Signe de la gravité de la situation, Apple a fait preuve d’une réactivité rare. Le 7 septembre 2021, l’entreprise a été contactée par le Citizen Lab, un laboratoire de recherche réputé de l’Université de Toronto : les chercheurs avaient identifié une vulnérabilité critique sur iMessage.
5 jours plus tard, le 13 septembre, la vulnérabilité est déjà corrigée, car elle a fait l’objet d’un patch d’urgence. Il faut dire que la faille, traquée sous l’identifiant CVE-2021-30860, cochait tous les critères de dangerosité :
- Elle était déjà activement exploitée par des clients de NSO Group au moment de la découverte. Autrement dit, elle permettait de déployer le logiciel espion Pegasus, et ainsi de révéler la quasi-intégralité du contenu de l’iPhone de la victime.
- Zero-day, elle était inconnue de l’éditeur, et n’avait donc aucun correctif.
- Zero-click, elle pouvait être lancée sans que l’utilisateur interagisse avec le hacker, ce qui en faisait un outil offensif presque imparable.
- Invisible pour l’utilisateur, elle ne pouvait pas être détectée sans rentrer dans des registres techniques du smartphone.
- Elle portait sur iMessage, la messagerie chiffrée présente nativement sur tous les smartphones d’Apple. Chaque propriétaire d’iPhone était donc vulnérable.
Citizen Lab a nommé cette faille « Forcedentry » [entrée forcée, ndlr] pour sa capacité à contourner Blastdoor, une des toutes dernières fonctionnalités d’Apple, datée du début de l’année. Ce programme flambant neuf était censé protéger les utilisateurs d’iPhone contre ce cas précis de vulnérabilité. Mission ratée.
Cette situation de crise survient la veille de la conférence d’Apple, au cours de laquelle le constructeur devrait notamment présenter l’iPhone 13, nouvelle édition de son smartphone emblématique. Elle remet à nouveau en question la sécurité des iPhone, qui étaient jusqu’à récemment considérés comme un coffre-fort pour les données.
Des vulnérabilités de plus en plus difficiles à découvrir
Le Citizen Lab a détecté Forcedentry presque par chance. Un activiste saoudien les a contactés en mars 2021, car il soupçonnait une surveillance de son iPhone. Grâce à l’analyse de l’historique des crashs de l’appareil, le laboratoire de recherche a pu découvrir le mode de fonctionnement précis de la vulnérabilité, dont il avait trouvé de premières traces dès cet été.
Concrètement, les malfaiteurs envoient un fichier PDF malveillant à leurs victimes, qui n’apparaît même pas dans ses messages, et reste invisible à l’œil nu. Ce fichier joue avec plusieurs fonctionnalités liées aux images dans l’objectif de faire crasher iMessage, ce qui permet au malware de s’engouffrer sur l’appareil. D’après les chercheurs, c’est un pays client de NSO qui aurait lancé l’attaque contre le Saoudien, et la faille serait exploitée depuis au moins février 2021.
Apple remercie le Citizen Lab
Avec sa capacité à contourner BlastDoor, Forcedentry aurait simplement remplacé Kismet, spéculent les chercheurs. Cette précédente faille critique de iMessage exploitée par NSO Group avait été employée pour espionner des dizaines de journalistes. Rendue publique par Apple en décembre 2020, Kismet a été corrigée, et se serait vraisemblablement fait bloquer par BlastDoor quoiqu’il en soit.
Premier à braquer les projecteurs sur Pegasus en 2016, le Citizen Lab est depuis devenu le référent sur le sujet. C’est pourquoi les potentielles victimes du logiciel espion se tournent vers le laboratoire, et qu’il découvre régulièrement de nouveaux outils de NSO. Mais ce mode de lutte contre Pegasus et ses homologues paraît de plus en plus déséquilibré. Habituellement, les victimes de logiciels espions contactaient le laboratoire ou des ONG avec un signe de l’attaque. Ici, il a fallu une analyse profonde pour découvrir le problème, qui serait resté invisible sinon…
Dans son communiqué sur la patch, Apple remercie le Citizen Lab et se dit au courant des soupçons sur l’exploitation de la faille. Mais l’entreprise n’a pas commenté sur l’implication de NSO Group. Elle ne semble pas près de rejoindre Facebook, engagé légalement contre l’entreprise israélienne avec l’appui de Google et Microsoft, à la suite de l’exploitation de vulnérabilités critiques sur WhatsApp.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !