Cyberspionnage : derrière les failles Trident d'iOS, le redoutable malware Pegasus

Mickaël Bazoge |

Les trois failles corrigées par Apple dans iOS 9.3.5 (ainsi que dans la dernière bêta d’iOS 10 livrée, contre toute attente, vendredi dernier) sont redoutables. Elles ont été exploitées par NSO Group, une société israélienne dont le fonds de commerce n’est autre que l’espionnage de journalistes et de militants. Le site Motherboard raconte la découverte de l'affaire qui relève du thriller…

Ce 10 août, Ahmed Mansoor, un militant des droits de l’homme dans les Émirats Arabes Unis, reçoit sur son iPhone un message lui proposant d’en savoir plus sur de « nouveaux secrets sur la torture dans les prisons d’État ». Un lien accompagnait ce message, qu’il s’est bien gardé de lancer.

Les deux messages reçus par Mansoor — Cliquer pour agrandir

À la place, il a contacté un chercheur du Citizen Lab, un organisme de défense des droits numériques rattaché à l’université de Toronto. Aidé par Lookout, un spécialiste de la sécurité mobile, ils ont pu mettre au jour un mécanisme très élaboré de surveillance par iPhone interposé.

Si Mansoor avait touché le lien, il aurait provoqué le jailbreak de son iPhone et donné à NSO Group le plein contrôle de son smartphone. « Un des logiciels de cyberespionnage parmi les plus sophistiqués que nous ayons jamais vus », expliquent les chercheurs.

NSO Group vient d’apparaitre sur les radars, mais cette entreprise très discrète (aucune présence sur internet) opère depuis 2010. Le malware qu’elle a mis au point, baptisé Pegasus, permet d’infecter un iPhone, d’intercepter et de voler les données et les communications. Une arme redoutable, qualifiée de « fantôme » par NSO pendant une de ses rares interventions publiques en 2013. Cette société vend Pegasus au plus offrant, notamment des gouvernements peu regardants sur les droits de l’homme.

Les données volées par Pegasus — Cliquer pour agrandir

NSO a visiblement pu pénétrer par effraction dans des iPhone depuis le modèle 5. Son malware est programmé avec des réglages qui remontent jusqu’à iOS 7.

Ces trois failles zero day, baptisées Trident par les chercheurs, ont été communiquées à Apple il y a dix jours. « Nous avons été mis au courant de cette vulnérabilité et nous l’avons immédiatement corrigée avec iOS 9.3.5 », explique un porte-parole du constructeur. « iOS reste toutefois le système d’exploitation mobile grand public le plus sécurisé disponible », rassure Dan Guido, patron de la société de sécurité informatique Trail Of Bits, qui travaille souvent avec la Pomme.

Il indique toutefois qu’il reste à améliorer le système de détection des vulnérabilités. Apple a annoncé début août un programme de chasse (rémunérée) aux failles (lire : Bug bounty : Apple va récompenser financièrement les découvertes de failles)


avatar reborn | 

@harisson :
Je pense a finefleur qui veut absolument des backdoors pour les gouvernement...

avatar marenostrum | 

par quels moyens veut-t-il alors faire son job ? comment communiquer incognito avec lui ? ou il attend qu'un mec qui connait des secrets le contacte dans la place publique ouvertement ?

à mon avis lui il a bel et bien cliqué sur le lien, mais il s'est rendu compte après le coup que c'était juste un piège. parce que son iPhone a redémarré forcement (c'est le cas d'un jailbreak). après ça (en gardant toujours le message) il a cherché l'aide de quelqu'un de confiant, spécialiste en la matière.

avatar marc_os | 

@marenostrum :
"À ton avis".
Sur quelle base, alors que l'article dit l'inverse ?? Ta boule de cristal ?

avatar XiliX | 

@marenostrum

"par quels moyens veut-t-il alors faire son job ? comment communiquer incognito avec lui ? ou il attend qu'un mec qui connait des secrets le contacte dans la place publique ouvertement ?"

Pas en cliquant sur un lien inconnu et suspect surement. Il y a moult moyen de contacer quelqu'un. Mais contacter quelqu'un, en plus lui demander de suivre un lien ???
Je ne suis pas activiste, pourtant je me méfie de tous les liens envoyés par mes amis

avatar Un Type Vrai | 

Tu sais, des humains intelligents, il y en a d'autres que toi.
Je ne clique jamais sur les liens, je ne rappelle jamais les numéro inconnus et je ne suis pas dans le cas de ce militant.

