iOS 15 : dans Messages, des protections supplémentaires contre le malware Pegasus
Comme le sparadrap du capitaine Haddock, Apple ne parvient pas à se débarrasser de Pegasus, le malware développé par NSO Group qui permet à des États voyous de surveiller les opposants politiques, les journalistes et les activistes des droits de l'Homme. Le mois dernier, une enquête d'Amnesty International a montré comment ce logiciel malveillant avait pu se jouer des protections d'iOS et d'Android en utilisant une attaque « zero click » : l'infection ne nécessite aucune intervention de la victime, elle passe par l'app Messages sur l'iPhone.

Citizen Lab, un laboratoire canadien qui travaille les questions du contrôle de l'information, rapporte un nouveau cas qui confirme la fragilité de BlastDoor. Ce dispositif, déjà mis à mal par les révélations du mois de juillet, a été mis au point par Apple dans iOS 14, avec pour mission de protéger iOS de ce type d'attaque. Pas de bol, il n'a été d'aucun secours pour ces activistes basés au Bahrein dont les iPhone ont été piratés entre juin 2020 et février 2021.
Une des victimes a été frappée en février dernier avec une faille baptisée ForcedEntry par Citizen Lab (Amnesty International parlait de Megalodon, a priori c'est la même chose). Cette vulnérabilité a été employée avec iOS 14.4 et iOS 14.6, et BlastDoor ne peut rien y faire. Les chercheurs en sécurité de Citizen Lab ont signalé la découverte à Apple, qui en retour n'a pas voulu indiquer si ces failles avaient été trouvées et corrigées.
Un porte-parole d'Apple, Ivan Krstic, a dépoussiéré la déclaration faite en juillet suite aux révélations d'Amnesty :

Pegasus : Apple condamne les piratages et assure que l'iPhone reste le smartphone « le plus sécurisé »
Le constructeur ajoute tout de même que BlastDoor ne marque pas la fin des efforts pour sécuriser Messages et qu'iOS 15 apporte des protections supplémentaires.
Est ce que quelqu’un a lu les conditions générales d’iOS? Est il indique que Apple se désengage de toute responsabilité en cas de piratage bas niveau?
@amonbophis
Bin lis les … 🤔
Rendu là, c’est à se demander pourquoi Apple tient tant à Messages. Un logiciel gruyère dont plusieurs des fonctions, et non des moindres (messages cryptés), ne fonctionnent que pour une partie de la population (ceux qui possèdent un iPhone.)
Perso, j’essaie de faire passer mes contacts à Signal, mais non, ils sont tous sur Messenger et veulent y rester. C’est fort, les habitudes. Pareil, sans doute, pour Messages d’Apple.
@DareMac
« Perso, j’essaie de faire passer mes contacts à Signal, mais non, ils sont tous sur Messenger et veulent y rester »
Alala c’est pénible ces gens qui refusent de t’obéir et de faire comme toi! 🤓🤓
@romainB84
Quel commentaire insignifiant. 🙄
@DareMac
Quoi? Encore une autre personne qui ne fait pas ce que tu veux 😅?
@DareMac
"Quel commentaire insignifiant. 🙄"
Il m’a fait rire. Et aujourd’hui, j’en avais particulièrement besoin.
et Signal t'en est sûr que c'est protégé ? comment ça peut être gratuit ?
en ce qui concerne la sécurité, ils disent tous pareil. Apple trouve l'argent dans la vente de l'appareil et leur services (iCloud, etc) sont la plupart payants. mais les autres comment ils peuvent offrir le même service gratuitement ?
@marenostrum
Comme la plupart des logiciels libres, ils recueillent des dons, comme une fondation tel Mozilla et Firefox.
https://support.signal.org/hc/fr/articles/360031949872-FAQ-des-donateurs
C’est un logiciel recommandé par Edward Snowden.
https://www.indiatoday.in/technology/news/story/how-secure-is-signal-it-...
@marenostrum
Signal n'est pas une entreprise (à but lucratif), Signal est une association qui ne vit que par des dons. Et le fait que Snowden promeut cette application est je pense suffisamment rassurant.
Par contre, Signal et toutes les autres applications de messageries chiffrées n'ont plus aucune protection à partir du moment où un malware a infecté le tél, dont Pegasus. Mais pour le commun des mortels, c'est l'application de messagerie la plus sécurisée et la plus sûre.
@DareMac
"Perso, j’essaie de faire passer mes contacts à Signal, mais non, ils sont tous sur Messenger et veulent y rester"
Bon.
Faut faire plus simple !
Change d’amis et de contacts !
Tu leurs dit carrément : t’as pas signal ? Telegram ? Etc.
BEN T’AS QU’À CREVER COMME UN NEWBIE
😬
@Sindanárië
Si t’as pas d’amis… mange un curly!!!
Ou alors …
https://www.google.fr/amp/s/saviezvousque.net/2017/09/02/si-tas-pas-de-curly-mange-un-ami/amp/
@Sindanárië
"Change d’amis et de contacts !"
En bon introverti, je dis non, épuisant. Je préfère de loin faire ce que je fais le mieux, ne pas répondre.
@DareMac
😢
https://chiffrer.info/
@Minileul
Le taux de crétins semble assez élevé sur ce site.
@DareMac
Tu connais les trucs appeler les SMS ?!
@Mrleblanc101
Le système de sms est un vrai passoire…
@DareMac
Et le côté très pratique de message ou tout est synchro entre iPhone - iPad - mac ce ne serait pas une des raisons plus importante que l’habitude ?
@DareMac
Faut rappeler peut être que message est une application deux en un, la partie « i » est plus technologique et sécurisée car c’est Apple qui gère tout. Mais la partie sans le « i » est une messager SMS/MMS Basique, qui doit respecter ces standards pour fonctionner… donc pas le choix. Tant que ces standards n’évolueront pas, il y’aura toujours des problèmes de cohabitation…
Pegasus ne sait agir que par Message ? 🤔
@Krysten2001 :
Le fonctionnement de Pegasus n'est pas connu précisément, mais sur iPhone il a été démontré que n'importe quel appareil peut être infecté sans aucune action de la part de l'utilisateur.
Et il n'y a pas vraiment de raisons pour que NSO cherche à utiliser un autre moyen. En ciblant iMessage, c'est la garantie de toucher la totalité des iPhone en circulation, et puisqu'Apple maîtrise toute la chaîne et n'applique pas à elle-même les restrictions qu'elle impose aux applications tierces, ça en fait le vecteur parfait pour Pegasus.
@webHAL1
« puisqu'Apple maîtrise toute la chaîne et n'applique pas à elle-même les restrictions qu'elle impose aux applications tierces »
Avec quelle preuve vous vous permettez de dire cela ?
@Krysten2001 :
Wired, ça te semble suffisamment sérieux comme source ?
https://www.wired.com/story/ios-security-imessage-safari/