NSO a lancé trois nouveaux spywares contre iOS en 2022
La société israélienne NSO Group a déployé en 2022 au moins trois types d'attaques contre iOS 15 et 16 qui n'impliquaient aucune action de l'utilisateur. Apple a apporté des correctifs.
Déjà à l'œuvre dans la découverte du spyware Pegasus en 2021, le Citizen Lab de Toronto a trouvé la trace de trois nouvelles formes d'attaques inédites imputées à NSO Group. Elles ont été utilisées contre des militants de la société civile mexicaine, dont deux personnes chargées de la défense de familles victimes d'exactions de la part de l'armée. Ces logiciels opéraient sans action de l'utilisateur.
Le premier spyware, baptisé “PWNYOURHOME” a été lancé par ses développeurs en octobre 2022, il utilisait HomeKit ainsi que Messages pour s'installer discrètement sur des iPhone avec iOS 15 et 16. Apple a amélioré des procédures d'identifications de données dans la mise à jour 16.3.1 distribuée en février. Le second spyware, "FINDMYPWN", est entré en action sur iOS 15 à partir de juin 2022, en passant par Localiser puis Messages.
Ces deux spywares ont révélé des ressemblances avec des éléments déjà découverts avec Pegasus, permettant ainsi de les relier à NSO Group (ce dernier s'est retranché derrière sa communication habituelle, qui est de ne pas vendre ses solutions pour des activités illégales).
De fil en aiguille, grâce à ces deux découvertes, le Citizen Lab a trouvé sur un téléphone les empreintes d'un troisième spyware. Baptisé "LATENTIMAGE" il a été diffusé à compter de janvier 2022 sur iOS 15.1.1. Lui aussi s'appuyait sur l'app Localiser mais d'une autre manière que "FINDMYPWN".
Le mode opératoire de ces spywares n'est pas connu dans ses moindres détails, leur présence se signalant parfois à l'occasion de plantages qui laissent une trace dans les journaux d'activité d'iOS. Des empreintes que les développeurs de NSO Group s'efforcent de supprimer, ne serait-ce que pour dissimuler les chemins empruntés au sein du système et des apps. Pas toujours avec succès. Le Citizen Labs lui-même ne révèle pas toutes ses méthodes pour repérer la présence de ces intrus.
Le laboratoire de recherche insiste sur l'importance pour les personnes susceptibles de subir ces attaques d'activer le nouveau "Mode Isolement" dans iOS 16 et Ventura.
Faut-il activer le nouveau mode Isolement pour protéger ses appareils ?
Cette fonction a signalé avec succès des comportements suspects liés à “PWNYOURHOME” au moyen de notifications à l'utilisateur. NSO Group a semble-t-il trouvé un moyen ensuite de bloquer l'affichage de ces messages.
Selon le Citizen Lab, l'absence de nouvelles manifestations de ce spyware donne à penser que les correctifs apportés par Apple ont peut-être bloqué son fonctionnement. La Pomme a également notifié des victimes de ces attaques à trois reprises en novembre et décembre 2022 ainsi qu'en mars dernier.
En novembre 2021, Apple avait porté plainte contre NSO, il n'y a pas eu de nouvelles des suites de cette procédure.
J’aimerai bien un iPhone blanc comme celui de l’image !
Sinon, l’éternel jeu du chat et de la souris.
Date de communication sur les spywares et sur Le blob de données des ChatGPΓ = retour vers le future
C’est quand même dingue qu’il n’y ai pas de fondement juridique sérieux pour attaquer les entreprises qui ont pignon sur rue dans le domaine du vol de données…
Ils produisent des armes comme n'importe quel fabricant d'armes, tout a fait légalement, mais ce n'est pas eux qui les utilisent.
@r e m y
Ça ne répond pas à la description d’une arme néanmoins.
Ce n'est pas une arme à feu, mais c'est bien une arme (arme: tout ce qui sert à attaquer ou à se défendre)
@r e m y
Au sens large en effet. La question étant de savoir ou s’arrête le piratage et où commence l’industrie de l’armement. Le même problème qu’entre l’arme de chasse et l’arme de guerre.. et encore les armes de chasse sont contrôlées.
Mais même les armes de guerre sont produites tout à fait légalement par des entreprises ayant pignon sur rue. En France c'est même l'un des nos principaux secteurs exportateurs.
@r e m y
C’est tout à fait vrai mais le mode d’action des cyber armes est tout de même très différent. Leur cadre d’utilisation n’est pas encore très maîtrisé. (Avis perso bien entendu)
@r e m y:
Complètement.... Ils sont même soumis au gouvernement Israélien exactement de la même manière que leurs constructeurs de drone... Ils ne peuvent vendre que si le gouvernement donne son aval...
@r e m y
Toujours plus 🤦♂️
@MGA
Je pense aussi qu’il est scandaleux qu’un pays puisse protéger ce type de sociétés et ne pas être sanctionné par la communauté internationale.
Fut une époque c'étaient des hackers "black hat" qui fabriquaient et diffusaient ce genre de joyeusetés. Maintenant c'est carrément "une société". Israélienne de surcroît. On vit une époque formidable.
@flux_capacitor:
Pourquoi "Israélienne de surcroît"?
Ils vivent dans le mythe de la Tora, et dans le peuple élu que les vilains veulent abattre...
C'est sans doute la chose la moins surprenante, que ce soit issu d'une société israélienne, ce d'autant plus qu'un des principaux centre de recherche d'Apple se trouve là-bas...
Ils ont les cerveaux déjà sur place et les raisons de le faire...
@debione
« et les raisons de le faire... »
Ils ont les cerveaux, c’est une certitude, mais pas de raison particulières… en dehors de l’argent, et de la complaisance.
Heureusement quand même qu’Apple ai a la fois la capacité et la réelle volonté de luter contre ce type de pratique
J'ai reçu récemment un SMS d'un numéro visible mais inconnu, avec deux fichiers joints dont une image et un autre avec une extension qui commence par j (merci Apple de couper les noms des fichiers), le tout sans explication. J'ai tout de suite pensé à une attaque.
Appel tél. de sécurité -> répondeur => pas ouvert la pièce jointe. Mais c'est inquiétant quand même.
iOS 15, pas de màj possible