Les Émirats arabes unis ont exploité une faille d'iMessages pour hacker des iPhone
L'iPhone et iMessage se sont révélés des alliés précieux pour un groupe de hackers employés par les Émirats arabes unis (EAU) afin de mener des opérations d'espionnage de personnalités du pays et à l'étranger, détaille Reuters dans une longue enquête en deux parties.
L'affaire remonte au début 2016, elle implique un groupe clandestin baptisé "Raven", formé de responsables de la sécurité dans les Émirats arabes unis et d'une douzaines d'anciens agents des services d'espionnage américains. Une partie d'entre eux avaient été blâmés par la NSA pour avoir encouragé l'embauche d'un spécialiste appelé Edward Snowden.
Les EAU avaient acheté un outil surnommé "Karma", capable d'infiltrer des iPhone pour en observer l'activité et récupérer des données. Le créateur de ce logiciel est demeuré inconnu et les membres de Raven n'en connaissaient le fonctionnement que dans les grandes lignes.
Suffisamment pour s'en servir quotidiennement, ce qui apparemment n'était pas compliqué. Les agents n'en savaient pas beaucoup sur le mode opératoire de Karma, sinon qu'il s'appuyait en partie sur des failles liées à iMessage.
Lori Stroud, une ex agente de la NSA et ancienne membre de Raven a raconté à Reuters l'accueil fait à cet outil de surveillance : « C'était du genre, 'Nous avons ce nouvel exploit que nous venons d'acheter. Filez-nous maintenant une énorme liste de cibles qui ont un iPhone'. C'était comme à Noël ».
iMessage oblige, Karma avait comme particularité de ne fonctionner qu'avec les iPhone. Il ne pouvait intercepter des appels téléphoniques mais il savait moissonner les photos, SMS, e-mail, mots de passe et informations de position géographique de l'utilisateur. Reuters n'a pu obtenir de détails sur la manière dont de telles informations, ou des photos parfois compromettantes, ont pu être utilisées.
Contrairement à une autre affaire de piratage impliquant cette fois l'Arabie Saoudite (lire L'iPhone de Jamal Khashoggi utilisé pour l'espionner ?) le malware n'avait pas besoin que la cible ouvre Messages ni qu'elle tape sur un lien reçu. Il suffisait de fournir à Karma le numéro de téléphone de l'individu visé ou son adresse email.
C'est un iMessage envoyé vers le téléphone de la victime qui, au travers d'une faille dans la plate-forme d'Apple, pouvait établir une connexion avec le système des hackers. Plusieurs surveillances pouvaient être menées de front, selon une fréquence quotidienne.
Ce qu'il est advenu de ce logiciel reste un mystère mais d'après Lori Stroud, vers la fin 2017, Apple a modifié des choses dans iOS qui ont rendu Karma moins efficace.
Ce logiciel a été acheté par le gouvernement des EAU, poursuit Reuters et c'est une société spécialisée en sécurité, DarkMatter, qui payait l'équipe de pirates. Plusieurs militants, opposants ou personnalités politiques chez les voisins des Émirats arabes unis ont été ainsi surveillés, ainsi que des personnes en Europe de même que l'ancien vice-Premier ministre turc. L'équipe travaillait également contre des groupes terroristes liés à Daech.
C'est seulement après avoir remarqué que ces opérations de surveillance visaient parfois des citoyens américains que Stroud a commencé à poser quelques questions. Licenciée du jour au lendemain, elle est retournée aux États-Unis. Elle fait l'objet d'une enquête du FBI pour vérifier si des informations sensibles et des outils d'espionnage américains ont été transmis à l'étranger.
Certains ont désactivé FaceTime, et bientôt iMessage peut-être ?
Ben ouais, on peut pas tout faire : se palucher sur les emojis lors des keynotes et travailler sur des choses importantes "pour les données privées de nos clients"...ben voilà.
toute cette histoire mélant FBI, NSA, etc, c'est du pur bullshit. Aux EAU comme dans la plupart des pays du Golfe, vous ne pouvez (hors certaines zones franches) posséder un business avec 100% du capital. Un partenaire local doit forcément détenir au moins 51%.
