Un nouvel exploit d’iPhone utilisé pour déployer un logiciel espion

0

Des chercheurs sur les menaces numériques de Citizen Lab ont découvert un nouvel exploit d’iMessage sans clic utilisé pour déployer le logiciel espion Pegasus de NSO Group sur des appareils appartenant à des militants bahreïnis.

Au total, neuf militants bahreïnis (dont des membres du Bahrain Center for Human Rights, Waad, Al Wefaq) ont vu leurs iPhones piratés dans une campagne partiellement orchestrée par un opérateur Pegasus lié au gouvernement du Bahreïn par Citizen Lab.

Le logiciel espion a été déployé sur leurs appareils après avoir été compromis à l’aide de deux exploits iMessage sans clic (qui ne nécessitent pas d’interaction de l’utilisateur) : l’exploit KISMET de 2020 et un nouvel exploit inédit baptisé FORCEDENTRY (précédemment identifié par Amnesty Tech sous le nom de Megalodon).

Nouvel exploit sans clic sur iPhone utilisé depuis février 2021

Les attaques de NSO Group utilisant le nouveau zero-click iMessage (qui contourne la fonctionnalité BlastDoor d’iOS conçue pour bloquer de tels exploits) ont été repérées pour la première fois en février 2021.

« Nous avons vu l’exploit FORCEDENTRY déployé avec succès contre les versions iOS 14.4 et 14.6 comme un zero-day », a déclaré Citizen Lab.

« Avec le consentement des cibles, nous avons partagé ces logs de crash et quelques logs téléphoniques supplémentaires concernant KISMET et FORCEDENTRY avec Apple, Inc., qui a confirmé qu’ils enquêtaient. »

Alors que la protection contre les exploits d’iMessage ne nécessiterait que la désactivation d’iMessage et de FaceTime, NSO Group a également utilisé des exploits ciblant d’autres applications de messagerie, y compris WhatsApp.

De plus, la désactivation d’iMessage entraînera d’autres problèmes, notamment l’envoi de messages non chiffrés qu’un acteur malveillant ingénieux pourrait facilement intercepter.

Malheureusement, jusqu’à ce qu’Apple publie des mises à jour de sécurité pour corriger les failles ciblées par l’exploit FORCEDENTRY de NSO Group, la seule chose que les cibles potentielles pourraient faire pour se protéger est de désactiver toutes les applications que la société de surveillance israélienne pourrait potentiellement cibler.

iphone
Pays où les journalistes ont été ciblés par des logiciels espions (Forbidden Stories)

Pegasus de NSO Group utilisé dans des attaques très médiatisées

Les attaques révélées par Citizen Lab dans le rapport ne font partie que d’une longue série de rapports et d’articles documentant le logiciel espion Pegasus de NSO Group utilisé pour espionner les journalistes et les défenseurs des droits humains (DDH) dans le monde entier.

Pegasus, un logiciel espion développé par la société de surveillance israélienne NSO Group, est commercialisé comme un logiciel de surveillance « sous licence à des agences gouvernementales légitimes dans le seul but d’enquêter sur le crime et le terrorisme ».

Il y a deux ans, Facebook a poursuivi la société israélienne de cybersurveillance NSO Group pour avoir créé et vendu un exploit de type zero-day sur WhatsApp utilisé pour infecter les appareils de cibles de premier plan telles que des représentants du gouvernement, des diplomates et des journalistes avec des logiciels espions.

Citizen Lab a révélé en 2018 avoir découvert que certains titulaires de licence Pegasus l’utilisaient pour la surveillance transfrontalière dans des pays dotés de services de sécurité qui avaient des antécédents de comportement abusif.

Enfin et surtout, l’organisation non gouvernementale de défense des droits humains Amnesty International et le projet à but non lucratif Forbidden Stories ont révélé dans un autre rapport de juillet que des logiciels espions fabriqués par NSO Group avaient été déployés sur des iPhones exécutant la dernière version iOS d’Apple en utilisant des exploits iMessage sans clic ciblant plusieurs failles zero-day d’iOS.

Citizen Lab a observé indépendamment Pegasus déployé sur un iPhone 12 Pro Max exécutant iOS 14.6 (la dernière version du système d’exploitation), piraté à l’aide d’un exploit zero-day d’iMessage, qui ne nécessitait pas d’interaction avec les cibles.

« Les mécanismes de l’exploit pour iOS 14.x semblent être sensiblement différents de l’exploit KISMET pour iOS 13.5.1 et iOS 13.7, ce qui suggère qu’il s’agit en fait d’un exploit d’iMessage différent », a déclaré Citizen Lab à l’époque.

« Ces découvertes les plus récentes indiquent que les clients de NSO Group sont actuellement en mesure de compromettre à distance tous les modèles d’iPhone récents et les versions d’iOS », ont ajouté Amnesty International et Forbidden Stories.

Laisser un commentaire