme secrète israélienne en est l’auteur.

Apple vient de corriger en urgence 3 graves failles de sécurité sur iOS, qui permettaient à un logiciel espion vendu par une entreprise de surveillance israélienne de transformer les iPhones en mouchards. C’est un activiste émirati défenseur des droits de l’homme aux Émirats Arabe Unis qui a permis de les découvrir, Ahmed Mansoor, militant de 46 ans : ce dernier a reçu plusieurs messages sur son iPhone 6 le 10 aout dernier, tous contenant des liens suspects liés à des soit-disant informations exclusives concernant des abus du régime. Mais au lieu de cliquer dessus, il décide de faire suivre les messages au Citizen Lab, une entité de l’université de Toronto spécialisée en cybersécurité, travaillant en collaboration avec l’entreprise Lookout Security. Grand bien lui fasse !

Mansoor-LI-Targeting-2-768x625

Le bilan est lourd puisque 3 vulnérabilités 0-Day ont été découvertes par les chercheurs à la suite du transfert de Mansoor. Un simple clic sur l’un des liens aurait permis aux attaquants de prendre contrôle de son appareil mobile par le biais d’un logiciel espion. Les possibilités auraient alors été quasi-illimitées.

21b5d13ebfa2b1b72b4ca2d123

Il faut noter que ce genre de découverte est rarissime sur iOS, plutôt réputé pour sa sécurité. 3 failles critiques découvertes en une seule fois relève du cauchemars absolu pour Apple.

Le Citizen Lab a remonté la trace du programme espion jusqu’à NSO Group, une firme israélienne spécialisée dans les solutions d’écoute pour téléphone mobile à destination des États et fondée par un ancien membre des hackeurs d’élite de l’armée israélienne. Réaliser ce type de piratage de haut vol a un coût, et il est très élevé. Une faille « zero day » pour iOS s’est récemment monnayée pour 1 million de dollars (soit environ 900 000 euros). L’identité et l’activité de la cible, le prix qu’il a fallu dépenser et le fournisseur du logiciel espion ne laissent guère place au doute, selon Citizen Labs : le commanditaire est très certainement le gouvernement émirati. Cette nouvelle révélation risque de raviver le débat qui entoure la vente, par des entreprises occidentales, d’outils d’écoute à destination des États, explique Ronald Deibert, le directeur du Citizen Lab :

« Le fait que les régimes autocratiques abusent d’outils d’écoute sophistiqués pour viser des organisations de la société civile et des défenseurs des droits de l’homme sans défense est un problème permanent et majeur. »

Peu après leur découverte, les chercheurs à l’origine de la découverte des failles ont averti Apple, qui vient donc de les combler dans sa dernière mise à jour d’iOS.

La première vulnérabilité exploitée (CVE-2016-4657) se trouve au sein de la bibliothèque WebKit, utilisée par Safari. Elle permet, rien qu’en chargeant une page web, d’exécuter du code arbitraire sur l’iPhone. Dans le cas présent, elle permet de réaliser un jailbreak de l’iPhone: une première faille zero-day (CVE-2016-4655) est utilisée pour localiser les zones mémoire du kernel et une seconde (CVE-2016-4656) pour les modifier. Ce qui permet de supprimer dans le système les différentes couches de protection applicative. Le piratage se termine par le téléchargement et l’installation de Pegasus, qui s’avère être le produit phare de la société d’espionnage israélienne NSO Group. 

L’entreprise de sécurité informatique Lookout, à qui Citizen Lab a transmis ses découvertes, écrit dans son rapport [PDF] que ce piratage peut « lire et exfiltrer les messages, appels, e-mails, identifiants, et bien plus » à partir d’apps comme iMessage, Gmail, Facetime, Facebook, Calendar, WhastApp, Viber, Skype, Telegram. La liste, précise l’entreprise, n’a rien d’exhaustif.

Cette collecte d’information, poursuit Lookout, « est l’une des plus complètes et exhaustives que nous ayons observée dans un logiciel espion ». Le tout s’achève par un ingénieux mécanisme d’auto-destruction pour parfaire l’attaque “fantôme”…

Les chercheurs ont pu trouver de la documentation sur Pegasus dans la fuite liée à Hacking Team en 2015. L’attaque s’appuie entièrement sur une infrastructure cloud d’après Lookout.

Les commentaires sont fermés.