Google met en garde contre le spyware Hermit qui frappe des appareils Android et iOS. Le programme malveillant serait vendu par RCS Lab, une entreprise italienne similaire à Pegasus proposant ses « services » aux gouvernements : ceux-ci peuvent alors tenter d'infecter les téléphones de qui ils veulent pour récupérer des informations. Dans un billet de blog, des chercheurs de Google expliquent avoir identifié des victimes en Italie et au Kazakhstan, tandis que Lookout dit avoir des preuves d'une utilisation dans le nord-est de la Syrie.
Le schéma d'attaque est assez classique : l'attaquant envoie un lien aux utilisateurs les incitant à télécharger une application. Le programme malveillant se fait par exemple passer pour une messagerie (Facebook, Instagram, WhatsApp) et passe à l'attaque une fois installé. Au total, 6 vulnérabilités ont été repérées, dont deux « zero-day », c'est-à-dire inconnues d'Apple. La plupart ont depuis été corrigées. Ces failles permettaient entre autres de récupérer les bases de données WhatsApp.
La diffusion du spyware s'est faite en dehors de l'App Store, avec un fichier .ipa téléchargeable depuis un site web comme le permet Apple pour les apps internes. Google note que l'entreprise était inscrite à l'Apple Developer Enterprise Program et que son programme était en accord avec les exigences de la Pomme en matière de signature de code iOS. Apple a déclaré à TechCrunch qu'elle avait depuis révoqué tous les comptes ou certificats associés à la menace.
Mais il y a plus étonnant : Google indique que dans certains cas, « les acteurs ont travaillé avec le fournisseur d'accès internet pour désactiver les données mobiles de la cible ». Autrement dit, l'attaquant (potentiellement une agence gouvernementale) se débrouillait pour couper la connexion de sa victime avant de lui demander de passer par une fausse app vérolée de son opérateur pour régler le problème.
Les chercheurs de Google estiment que les fournisseurs de malwares comme RCS Labs « permettent la prolifération d'outils de piratage dangereux et arment des gouvernements qui ne seraient pas en mesure de développer ces capacités en interne ». Si certains pays autorisent ce genre d'outils de surveillance, Google rappelle que leur utilisation est généralement contraire aux valeurs démocratiques, car « ils ciblent les dissidents, les journalistes, les défenseurs des droits de l'homme et les politiciens des partis d'opposition ». Enfin, une entreprise privée accumulant les failles peut elle aussi être piratée, ce qui peut amener des risques beaucoup plus grands.
Source :
