Une faille iOS a été exploitée pour viser des membres du gouvernement américain

Félix Cattafesta |

Un peu plus tôt dans l'année, une faille iOS a permis à un groupe de hackeurs de récupérer des données sensibles de membres du gouvernement américain. Révélée par les chercheurs en sécurité de Google, cette faille CVE-2021-1879 était « zero day », c'est-à-dire qu'Apple n'en avait pas connaissance au moment de son utilisation.

Les cibles de l'Agence des États‑Unis pour le développement international recevaient par email un lien qui, quand elles cliquaient dessus, les menait sur un site web capable d'installer du code frauduleux sur leurs iPhone. Les hackeurs ont ainsi pu récupérer les cookies d'authentification de divers sites comme Facebook, Google, Microsoft, LinkedIn ou encore Yahoo. Pour que cela fonctionne, la victime devait avoir une session ouverte sur ces sites afin que les cookies de Safari soient exfiltrés. Cette faille a été réglée par Apple avec la sortie d'iOS 14.4.2 en urgence. D'après les chercheurs, cette attaque a aussi touché les utilisateurs de Windows.

Le groupe de hackeurs travaillait probablement pour le Service des renseignements extérieurs de Russie. Les chercheurs de Google notent que les failles « zero day » sont de plus en plus nombreuses. Ils ont compté 33 attaques de ce type dans la première partie de l'année : c'est 11 de plus que l'année dernière. Cette augmentation est liée à une meilleure détection de ce type d’action, mais aussi à l'augmentation de la vente de faille par des entreprises privées. « Les groupes [de hackeurs] n'ont plus besoin de disposer d'une expertise technique, mais simplement de ressources », notent les experts.


avatar minipapy | 

Je sais que le CSS a des allures de virus malintentionné à l'égard des développeurs, mais je ne sais pas si j'aurais choisi ce langage comme illustration d'un article de cybersécurité ! 😃

avatar Jeckill13 | 

@minipapy

C’est malveillant uniquement pour les développeurs backend, ils sont du côté obscur ! Les développeurs frontend sont du côté lumineux.

avatar minipapy | 

@Jeckill13

Effectivement, c’est un virus discriminatoire.
Mais est-ce qu’un développeur frontend peut sérieusement être considéré comme un dév ? Je ne pense pas. Ça utilise un nouveau framework JS tous les matins pour faire genre, mais ça va pas beaucoup plus loin. 😜

avatar tupui | 

@minipapy

😂🙌

avatar bdemont | 

@minipapy

😆

avatar morpheusz63 | 

@minipapy
Heureux ? Tu as eu ton moment de gloire avec ton css? Sinon tu cherche quoi à opposé frontend ou back . Ou à dénigré le js? L'info c'est pas une religion .

avatar minipapy | 

@morpheusz63

Tu t'énerves pour un simple trait d'humour ? Je vais partir du principe, que tu as eu une mauvaise journée. 😉

avatar Bigdidou | 

@minipapy

« Je vais partir du principe, que tu as eu une mauvaise journée. 😉 »

Ah, non, il est toujours comme ça :D
Mais peut-être qu’il passe que des mauvaises journées…

avatar minipapy | 

@Bigdidou

On va lui souhaiter de rapidement trouver le bonheur alors.

avatar Derw | 

@minipapy

Je suppose qu’il a sans doute dû faire du CSS pour un obscur intranet qui tourne encore sur IE6 pour une sombre histoire d’activeX…

avatar marc_os | 

@ minipapy

Bravo pour les attaques personnelles en guise de réponse.
De plus, fallait le savoir que c'était de l'humour, l'emoji que vous avez utilisé ne le montrant pas clairement.
Mais c'est sûr, s'excuser... oh là là, surtout pas !

avatar minipapy | 

@marc_os

Présenter des excuses pour avoir fait une blague sur un langage informatique ? Non, clairement pas. Je n’ai pas à gérer ton égo et ta susceptibilité.

Triste monde où même un humour sans insultes et sans grossièretés arrive à mettre des gens en colère.

Libre à toi de me masquer, je m’arrête là.

avatar iValFR | 

@minipapy

C’est parce que c’est un hacker de nuit et webdesigner de jour 😄

avatar charonne | 

D’où l’intérêt d’utiliser le mode « navigation privée » pour aller sur un genre de site un peu douteux. Vous voyez le genre dont je parles ? 🤓
On peux espérer qu’il ne leur ai pas possible de récupérer les cookies des autres sites dans ce mode…

avatar TheUMan | 

Et ben ouais Apple, si tu payes pas pour les bugs d'autres les monnayent très bien...

avatar r e m y | 

Je n'ose imaginer la passoire que serait iOS sans les équipes de chercheurs en sécurité de Google...
9 failles sur 10 sont trouvées par cette équipe.

Quand est-ce qu' Apple prendra en considération l'importance de la sécurité et investira enfin à la hauteur des enjeux en recrutant ses propres équipes de chercheurs??? 🤔

avatar f3nr1l | 

@r e m y

Émettons une hypothèse: Serait il envisageable que les chercheurs de Google aient intérêt à rendre publiques les failles trouvées dans les produits de leur concurrent, et qu'à l'inverse, les chercheurs d'Apple -s'ils existent- aient intérêt à corriger celles qu'ils trouvent sans jamais communiquer dessus, ou en tous cas le moins possible?
Cela semble-t'il plausible?

avatar occam | 

@f3nr1l

"Cela semble-t'il plausible?"

Non.

