Piratages d'iPhone : les Ouïghours visés, Android et Windows seraient aussi concernés

Stéphane Moussie |

De nouvelles informations importantes ont émergé sur les cas de piratages d'iPhone exécutés simplement depuis des sites web. L'équipe de sécurité de Google qui a lancé l'alerte avait laissé plusieurs questions en suspens, notamment s'il y avait des cibles précises.

TechCrunch et Forbes affirment que ces piratages visent les Ouïghours. Cette minorité musulmane qui vit dans le Xinjiang, au nord-ouest de la Chine, est persécutée depuis des années par le gouvernement chinois.

Illustration des types de contenus automatiquement récupérés par le malware et envoyés vers son serveur. Image Google.

Les iPhone piratés envoyaient discrètement à un serveur de nombreuses données personnelles, dont le contenu de plusieurs messageries instantanées, le carnet d'adresses et la position en temps réel de l'utilisateur. Cette campagne de piratage exploitant plusieurs failles a démarré en 2016 au moins et Apple y a mis fin au début de l'année avec iOS 12.1.4.

Les sites web qui servaient de vecteurs étaient destinés aux Ouïghours. Selon Google, ces sites étaient consultés par des milliers de visiteurs chaque semaine. Outre les Ouïghours basés en Chine, la diaspora et leurs soutiens dans le monde entier pouvaient être infectés par le logiciel espion. D'après TechCrunch, le FBI a demandé à Google de désindexer les sites vérolés.

Par ailleurs, l'iPhone n'était pas le seul type de terminal touché. Forbes indique que, selon ses sources, les piratages concernaient également les terminaux Android et les PC sous Windows. Ces appareils étaient infectés via les mêmes sites que ceux contaminant les iPhone.

Microsoft a répondu que l'équipe de sécurité de Google ne l'avait pas averti de ce danger (peut-être parce qu'elle n'était pas au courant) et que les mesures appropriées seront prises si de nouvelles informations font surface. Google n'a pas réagi quant au piratage évoqué d'Android et Apple n'a pas commenté toutes ces révélations pour l'heure.

avatar J'en_crois Pas_mes yeux | 

@ fallherpe
lis plus bas l'info de byte_order, elle est très riche

avatar Osei Tutu | 

Le fonctionnement de la découverte de failles de Google fonctionne autrement. Une fois la faille découverte, elle informe l'entreprise concernée qui a 90 jours pour la combler. Après 90 jours, comblée ou pas, la faille est rendue publique.

avatar J'en_crois Pas_mes yeux | 

@Osei Tutu
Et donc dans ce cas précis ?
1 semaine comme le prétendait @AppleDomoAdepte ?
90 jours comme tu me l'écris (ce qui me semble plus raisonnable) ?
ou 210 jours comme l'affirme @fallherpe ?
Pour dire la vérité, ça n'a aucune importance pour moi, mais selon la chronologie l'histoire n'est plus la même, et je suis prêt à adapter l'histoire en cohérence avec les faits quels qu'ils soient.

avatar Osei Tutu | 

Je ne fais que donner une précision. Sinon je retiens simplement qu'il y avait une faille et elle a été corrigée. Que Google ne se soit pas dénoncée est secondaire pour moi, utilisateur d'iOS. Je serais par contre plus inquiet quand je serai sur mon appareil Android. Après le reste n'est que littérature et souci d'actionnaires

avatar Osei Tutu | 

https://fr.m.wikipedia.org/wiki/Project_Zero_(Google)
Il s'agit bien de 90 jours comme expliqué par ce lien

avatar J'en_crois Pas_mes yeux | 

Merci (encore) @Osei Tutu

avatar byte_order | 

@Osei Tutu
> Après 90 jours, comblée ou pas, la faille est rendue publique.

C'est moins automatique que cela, mais en règle général y'a en effet un délai de prévenance durant lequel l'existence et les détails de la vulnérabilité ne sont communiqué qu'à l'éditeur. Passé ce délai, il n'y a plus de garantie que l'existence de cette vulnérabilité ainsi qu'éventuellement les détails techniques soient maintenus secrets.

Il se trouve ici qu'entre la semaine de délais accordée à Apple pour réagir et la levée du secret, il s'est passé bien plus que 1 semaine.

Un délai de prévenance de 90 jours, c'est juste un délai usuel, mais selon l'étendu du risque mais aussi des plateformes exposées, de plusieurs vendeurs par exemple, il peut être plus serré.

avatar byte_order | 

@J'en_crois Pas_mes yeux
> Apple a réparé au début de l'année, Google aurait prévenu il y a une semaine...
> Donc aucun lien entre Google et la réparation d'Apple

Euh, si, quand même, y'a même des références explicites aux numéros CVE et leurs auteurs dans le correctif d'iOS publié le 7 février en question :

https://support.apple.com/en-us/HT209520

Dans les auteurs, y'a bel et bien les noms de 3 membres de Google Project Zero.
Les CVE en questions ont été créés le 31 janvier :

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7286
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7287

D'ailleurs, juste après la sortie de cette version de iOS, un membre de Project Zero a posté un tweet pour en parler:

https://www.antid0te.com/blog/19-02-23-ios-kernel-cve-2019-7287-memory-c...