Donc avant de supposer qu'il est débile, relit l'article...

avatar marenostrum | 

mais comment il savait sans cliquer que c'était un piège d'espionnage et pas par ex un numéro surtaxé (pour tirer seulement profit) comme on reçoit d'habitude ?

avatar harisson | 

Il ne savait pas que c'était un piège d'espionnage, il a envoyé le lien à un chercheur en sécurité (cf news MacG) et dans l'article original, ils indiquent qu'il avait déjà eu des problèmes avec des hackers gouvernementaux auparavant donc il est devenu méfiant.

Et en règle général, on ne clique jamais sur un lien provenant d'un numéro inconnu de son carnet d'adresse.

avatar marenostrum | 

je comprends tout ça. ce que je ne comprends pas, c'est qu'une société capables de faire des logiciels d'espionnage sophistiqués, (de trouver des failles et tout ça, et d'en faire des millions de dollars) t'envoie un simple lien cliquable dans ta messagerie, que même un mec normal, comme nous, ne fait plus confiance.

ps; j'y crois pas à cette histoire de militant de droits de l'homme, non plus. sur le fond, on a un arabe et une société israélienne. donc ça dépasse les histoires simplistes.

avatar harisson | 

C'est le mode opératoire (le lien clickable) pour exploiter la faille, la société ne va pas envoyer un manuel de jailbreak par sms + installation de l'app vérolée…

Pour ton ps, ça n'a rien d'extraordinaire. Ce qui est important pour ce type de société, c'est de monnayer l'information et leur savoir-faire auprès de leur gouvernement, l'activiste arabe peut très bien posséder (ou pas) des informations "confidentielles" sur son pays qui pourraient être exploitables (en bien ou en mal) par les services secrets israéliens.

avatar marenostrum | 

sauf que par le lien simple, il ont tout perdu. et ils perdront encore tous leurs trouvailles s'ils utilisent la même méthode.

avatar bonnepoire | 

@marenostrum 26

T'en deviens risible comme pas permis...

avatar Danny Wilde | 

L'épée sera donc t-elle toujours plus forte que le bouclier ?

avatar Ginger bread | 

Le FBI aurait il pris contact avec cette Société ?

avatar armatchi | 

Comment sait-on si on a été infecté par Pagasus?
La mise à jour 9.3.5 est-elle juste un vaccin pour prévenir de l'infection ou bien guérit -elle aussi de l'infection ?

avatar marenostrum | 

pour en être sûr, il faut restaurer ton iPhone (comme un nouvel iPhone) si t'as des doutes.

avatar Crkm | 

[On va éviter ces allusions, merci. MB]

avatar Sealbirman | 

Et demain on apprendra que NSO ferme ses portes faute de pouvoir travailler...:)
Plus sérieusement, je me demande par contre combien de failles 0-day cette boîte a en réserve sur iOS. Et dans l'histoire de iPhone du FBI, NSO aurait eu les moyen d'intervenir, nan ?
Mais ce n'aurait certainement pas été assez rentable...

Mais de l'autre côté, je serais très curieux de connaître le nombre de failles 0-day que cette boîte a en magasin sur Android. Plusieurs dizaines si j'étais mauvaise langue...

avatar marenostrum | 

l'histoire nous montre, qu'un mec intelligent ils peuvent pas le tromper.

avatar cedric1997 | 

C'est pas parce qu'ils pouvaient faire ce virus qu'ils pouvaient déverrouiller l'iPhone du FBI. Toutes les méthodes de jailbreak, dont celle-ci, nécessitent que l'appareil soit déverrouillé, or c'est justement le point que le FBI ne parvenait pas à outrepasser.

avatar spece92 | 

@cedric1997 :
Oui tu as raison

avatar marenostrum | 

y avait pas besoin au début. en mode DFU le jailbreak c'était possible même le phone verrouillé. on pouvait tout effacer. (ce qui posait le plus problème, c'était les iPhone verrouillé par les opérateurs, pas par les utilisateurs)

dans ce cas de jailbreak, le mec doit rien remarquer (ni bug, ou redémarrage), sinon il va en douter et ça ne sert à rien. juste tromper les débiles. mais les gens important en grade sont intelligents la plupart.

avatar marc_os | 

@Sealbirman :
Et qu'auraient-ils fait ?
Car au préalable ils ont besoin que l'utilisateur lui même ait installé le logiciel espion. Sans sans rendre compte peut-être, mais c'est qd même le propriétaire qui lance l'installation ? Or, s'il est mort, je vois pas trop comment faire, hein !?!

avatar rikki finefleur | 

Il y a quelques jours , je me souviens qu'apple dans toute son arrogance déplacée se moquait des failles de quelqu'un , je crois...
Voilà qui s’appelle se prendre des vents.

avatar mac-a-dames | 

"Si Mansoor avait touché le lien, il aurait provoqué le jailbreak de son iPhone et donné à NSO Group le plein contrôle de son smartphone."
Et dire que certains attendent longtemps qu'un groupe de développeurs sorte un jailbreak publique...

avatar mac-a-dames | 

Par contre, corrigez moi si je me trompe mais j'ai l'impression que la plupart des commentateurs ici se mélange les pinceaux avec le mot "jailbreak" utilisé dans cet article et le vrai terme.

