Cyberspionnage : derrière les failles Trident d'iOS, le redoutable malware Pegasus

Mickaël Bazoge |

Les trois failles corrigées par Apple dans iOS 9.3.5 (ainsi que dans la dernière bêta d’iOS 10 livrée, contre toute attente, vendredi dernier) sont redoutables. Elles ont été exploitées par NSO Group, une société israélienne dont le fonds de commerce n’est autre que l’espionnage de journalistes et de militants. Le site Motherboard raconte la découverte de l'affaire qui relève du thriller…

Ce 10 août, Ahmed Mansoor, un militant des droits de l’homme dans les Émirats Arabes Unis, reçoit sur son iPhone un message lui proposant d’en savoir plus sur de « nouveaux secrets sur la torture dans les prisons d’État ». Un lien accompagnait ce message, qu’il s’est bien gardé de lancer.

Les deux messages reçus par Mansoor — Cliquer pour agrandir

À la place, il a contacté un chercheur du Citizen Lab, un organisme de défense des droits numériques rattaché à l’université de Toronto. Aidé par Lookout, un spécialiste de la sécurité mobile, ils ont pu mettre au jour un mécanisme très élaboré de surveillance par iPhone interposé.

Si Mansoor avait touché le lien, il aurait provoqué le jailbreak de son iPhone et donné à NSO Group le plein contrôle de son smartphone. « Un des logiciels de cyberespionnage parmi les plus sophistiqués que nous ayons jamais vus », expliquent les chercheurs.

NSO Group vient d’apparaitre sur les radars, mais cette entreprise très discrète (aucune présence sur internet) opère depuis 2010. Le malware qu’elle a mis au point, baptisé Pegasus, permet d’infecter un iPhone, d’intercepter et de voler les données et les communications. Une arme redoutable, qualifiée de « fantôme » par NSO pendant une de ses rares interventions publiques en 2013. Cette société vend Pegasus au plus offrant, notamment des gouvernements peu regardants sur les droits de l’homme.

Les données volées par Pegasus — Cliquer pour agrandir

NSO a visiblement pu pénétrer par effraction dans des iPhone depuis le modèle 5. Son malware est programmé avec des réglages qui remontent jusqu’à iOS 7.

Ces trois failles zero day, baptisées Trident par les chercheurs, ont été communiquées à Apple il y a dix jours. « Nous avons été mis au courant de cette vulnérabilité et nous l’avons immédiatement corrigée avec iOS 9.3.5 », explique un porte-parole du constructeur. « iOS reste toutefois le système d’exploitation mobile grand public le plus sécurisé disponible », rassure Dan Guido, patron de la société de sécurité informatique Trail Of Bits, qui travaille souvent avec la Pomme.

Il indique toutefois qu’il reste à améliorer le système de détection des vulnérabilités. Apple a annoncé début août un programme de chasse (rémunérée) aux failles (lire : Bug bounty : Apple va récompenser financièrement les découvertes de failles)

avatar coolgamer | 

Je vois de plus en plus souvent des fautes de frappe ou d'orthographe. C'est les stagiaires qui rédigent ?

avatar Mickaël Bazoge | 
Je t'en prie, indique les nous qu'on puisse les corriger.
avatar Rodri31 | 

@MickaëlBazoge :
Vous recrutez au fait ou pas chez Macg??

avatar C1rc3@0rc | 

@Mickaël Bazoge et MacG en general.

Dites, ce serait le moment d'installer un bouton a coté de "répondre" "signaler" nommé "orthographe" ou "coquille" pour éviter que ce type de pollution en commentaire puisse faire comme si l'option n'existait pas.

On a la un sujet important et, je le remarque de plus en plus, certains "floodent" avec des messages qui n'ont rien a voir et souvent tapent sur la forme ou l'orthographe. Est ce que ce sont des "community manager" dument employés et mandatés pour ce type d'activité, j'en sais rien, mais le fait est que ça se multiplie !

Aprés pour coller au sujet: ce type de malware est connu depuis un moment puisqu'il se base sur les mêmes mécanismes que ceux permettant le jailbreak. Tant qu'on pourra faire du jailbreak par ce type de moyen, les "exploits" existeront aussi.
La le truc remarquable c'est le niveau de complexité. Certes il faut une intervention explicite de l'utilisateur pour activer le bouzin, mais c'est quand meme vicieux et efficace.

Bon l'info tombe au bon moment vu les declarations de guerre "des sinistres de l'Interieur" français et allemand qui reprennent la chansonnette anglaise et le couplet de James Comey contre le chiffrement des smartphone...