Je vois donc mal comment il ne pourrait pas y avoir de relation entre 2 CVE identifiées une semaine avant par l'équipe Project Zero et une maj de iOS sortie une semaine après, listant officiellement ces mêmes CVE !

> @AppleDomoAdepte prétend que le délai est d'une semaine

Non, ce qu'il a dit c'est que Google Project Zero à donné 1 semaine à Apple après leur découverte le 31 janvier de ces vulnérabilités avant d'éventuellement rendre public les détails de ces vulnérabilités.
En pratique, ces détails techniques sont toujours non divulgués à ce jour, et Google Project Zero en parle un peu plus ouvertement que maintenant, 6 mois après.

La date de départ du délai d'une semaine, c'est celle de la création des CVE, antérieurs à la maj de iOS, pas la publication de cette semaine par Project Zero.

avatar J'en_crois Pas_mes yeux | 

@byte_order
J'apprends et j'aime cela.Merci pour toutes ces informations
Dommage que je ne les ai pas eu avant, j'aurai écrit mes posts différemment...
et dit moins de bêtises ;-)

avatar fallherpe | 

@J'en_crois Pas_mes yeux

Mais Apple y a mît fin plus de deux ans après 🧐

avatar J'en_crois Pas_mes yeux | 

@ fallherpe "Apple y a mît fin plus de deux ans après"
Et donc ?

avatar bunam | 

@ fallherpe
c'est point là qui est gênant effectivement

avatar J'en_crois Pas_mes yeux | 

@ bunam
Oui c'est bien ennuyeux qu'il y ait des vulnérabilités dans tous les processeurs, tous les os et dont certaines durent depuis de très nombreuses années. Les experts en sécurités et les hackers dépensent des fortunes pour les trouver.
Et donc ?

avatar bunam | 

@J'en_crois Pas_mes yeux
certaines personnes mieux qualifiées que moi jugent ces failles trop connes, donc soit c'est une négligence soit c'est volontaire...

avatar Ginger bread | 

Balèze

avatar Sgt. Pepper | 

C’est encore plus drôle.

Pour Android , il n’y a pas eu besoin de Trous de sécurité.
Une App « officiel » est/était dispo sur le Play Store.

Comme (avant Android 10?) il n’ y a aucun avertissement sur l’accès aux données privées par une App (installation donne consentement globale ) , l’App récoltait à loisir 👹

avatar J'en_crois Pas_mes yeux | 

@Sgt. Pepper "Une App « officiel » est/était dispo sur le Play Store."
Peux-tu développer s'il te pait ?

avatar J'en_crois Pas_mes yeux | 

@Sgt. Pepper
Merci, j'avais en effet lu cette information, mais le fait qu'elle était disponible sur le play store m'avait échappé.

avatar Osei Tutu | 

@J'en_crois Pas_mes yeux
On trouve de tout sur les stores d'applications. Il y a par exemple une application qui instaure un contrôle sur les femmes saoudiennes qui est ou était téléchargeable sur l'Appstore. Aucune entreprise n'est vertueuse au-delà de ses intérêts et profits. Et quand je vois des consommateurs s'étriper, je me dis que les actionnaires peuvent dormir tranquilles.

avatar J'en_crois Pas_mes yeux | 

@Osei Tutu "une application qui instaure un contrôle sur les femmes saoudiennes"
Absher - Apps on Google Play & Absher - App Store - Apple
Toujours en vente :-(

avatar Osei Tutu | 

@Sgt. Pepper
Je viens d’ouvrir le playstore pour vérifier et je découvre que même messenger informe sur les données auxquelles il a accès. Ce serait donc une désinformation ?

avatar Sgt. Pepper | 

@Osei Tutu

Oui OK , le Play store informe , (pas dis le contraire)
Sauf que personne ne lit vraiment ce genre d’info avant d’installer

Mais une fois installé, plus aucune autorisation n’est /était demandée.
Mais cela a/va changer.

https://www.zdnet.com/article/reports-say-china-is-installing-surveillan...

avatar Osei Tutu | 

@Sgt. Pepper
Si personne ne lit, ce n'est pas la faute de Google ou d'Apple, c'est la faute à la négligence et au manque d'informations des utilisateurs. C'est pareil dans la vie de tous les jours. C'est comme si je ne lis pas les notices de médicaments et j'accuse les laboratoires pharmaceutiques.. Il a été fait cas ici également d'applications validées par les deux stores qui ont été décriées après. À un moment il faut accuser les bons responsables

avatar byte_order | 

@Sgt. Pepper
> Oui OK , le Play store informe , (pas dis le contraire)

Je cite :

"Comme (avant Android 10?) il n’ y a aucun avertissement sur l’accès aux données privées par une App (installation donne consentement globale )"

Donc, si, vous disiez le contraire. Juste quelques commentaires au dessus.