Pour moi le jailbreak est un terme qui signifie en gros qu'en passant par des failles on s'octroie les droits super utilisateur pour sortir des possibilités très verrouillés (par Apple) du système pour le modifier à sa convenance. (Jail = prison = verrous mis en place par Apple). Ce terme est proposé à iOS.
Alors que la Il s'agit ni plus ni moins d'un malware/spyware passant par une faille, ce qui existe sur tous les systèmes.

Si mon résumé est le bon, je trouve que le terme "jailbreak" est utilisé à tort dans cet article et n'est autre qu'un bâton tendu à ceux qui diabolisent le jailbreak pour le battre (Apple a dit que c'est pas bien le jailbreak donc c'est pas bien).

avatar mac-a-dames | 

@mac-a-dames :
Ce terme est exclusif à iOS*

avatar marenostrum | 

le jailbreak passe aussi par une faille. par ce biais ça t'installe Cydia (le plus connu). là ils t'installent leur logiciel espion invisible qui travaille en tache de fond. (et qui est pas un logiciel banal, regarde la photo, il a accès partout lui)
donc n'importe le terme utilisé, le but (et même la technique disent les spécialistes cités dans l'article) reste le même, casser la protection du système. la seule différence est que le jailbreak est volontaire. là c'est à ton insu.

avatar marc_os | 

@mac-a-dames :
Non. C'est pareil car c'est un fine l'utilisateur qui installé la merde qui pour pouvoir faire ce qu'elle doit faire.

avatar sachouba | 

Heureusement qu'Apple bouche si rapidement les failles : ça ne fait que 3 ans que ces failles sont exploitées activement par des malandrins. Vive la sécurité d'iOS.

Les smartphones Android ne reçoivent pas tous de mise à jour, mais le caractère open-source de l'OS de Google et les mécanismes de protection mis en place par Google (mises à jour de sécurité en arrière-plan via les services Google, vérification du code des apps avant installation...) empêchent les failles d'être exploitées pendant longtemps. D'ailleurs, la faille de Stagefright, que certains ici se font un plaisir de rappeler à chaque article sur la sécurité d'Android, n'a jamais été exploitée.

avatar Paquito06 | 

@sachouba :
Oui tu as raison,
http://tinyurl.com/zkxev9p
1st article on google,
Ce qu'il faut pas lire...

avatar sachouba | 

@Paquito06 :
Effectivement, encore une faille découverte par des chercheurs en sécurité avant son exploitation par des entreprises malveillantes. Ça aide, l'open source.

avatar Yves SG | 

@sachouba :
Oui d'ailleurs après les sucreries, Google a décidé de passer aux choses sérieuses. Je crois savoir à ce propos que la prochaine version répondra au doux noms de "Gruyère"...

avatar p@t72 | 

non,ça c’est réservé à apple
ils ont déposé un brevet sur les noms de régions ;)

avatar mac-a-dames | 

@Yves SG :
Gruyère qui contrairement à l'emmental, n'a pas de trous.

avatar Domsware | 

@sachouba :
L'open source n'est pas une garantie contre les failles. Car ce n'est pas parce que le code source est accessible par tous qu'il est dans les faits étudié et analysé 1/ par les personnes compétentes, 2/ de manière sérieuse et irréprochable et 3/ à chaque modification.

L'affaire HeartBleed l'a démontré il y a quelques années.

Enfin, puisque tu évoques Android, la faille sur les WebView pourtant grave et touchant énormément d'utilisateurs n'a pas été corrigée par Google.

avatar sachouba | 

@Domsware :
Pourtant, des failles sont découvertes sur Android et Linux par des chercheurs en sécurité très régulièrement. Cela rend hilares certains commentateurs ici, mais ces failles sont ensuite corrigées très rapidement, avant que des entreprises spécialisées ne les découvrent.