C'est clair qu'avec ce genre de faille et sans chiffrement des machine, la question de la survie des journalistes et militant des droits de l'Homme, ou simples temoins civiles, est de plus en plus menacée!

avatar Mickaël Bazoge | 
« On a la un sujet important et, je le remarque de plus en plus, certains "floodent" avec des messages qui n'ont rien a voir et souvent tapent sur la forme ou l'orthographe. Est ce que ce sont des "community manager" dument employés et mandatés pour ce type d'activité, j'en sais rien, mais le fait est que ça se multiplie ! » Je suis assez d'accord avec ça.
avatar Giloup92 | 

@C1rc3@0rc :
Il suffit d'appuyer sur le mot fautif pour le signaler.

avatar C1rc3@0rc | 

Merci de le preciser, mais c'est une information implicite qu'il faut connaitre et chercher. Face a la mauvaise foi ou meme a quelqu'un qui veut pas se casser la tete c'est pas suffisant: il faut que la fonction soit explicite et visible directement.
De plus c'est vrai sur iOS, mais y a ceux qui contribuent avec d'autres OS...

avatar BigMonster | 

Combien de fois j'ai cherché ce fameux moyen de signaler une erreur sans en passer par un commentaire pollueur ? Combien de temps perdu alors que j'étais plein de bonne volonté pour contribuer à améliorer une news ?

Jamais trouvé l'astuce, si vraiment elle existe. Il faut cliquer sur un mot, paraît-il ? Na, ça marche pas. J'ai tout simplement renoncé à aider MacG dans ce sens.

Pourtant ça serait pas difficile de mettre un bouton «Signaler une erreur» dans le bandeau noir sous la news, l'endroit le plus logique…

avatar marc_os | 

@BigMonster :
C'est pourtant simple avec l'App pour iOS : il te suffit de maintenir le doigt sur un mot 2 sec et un cht'ti menu apparaît qui te permet de le copier ou ... devines quoi ? Ou de signaler une erreur.
Parfois, quand on veut on peut.

avatar BigMonster | 

Je parle pas d'iOS, mais de mon Mac de bureau.

D'autre part, depuis iOS, ça le fait pas non plus. Mais peut-être qu'il faut obligatoirement être abonné ?

Je l'avoue, MacG n'est pas le seul site que je consulte. Faut-il se rappeler ce genre de particularité cachée pour tous les sites que l'on visite ?

Bref, dans tous les cas, mettre un bouton explicite dans le bandeau noir sous la news, ça serait vraiment une meilleure solution.

avatar marc_os | 

@ BigMonster
Je ne suis pas abonné, j'ai juste un compte pour participer aux commentaires.
Enfin, avec un navigateur web quelconque, c'est pas bien difficile de faire un cmd-F, "Contact". Tu trouveras alors au bas de la page un lien nommé Contact, qui te permettra... devines quoi ? Et bien de contacter les auteurs du site ! Etonnant, non ? Et figures-toi aussi, il y a même un petit menu qui permet de préciser l'objet et tu peux choisir "Bug & feedback".
Comme je le disais, il y a des fois, où il suffit de vouloir ou de bien vouloir y mettre un peu de bonne volonté. :/

avatar BigMonster | 

Très bien.

Toute façon, ça ira jusqu'à ce que j'oublie. Moi aussi je m'occupe d'un site Internet. Avec un bouton Contact dedans. Mais il ne sert pas à ça. C'est pas une norme, hein.

De fait, ni les termes «Bug» et «Feedback» ne sont appropriés pour indiquer que ça peut servir à signaler une erreur sur le fond d'une actualité, ou une erreur de grammaire, ou une coquille.

Et enfin, le commentaire qu'on pourrait ainsi envoyer ne serait pas automatiquement en lien avec l'article dont on parle. De fait, il faut donc y inclure le nom du rédacteur, le titre de la news, voire la date de sa publication, bref…

PS: C'était pas nécessaire d'être aussi condescendant.

avatar marc_os | 

@ BigMonster
Comme je le disais, « il suffit de vouloir ou de bien vouloir y mettre un peu de bonne volonté ». Mais visiblement tu ne le veux pas. :(

avatar mac-a-dames | 

@marc_os :
C'est vite dit que c'est simple. C'est indiqué ou ? Perso, avant que tu ne le dise, je ne le savais pas. Et encore je viens de tester, je suis resté appuyé sur un mot, la pop-up est apparue, et il a fallu appuyer plusieurs fois sur des flèches pour que le bouton de signalement apparaisse... je n'essaye pas de faire preuve de mauvaise foi, mais je n'ai jamais eu l'idée de regarder à cet endroit. Je pense qu'ils devraient changer la méthode de signalement...

avatar BigMonster | 

Ça me semble assez évident qu'il y a un souci, au vu du nombre de personnes qui signalent dans les commentaires et non avec ce bouton égaré dont on ne peut deviner a priori à quoi il peut servir exactement.

Mais bon, il y en a qui sont convaincus que non.

