iOS 15 : dans Messages, des protections supplémentaires contre le malware Pegasus

Mickaël Bazoge |

Comme le sparadrap du capitaine Haddock, Apple ne parvient pas à se débarrasser de Pegasus, le malware développé par NSO Group qui permet à des États voyous de surveiller les opposants politiques, les journalistes et les activistes des droits de l'Homme. Le mois dernier, une enquête d'Amnesty International a montré comment ce logiciel malveillant avait pu se jouer des protections d'iOS et d'Android en utilisant une attaque « zero click » : l'infection ne nécessite aucune intervention de la victime, elle passe par l'app Messages sur l'iPhone.

Crédit : Joseph, CC BY-NC-SA 2.0

Citizen Lab, un laboratoire canadien qui travaille les questions du contrôle de l'information, rapporte un nouveau cas qui confirme la fragilité de BlastDoor. Ce dispositif, déjà mis à mal par les révélations du mois de juillet, a été mis au point par Apple dans iOS 14, avec pour mission de protéger iOS de ce type d'attaque. Pas de bol, il n'a été d'aucun secours pour ces activistes basés au Bahrein dont les iPhone ont été piratés entre juin 2020 et février 2021.

Une des victimes a été frappée en février dernier avec une faille baptisée ForcedEntry par Citizen Lab (Amnesty International parlait de Megalodon, a priori c'est la même chose). Cette vulnérabilité a été employée avec iOS 14.4 et iOS 14.6, et BlastDoor ne peut rien y faire. Les chercheurs en sécurité de Citizen Lab ont signalé la découverte à Apple, qui en retour n'a pas voulu indiquer si ces failles avaient été trouvées et corrigées.

Un porte-parole d'Apple, Ivan Krstic, a dépoussiéré la déclaration faite en juillet suite aux révélations d'Amnesty :

Pegasus : Apple condamne les piratages et assure que l

Pegasus : Apple condamne les piratages et assure que l'iPhone reste le smartphone « le plus sécurisé »

Le constructeur ajoute tout de même que BlastDoor ne marque pas la fin des efforts pour sécuriser Messages et qu'iOS 15 apporte des protections supplémentaires.


Source
avatar amonbophis | 

Est ce que quelqu’un a lu les conditions générales d’iOS? Est il indique que Apple se désengage de toute responsabilité en cas de piratage bas niveau?

avatar niicoo76 | 

@amonbophis

Bin lis les … 🤔

avatar Artefact3000 | 

Rendu là, c’est à se demander pourquoi Apple tient tant à Messages. Un logiciel gruyère dont plusieurs des fonctions, et non des moindres (messages cryptés), ne fonctionnent que pour une partie de la population (ceux qui possèdent un iPhone.)

Perso, j’essaie de faire passer mes contacts à Signal, mais non, ils sont tous sur Messenger et veulent y rester. C’est fort, les habitudes. Pareil, sans doute, pour Messages d’Apple.

avatar romainB84 | 

@DareMac

« Perso, j’essaie de faire passer mes contacts à Signal, mais non, ils sont tous sur Messenger et veulent y rester »

Alala c’est pénible ces gens qui refusent de t’obéir et de faire comme toi! 🤓🤓

avatar Artefact3000 | 

@romainB84

Quel commentaire insignifiant. 🙄

avatar romainB84 | 

@DareMac

Quoi? Encore une autre personne qui ne fait pas ce que tu veux 😅?

avatar fte | 

@DareMac

"Quel commentaire insignifiant. 🙄"

Il m’a fait rire. Et aujourd’hui, j’en avais particulièrement besoin.

avatar marenostrum | 

et Signal t'en est sûr que c'est protégé ? comment ça peut être gratuit ?
en ce qui concerne la sécurité, ils disent tous pareil. Apple trouve l'argent dans la vente de l'appareil et leur services (iCloud, etc) sont la plupart payants. mais les autres comment ils peuvent offrir le même service gratuitement ?