Par ailleurs, contrairement à un spyware qui s'installe en douce via une faille d'un moteur web, l'installation d'une application, elle, laisse une trace. D'abord, l'utilisateur sait qu'elle est installée (soit en le constatant dans la liste des applications installées, mais aussi au moment où *il* décide - ou on lui impose de le faire - d'installer l'app).

Il est donc de facto moins dans l'ignorance de l'existence de cette application.

avatar Osei Tutu | 

@Sgt. Pepper
Depuis android 7 les permissions sont accordées une par une après installation d'une application. Les demandes globales,je les refuse et je désinstalle l'application. On peut critiquer un système et rester objectif. L'utilisation des deux systèmes au quotidien me permet de voir qu'il n'y a aucune transcendance de l'un sur l'autre. Il y a juste des préférences. Android et iOS ont leurs avantages et leurs inconvénients. C'est à chacun de profiter des possibilités offertes par ces deux systèmes

avatar Sgt. Pepper | 

@Osei Tutu

Merci 👍

Reste qu’au début des attaques sur iPhone (fin 2016), les Android sous 5 et - était à 60% (30% aujourd’hui) globale
Et bien plus dans ces régions...

J’arrête la : juste la diversion sur mon point principale; Android est exploité et Google aura du le dire aussi.

👇
https://www.imore.com/how-google-story-chinese-hacking-became-attack-iph...

(Je ne nourrirai plus ce thread 👋)

avatar Osei Tutu | 

@Sgt. Pepper
Fin 2006, iphone et android n'existaient pas !
L'information la plus importante de cet article est que la faille a été corrigée.

avatar bunam | 

"Google n'a pas réagi quant au piratage évoqué d'Android " ha bon ??? 🤣

(le club igen déconne mon intervention est inutile... oups)

avatar en chanson | 

Apple comme à son habitude est soit incompétent ou soit de mèche avec le gouvernement chinois. Le 2ème est plus que probable. La société a bouché la faille quand il a été démasqué comme pour l'affaire de la batterie.

avatar anonx | 

Ballec ça fait longtemps que je me suis mis aux cartes postales 😂

avatar J'en_crois Pas_mes yeux | 

@en chanson
Faux (lire mes messages précédents sur la chronologie)
Vrai si tu remplaces Apple par Google et Iphone par Android.

avatar en chanson | 

@J'en_crois Pas_mes yeux

Le fanboyisme tue ! 😜😜🥴🥴

avatar J'en_crois Pas_mes yeux | 

@en chanson
Hors jeu :
Degré zéro de la... pensée.

avatar iPop | 

Ahhh, un monde de paix 🙄
Des chinois qui en veulent à la terre entière, Google qui tape sur Apple...

avatar jcp25 | 

Pour 1500€ un téléphone et toutes les infos Apple :
On est les meilleurs les plus mieux. on a la meilleure sécurité et les états comme la france qui interdisent les iphones pour les ministres etc. sont des cons. Encore plus quand ils ajoutent une couche sécurité sur de l'android.
Moi, nous fans Apple sommes les meilleurs, les plus beaux.
Bon, il faut de tout pour faire un monde.
Je conseille aux super fans Apple d'acheter le nouvel iPhone 11 à 2000€ plus les iEcouteurs les iHautparleurs la iMontre le nouvel Iportable à 3000€ avec son clavier à 700€ etc
Go go guys!

avatar Clément34000 | 

Donc, après 15 jours de patacaisse, pas de quoi s’inquiéter pour ma petite utilisation lol. Je le savais mdr

avatar mk3d | 

Comment un malware peut-il s’installer depuis un site web et avoir accès à ces informations? Y’a un explicatif technique?

avatar byte_order | 

@mk3d

Via une série de failles.
En commençant par une faille dans le moteur web, ici de WebKit donc.
Chaque faille permet ensuite d'exploiter la suivante etc etc jusqu'à par finir par avoir suffisamment les mains libres d'accéder au contenu normalement protégé et sandboxé.

avatar Sgt. Pepper | 

Une excellente analyse des cyber attaques contre les Uyghurs 😭

On voit bien qu’Android est largement exploité.

“Digital Crackdown: Large Scale Surveillance and Exploitation of Uyghurs”
https://www.volexity.com/blog/2019/09/02/digital-crackdown-large-scale-s...

avatar lome_bbrr | 

ça fait couler beaucoup d'encre. Mais quand je lis "selon TechCrunch et Forbes"
puis Google, puis Apple, .. puis Microsoft.. puis le FBI ...
à prendre avec de grandes pincettes concernant les Ouïghours. L'espionnage mondial, qui n'est plus exclusif aux USA, leur fait tourner la tête.. Alors oui il y a des failles qui sont absolument à corriger, mais quant à savoir si elles étaient volontaires, et combien encore sont utilisées ..?..

Pages

CONNEXION UTILISATEUR