Moi, je renonce. Fin du HS.

avatar etienne2pain | 

@BigMonster :
Tu maintiens appuyé sur le mot

avatar Jack | 

@Mickaël Bazoge

"Je t'en prie, indique les nous qu'on puisse les corriger."

Sans vouloir te vexer, ce n'est pas notre boulot de vous les signaler, et surtout, vous avez autre chose à faire qu'a répondre à des commentaires puérils et stériles.

Nous sommes en 2016, les correcteurs orthographiques et grammaticaux sont particulièrement au point et c'est une question de respect pour ses lecteurs que de se relire avant de publier un article. Ca, c'est votre job en tant qu'exploitants de ce site.

Maintenant, tout le monde fait des erreurs (et des fôtes d'aurtografe), moi le premier. Tant qu'on est pas au niveau de 20minutes.fr (soit une faute tous les trois/quatre mots), y'a d'autres chats à fouetter.

Et pour conclure, comme la plupart des autres, je n'ai pas noté de recrudescence des typos. Continuez comme ça, c'est nickel.

avatar XiliX | 

@Jack

"@Mickaël Bazoge

"Je t'en prie, indique les nous qu'on puisse les corriger."

Sans vouloir te vexer, ce n'est pas notre boulot de vous les signaler, et surtout, vous avez autre chose à faire qu'a répondre à des commentaires puérils et stériles."

Ce message était destiné @coolgamer...
Au lieu d'écrire ce genre de connerie, autant indiquer directement les fautes d'ortho...
Voilà en substance le message de Mickaël

avatar Yoskiz (non vérifié) | 

@coolgamer :
Vu le nombre de mots taper dans la journée cela ne m'étonne pas et c'est inévitable.
Personnellement je n'en vois pas plus qu'avant.
Franchement la fonction de signalement des fautes sur l'application est géniale... en 2 secondes on peut signaler une faute.
Top !

avatar Powerdom | 

@Yoskiz :
Vu que tu en fait c'est logique que tu ne voies pas celles des autres...
CQFD

avatar Yoskiz (non vérifié) | 

@Powerdom :
Il est vrai que je tape rapidement sans me relire toujours (pas bien) depuis l'iPhone.
Ceci dit ta remarque... hein.

avatar Yves SG | 

@Powerdom :
Vu que tu en faiT ?

avatar tequilapafff | 

@coolgamer :
"Ce sont les stagiaires ....."

avatar grki | 

@coolgamer :
On doit écrire " ce sont les stagiaires qui (...)"
:)

avatar reborn | 

Ça suffit pas, il faut des backdoors pour que les autorités puissent enfin accéder librement au contenu d'un iPhone. Ça reste bancale la solution de NSO !

avatar simK | 

C'est pas à 200.000$ max la faille 0-day qui donne un accès root qu'Apple va attirer les black hat. Ils gagnent probablement 10x plus à bosser pour des boîtes comme NSO...

avatar reborn | 

@simK :
Ce genre de failles se négocie autour du millions de $

Va falloir qu'Apple allonge les billets.. Cependant cela nécessite quand même de cliquer sur un lien. Celui qui fait des trucs répréhensible saura qu'il doit éviter de cliquer sur ce genre de lien.

Par contre la présence d'esprit du type qui est allé voir des experts en sécurité.. Bien joué !

avatar C1rc3@0rc | 

C'est pas le niveau de l'offre d'Apple qui est important c'est la signification de cette information.
Tu le sais aussi bien que moi, Apple achète des failles au prix fort depuis des années, comme toutes les entreprises du secteurs. La Apple envoi un message qui signifie 2 choses:
- a tous les hacker du dimanches, découvreurs amateur acharnés ou fortuits: Apple achète les failles!
- a tous les hackers: Apple dit publiquement acheter des failles, donc Apple accepte de négocier les tarifs et mettre le prix avec des interlocuteurs "pro"

C'est un changement de politique, qu'importe le tarif affiché et la classification (au demeurant artificielle). Avec ce message Apple aura l'attention de tous ceux qui identifient une faille.

Penses aux scriptkiddiez qui tombent par hasard sur une faille, meme mineure, au lieu d'aller faire le fanfaron sur les newsgroup et se faire racheter sa trouvaille "trois francs six sous" par des pro vu qu'il comprend rien aux tarifs, le gamin va contacter Apple directement sachant qu'il aura un bon prix de marché et une chance hypothétique d'aller faire un stage chez Apple.