avatar Artefact3000 | 

@marenostrum

Comme la plupart des logiciels libres, ils recueillent des dons, comme une fondation tel Mozilla et Firefox.

https://support.signal.org/hc/fr/articles/360031949872-FAQ-des-donateurs

C’est un logiciel recommandé par Edward Snowden.

https://www.indiatoday.in/technology/news/story/how-secure-is-signal-it-...

avatar dvsn | 

@marenostrum

Signal n'est pas une entreprise (à but lucratif), Signal est une association qui ne vit que par des dons. Et le fait que Snowden promeut cette application est je pense suffisamment rassurant.

Par contre, Signal et toutes les autres applications de messageries chiffrées n'ont plus aucune protection à partir du moment où un malware a infecté le tél, dont Pegasus. Mais pour le commun des mortels, c'est l'application de messagerie la plus sécurisée et la plus sûre.

avatar Sindanárië | 

@DareMac

"Perso, j’essaie de faire passer mes contacts à Signal, mais non, ils sont tous sur Messenger et veulent y rester"

Bon.
Faut faire plus simple !

Change d’amis et de contacts !

Tu leurs dit carrément : t’as pas signal ? Telegram ? Etc.
BEN T’AS QU’À CREVER COMME UN NEWBIE

😬

avatar romainB84 | 

@Sindanárië

Si t’as pas d’amis… mange un curly!!!
Ou alors …

https://www.google.fr/amp/s/saviezvousque.net/2017/09/02/si-tas-pas-de-curly-mange-un-ami/amp/

avatar fte | 

@Sindanárië

"Change d’amis et de contacts !"

En bon introverti, je dis non, épuisant. Je préfère de loin faire ce que je fais le mieux, ne pas répondre.

avatar Minileul | 

@DareMac

😢
https://chiffrer.info/

avatar Artefact3000 | 

@Minileul

Le taux de crétins semble assez élevé sur ce site.

avatar Mrleblanc101 | 

@DareMac

Tu connais les trucs appeler les SMS ?!

avatar Nesus | 

@Mrleblanc101

Le système de sms est un vrai passoire…

avatar ya2nick | 

@DareMac

Et le côté très pratique de message ou tout est synchro entre iPhone - iPad - mac ce ne serait pas une des raisons plus importante que l’habitude ?

avatar mapiolca | 

@DareMac

Faut rappeler peut être que message est une application deux en un, la partie « i » est plus technologique et sécurisée car c’est Apple qui gère tout. Mais la partie sans le « i » est une messager SMS/MMS Basique, qui doit respecter ces standards pour fonctionner… donc pas le choix. Tant que ces standards n’évolueront pas, il y’aura toujours des problèmes de cohabitation…

avatar Krysten2001 | 

Pegasus ne sait agir que par Message ? 🤔

avatar webHAL1 | 

@Krysten2001 :

Le fonctionnement de Pegasus n'est pas connu précisément, mais sur iPhone il a été démontré que n'importe quel appareil peut être infecté sans aucune action de la part de l'utilisateur.
Et il n'y a pas vraiment de raisons pour que NSO cherche à utiliser un autre moyen. En ciblant iMessage, c'est la garantie de toucher la totalité des iPhone en circulation, et puisqu'Apple maîtrise toute la chaîne et n'applique pas à elle-même les restrictions qu'elle impose aux applications tierces, ça en fait le vecteur parfait pour Pegasus.

avatar Krysten2001 | 

@webHAL1

« puisqu'Apple maîtrise toute la chaîne et n'applique pas à elle-même les restrictions qu'elle impose aux applications tierces »

Avec quelle preuve vous vous permettez de dire cela ?

avatar webHAL1 | 

@Krysten2001 :

Wired, ça te semble suffisamment sérieux comme source ?

https://www.wired.com/story/ios-security-imessage-safari/

CONNEXION UTILISATEUR