C'est vrai, la faille de WebView n'a été corrigée que dans les version récentes d'Android (la majorité des smartphones en circulation aujourd'hui), mais le navigateur par défaut d'Android (Google Chrome) qui supplante WebView depuis quelques années (par les Chrome Custom Tabs) n'est pas touché par la faille.

avatar sangoke | 

À tous ceux qui disent ouai c'est pas un journaliste il a cliqué sur le lien et après coup il a vu que c'était un malware ou encore que c'est comme ça que bossent les journalistes, par texto ???? Vous êtes sérieux ?? Je pense qu'aujourd'hui avec le nombre de messagerie sécurisées (Tor, VPN, Telegram, mais chiffrés avec PGP et bien d'autres) heureusement qu'il n'utilisent pas un simple texto, même en France ils utilisent des messageries sécurisées, comme les lanceurs d'alertes par exemple alors dans des pays où les gouvernements sont encore plus agressifs que les nôtres, les précautions sont encore plus de mise. C'est leur vie qui est en jeu mais c'est sur que vous dans votre petit confort quotidien vous êtes déconnectés de la réalité faut s'ouvrir au reste du monde un peu et surtout en savoir un peu plus sur d'autres professions que les vôtres avant de parler ;)

avatar marenostrum | 

quel vie est en danger. il est pas en illégalité lui. c'est juste un activiste.

avatar fabrice16 | 

Bonjour à tous. Je suis très surpris que personne ne demande si avec la bêta 6 public nous sommes protégés ?

avatar patrick86 | 

"Bonjour à tous. Je suis très surpris que personne ne demande si avec la bêta 6 public nous sommes protégés ?"

Première phrase de l'article. ?

avatar otisphone | 

@patrick86 :
Oui on est protégé !!! C'est la maj du week-end dernier, il me semble bien l'avoir lu dans l'article. Encore faut il le lire... bonne journée ;)

avatar otisphone | 

@patrick86 :
Ha c'est bon tu as lu ^^

avatar marc_os | 

@fabrice16 :
Si tu es prêt à cliquer sur n'importe quoi pour voir des nana à poil ou le dernier truc pour choper des Pokemon, pas sûr.

avatar Milouze | 

Pour les (vrais) geeks, la description technique complète de de comment un hacker espagnol a réussi à hacker.... la Hacking Team, cette boite italienne qui fabriquait ce genre de soft.

https://ghostbin.com/paste/6kho7 (eng)

http://pastebin.com/raw/GPSHF04A (spa)

avatar fondoeil | 

C'est impressionnant... S'il s'était agi d'une entreprise américaine, voire même française, les commentaires pour dénoncer cette société qui met en danger la vie de militants des droits de l'Homme seraient légion... Mais là, silence complet. Belle (auto)censure pour ne fâcher personne...

avatar marenostrum | 

ils mettent en danger rien du tout eux. ils font seulement leur commerce. comme eux qui fabriquent des armes par ex. on peut pas les faire responsables des crimes ou les guerres commises partout dans le monde.

avatar debione | 

Ben voilà, on y est... Toujours des volontaires pour utiliser touchID, Apple PAy et autres??? Evidmeent que oui, personne ne changera ces petites habitudes..." Ouais mais tu comprends moi je m'en fout j'ai rien a me reprocher..."
IOS est comme tous les OS, une vraie passoire...

En fait je sais même pas pourquoi on remonte ce genre d'info, cela ne sert à rien... Personne ne tapera sur ces fachos d'israéliens, personne ne changera ses habitude sur touchID, Apple PAy et autres...

Tout le monde s'en fout du moment qu'ils ont leurs "précieux"... Triste monde, triste humain...

avatar headoverheel | 

@debione :
J utilise apple pay, mon compte itune est préhistorique ( 6 chiffres que je n'ai jamais changés depuis l'origine ) et je ne me fais pas temps de soucis que cela. Je me dis que si je laisse traîner tous mes moyens de paiement sur mon bureau au travail (cash, chequier, carte bleue et iPhone), celui qui sera le moins utilisable par un malandrin sera apple pay.

avatar debione | 

On touche justement au fond du problème, la dissolution des responsabilités... Ce que je veux dire c'est que comme pour la pollution, le péquin lambda se dit: "C'est pas MA voiture qui est responsable de l'augmentation des océans, c'est pas MON pavillon de jardin, c'est pas MON smartphone, c'est pas Mon robot mixer etc etc".

Le problème ne se situe pas au niveau individuel, mais collectif. Problème: la solution elle se situe au niveau individuel.

avatar sangoke | 

@debione :
Mais ça n'a rien à voir avec l'utilisation d'Apple pay et touchid heureusement ces méthodes sont utilisés pour espionner des personnes bien spécifiques je pense qu'ils en ont rien à foutre de tes empreintes et de tes comptes en banque tkt pas va méfie toi plus du phishing, ransomeware et d'autres techniques de piratage qui sont effectués par des scripts kiddies qui eux en veulent à ton argent mais la clairement on est un niveau au dessus, c'est pas n'importe quel clampin qui a accès à ces techniques ...

Pages

CONNEXION UTILISATEUR