Les pro eux savent qu'Apple a une très grosse trésorerie et que maintenant on peut donc négocier le prix fort en priorité plutot que de devoir vendre a des clients qui peuvent être dangereux...

avatar Loustik | 

3 failles "zéro days"
Rien que ça.
Pour moi pas besoin de backdoor, je ne suis pas un pro mais si tel qu'il est dit dans le sujet, 1er fois qu'ils voient un logiciel aussi sophistiqué, les créateurs de se projet, on fait ce qu'il faut.

avatar spece92 | 

Le FBI n'a pas accès aux iPhone mais une (ou plus) entreprise israélienne si ?!? Bravo les gars.

avatar marenostrum | 

ils ont accès si tu n'est pas vigilant. sinon ils peuvent pas entrer dans ta machine. le cas montre que le journaliste en question était plus intelligent qu'eux.

avatar XiliX | 

@spece92

"Le FBI n'a pas accès aux iPhone mais une (ou plus) entreprise israélienne si ?!? Bravo les gars."

A moins de demander au propriétaire qui est décédé de taper sur le lien envoyé par NSO dans son mail, je ne vois pas comment le FBI peut entrer dans l'iPhone. Ni NSO d'ailleurs

Tu es sûr d'avoir lu l'intégralité de l'article ?

avatar Paquito06 | 

Je vois un message arrivé sur mon tel avec un lien de la sorte je le mets sur craigslists et j'en achete un nouveau. Ahah. Ils l'ont pris pour un lapin de 3 semaines.

avatar etienne2pain | 

@Paquito06 :
Ou sinon achète juste une carte sim, ça coûte nettement moins cher ;)

avatar marenostrum | 

si le smartphone est infecté le changement de la carte sim, n'y change rien. il va transmettre des infos, sur son serveur dès qu'il se connecte sur un réseau.

avatar patrick86 | 

"si le smartphone est infecté le changement de la carte sim, n'y change rien. il va transmettre des infos, sur son serveur dès qu'il se connecte sur un réseau."

Une réinitialisation de l'appareil coûtera encore moins cher qu'une nouvelle carte SIM.

avatar etienne2pain | 

@marenostrum :
Oui mais je disais cela dans le cas de la recaption d'un sms contenant ce lien, le tel n'est donc à priori pas encore infecté

avatar Paquito06 | 

@etienne2pain :
Ouais pas faux. J'sais pas si c'est juste un probleme de sim card a ce niveau la >.<

avatar XiliX | 

@Paquito06

Vu que c'est plus un jailbreak, ça a l'air d'être de très bas niveau d'iOS.
Je ne pense pas que le changement de card SIM effacerait la faille

avatar Paquito06 | 

@XiliX :
Je ne pensais pas a un changement de sim card pour combler la faille ahah, mais la personne etait clairement ciblee, donc autant changet de matis et de sim card ^^

avatar fousfous | 

Ça montre une fois de plus qu'apple doit combattre le jailbreak vu que c'est comme ça qu'ils font pour "pirater" l'iPhone, la bonne nouvelle c'est que si on clique pas n'importe comment sur des liens on ne devrait pas avoir de problèmes.

avatar marenostrum | 

le jailbreak est volontaire (l'appareil t'appartient). en plus Apple ne peut rien faire. y aura toujours des failles. y a pas de système infaillible.

avatar fousfous | 

@marenostrum :
Comment être sur que c'est volontaire, on voit bien que dans ce cas ce n'est pas vraiment volontaire. Il n'y a jamais de mot de passe à taper ou ce genre de choses.
Donc je pense qu'à partir de maintenant la guerre contre le jailbreak va être ouverte.

avatar marenostrum | 

c'est pas un jailbreak ça. Apple a toujours bouché les failles du jailbreak. mais il peuvent pas l'arrêter. ça serait pire en tout cas. comme ça ils peuvent les détecter gratuitement.

avatar reborn | 

@marenostrum :
C'est bien un jailbreak. Si ça ne l'était pas impossible d'exécuter du code non signé par Apple. Mais ici le jailbreak ce n'est qu'une partie de l'histoire.

À l'époque de jailbreakme c'était largement possible de jailbreaker sans le savoir son idevice

avatar marenostrum | 

je l'avais fait le fameux jailbreak de l'époque mais je me rappelle plus, l'iPhone avait ou pas besoin de redémarrer ?

avatar marenostrum | 

mais en dehors de l'informatique, ça montre aussi que son pays n'applique pas la torture (lui n'y crois pas en tout cas) ou que lui fait semblant d'exercer ce métier. le fait juste pour être payé. sinon il aurait cliqué sur le lien.

avatar FahirN | 

@marenostrum :
Limite-toi plutôt à l'informatique. Le reste, visiblement, ne te réussit pas trop.

avatar marenostrum | 

alors comment expliques tu, le fait qu'il n'a pas été tenté de cliquer sur le lien ?

avatar harisson | 

Quand tu es un activiste des droits de l'homme identifié dans des "régions limites", tu es en mode parano. Le fait même de recevoir ce type de message sur son tél n'est pas anodin.

Pages

CONNEXION UTILISATEUR