Apple n'a jamais, à juste titre, accepté de telles conditions. Jusqu'à ce qu'un "arrangement" eu lieu pour le 1er Apple Store à Dubai Mall. Cook obtenait la garantie de garder à titre exceptionnel 100% du capital. Sachant qu'il n'y a ni impôt ni taxe à Dubai (récemment ils ont mis en place une TVA mais qui n'existait pas à l'époque de l'arrivée d'Apple), quel serait alors leur avantage en contrepartie? Les EAU sont une des pires dictatures du Golfe, et cette news apporte en partie la réponse.
Comme l'obligation d'installer des serveurs en Chine et d'y stocker tout le cloud concernant les clients Chinois. Il y a les publicités, le marketing, l'attention aux "données privées de nos clients" mais qui a dit que c'était vous les clients, utilisateurs finaux, et pas les gouvernements? Car là oui, Apple garantira la privacy of your data.
Client: personne physique ou morale qui paye en échange d'un bien ou d'un service.
comprendre: le problème vient des émirats arabes unis mais pas de la faille iMessage.
PS: les EAU ne sont pas un Royaume mais un pays, composé de 7 émirats avec à leur tête un émir, pas de roi, et le tout avec une seule capitale.
Excuse moi, mais perso, j'y vois deux problèmes : la faille d'iMessage, donc la responsabilité d'Apple & le fait que des états très peu démocratiques s'en servent pour fliquer des opposants...ce qui va inciter les nôtres à faire de même (si ce n'est pas déjà le cas au nom de tout et n'importe quoi).
la surveillance en ligne ne sert pas qu'à traquer les "opposants" malheureusement et c'est là tout le problème car le droit de ne pas être d'accord, c'est la base d'une société libre. Ensuite, on sait bien qu'il s'agit d'une surveillance généralisée en ratissant très large en nous faisant croire que sacrifier sa vie privée c'est avoir plus de sécurité. Bullshit. En revanche, il ne faut pas être extrémiste car les nouvelles technologies peuvent et doivent servir à lutter contre les attentats, espionnages industriels ou terrorisme (tout type de terrorisme y compris en col blanc).
@MerkoRiko
Ah parce que tu penses que dans les pays dits “démocratiques” ou auto-proclamés “respectueux des droits de l’Homme” on n’espionne pas les opposants politiques et on ne met pas sur écoute certaines personnes jugées “dérangeantes” ? Tous les pays le font. Tous sans exception.
@ilyes3333
« Ah parce que tu penses que dans les pays dits “démocratiques” ou auto-proclamés “respectueux des droits de l’Homme” on n’espionne pas les opposants politiques et on ne met pas sur écoute certaines personnes jugées “dérangeantes” ? »
Je ne sais pas. Non, ça je me parait pas une évidence.
Qui et quand en France, récemment, hors mandat judiciaire ?
Il me semble savoir qu’il est interdit aux Ministres de garder leur téléphone portable avec eux pendant le conseil des ministres. Faut pas se leurrer, c’est facile à pirater pour des personnes motivées et avec des moyens — typiquement, des États, et même des États dans ce que l’on appelle « nos alliés ».
Quant au commun des mortels, vous et moi qui n’intéressons pas grand monde en dehors des publicitaires, savoir placer son mur Facebook et ses messages Messenger en privés c’est déjà énorme comme prise en main de sa sécurité. Une voisine s’est fait griller comme ça, elle avait piqué le chaton d’une autre voisine et en a discuté sur Facebook avec une copine. Celle qui cherchait son chat a retrouvé la discussion sur la première page de ses résultats Google, en tapant « Chat angora turc perdu » !
@pim
On dirait un remake du film « Chacun cherche son chat ».
http://www.allocine.fr/film/fichefilm_gen_cfilm=14363.html
Si j’ai bien compris la news précédente, Apple va donc bloquer tous les uPhone des EAU.
J’ai bon ?
Une vrai passoire cet iOS ?
@anonx
Je préfère cette passoire au panier à crabe mdr
@Clément34000
J’ai tendance à dire que tant que tu ne sais pas, tu es rassuré...
Déjà du passé quoi lol Encore une faille qui n’est plus et dont on parle... mauvaise pub gratuité et injustifiée
JAMAL, le journaliste saoudien dissident aurait dû prendre un androïd, plus sûr quand c’est paramètré par un pro en sécurité. Il serait peut être encore en vie.
IOS, c’est bien pour le commun des mortels, mais android est plus malléable pour appliquer des mesures de sécurité extrêmes
C’est quoi Raven