Pas si l’on suit le mode de fonctionnement de ces équipes.
Pas si l’on analyse l’évolution historique de ces failles et des circonstances qui les rendent publiques.
En dernier lieu, pas si l’on considère attentivement les divergences entre les modèles de business d’Apple et de Google.

avatar charonne | 

@occam

Les failles trouvées par Apple sont, soit non documentées comme le fait IBM également, soit documentées après que leur correction soit largement déployée. Ce qui fait forcément moins de bruit…

avatar f3nr1l | 

@occam

Pardon, mais votre réponse me laisse sur ma faim. A quelle conclusion arrivez-vous après avoir suivi le mode de fonctionnement des équipes, analysé l'évolution historique de ces failles, et considéré attentivement les divergences de business model?
PS: Ce n'est pas un sarcasme.
PPS: "Cela ne semble pas plausible" n'est pas la réponse que j'espère 😜

avatar IceWizard | 

@f3nr1l

« Serait il envisageable que les chercheurs de Google aient intérêt à rendre publiques les failles trouvées dans les produits de leur concurrent, »

L’affaire de l’an dernier sur l’espionnage chinois des journalistes pro-Ouïgours, montre que les chercheurs de Google ont d’abord communiqués sur les failles iOS. Il a fallut attendre deux ou trois jours pour d’autres révélations montrant l’ampleur de l’opération chinoise sous Android et Windows.

Google n’a pas caché les problèmes sous Android, juste retardé un peu leurs divulgations, de sorte que la presse parle essentiellement de l’espionnage chinois des iPhones.

avatar occam | 

@r e m y

"Quand est-ce qu' Apple prendra en considération l'importance de la sécurité et investira enfin à la hauteur des enjeux en recrutant ses propres équipes de chercheurs???"

Quand ce sera un critère décisif d’achat/non-achat pour une proportion suffisamment large de sa clientèle.
C’est pas demain la veille.

Tant que les enjeux seront asymétriques — risques pour les clients, bénéfices pour Apple — l’entreprise n’aura aucune motivation à investir, ou à s’investir.
Tant que de telles failles ne nuiront pas de façon cuisante à la réputation de la marque (et l’expérience montre que les fidèles lui sont acquis mordicus), il n’en suivra aucune pénalité à ne pas s’en soucier.

avatar Lu Canneberges | 

Bon, la faille c’est aussi la stupidité des gens qui en 2021 n’ont toujours pas compris qu’on ne clique pas sur un lien inconnu, ça bosse pour le Gouvernement et il n’y a pas de formation de base sur l’hygiène et la cybersécurité ?
« Les cibles (…) recevaient par email un lien qui, quand elles cliquaient dessus, les menaient sur un site web capable d'installer du code frauduleux sur leurs iPhone. »

Et si c’est Facebook et LinkedIn ça va, ce n’est pas la base de données de la CIA, mais c’est sûr que c’est très chiant quand même (surtout pour Google s’il y a Gmail…).
« Les hackeurs ont ainsi pu récupérer les cookies d'authentification de divers sites comme Facebook, Google, Microsoft, LinkedIn ou encore Yahoo. »

avatar scanmb | 

@Lu Canneberges

La principale source de problèmes se trouve entre la chaise et l’écran …

avatar p@t72 | 

Tiens....
Bin vla...
En fait les utilisateurs Mac os sont aussi cons que sur Windows 😂
Je suis rassuré !

avatar Levrai | 

iOS une passoire niveau sécurité et dire que tous les fanboys de sentent en sécurité avec face ID qui ne sert à pas grand chose à part cacher la merde au chat ! Encore un bel exemple qui prouve que le fanboys vivent dans un monde de Bisounours! C'est bientôt l'heure du serment... https://youtu.be/t0MIFA3QZA4 😭

avatar debione | 

@Levrai:

"Cacher la merde au chat"... Tient une expression que je ne connaissais pas... ;)
Je retourne faire popo dans ma caisse... :)

avatar scanmb | 

@Levrai

On arrive bientôt à la mi-aout …. Pour votre chat

avatar IRONMAN65 | 

Y’en a qui consultent des site porno chelous

avatar Bigdidou | 

Ce sont les Danois qui doivent être embêtés…

avatar Phiphi | 

Le gouvernement ricain voudrait que les iPhones soient moins bien sécurisé…
Mais quand on découvre des failles dans iOS on constate qu’elles ont servi à espionner le gouvernement ricain…

Une certaine forme de justice immanente non ?

avatar webHAL1 | 

Ah. Mince. Ce genre d'affaires expose un peu plus le ridicule de l'argument comme quoi "l'iPhone est très sécurisé car l'App Store est le canal de distribution unique pour l'installation d'applications", défendu avec acharnement par Apple, ainsi que par certain(et)s inconditionnel(le)s de la marque sur le Net.
Et, d'ailleurs, même chose pour l'argument comme quoi le fait que le moteur de rendu de Safari soit le seul autorisé sur iOS permet une meilleure sécurité.

avatar tolbach | 

Encore un coup de Russes 😂 décidément sont-ils les meilleurs hackers ou les US sont moins bons ?
La NSA devrait employer des Russes 😂

avatar Sindanárië | 

@tolbach

Oui c’est une longue histoire le hack en Russie… voir culturel depuis les années 80. Tout le monde piratait les lignes téléphone pour ne pas être écouté ou écouter les écouteurs… et puis pour capter les émissions occidentales… puis les VHS, puis les CD puis les programmes etc etc.
Toutes les familles aujourd’hui possèdent au moins un hacker très chevronné !

CONNEXION UTILISATEUR