Une faille dans Messages a permis d'espionner des journalistes d'Al Jazeera

Mickaël Bazoge |

Le logiciel espion Pegasus fait encore parler de lui. Le spyware développé par NSO Group a été utilisé pour infecter et surveiller les iPhone de 36 journalistes d'Al Jazeera, la chaîne tout-infos du Qatar en délicatesse avec ses grands voisins (un journaliste d'Al Araby TV basé à Londres a aussi été visé). Selon Citizen Lab qui révèle l'affaire, les gouvernements des Émirats arabes unis et d'Arabie saoudite sont les commanditaires de ces intrusions.

Les attaques se sont déroulées en juillet et en août de cette année. Pour pénétrer par effraction sur les smartphones de leurs victimes, les pirates ont exploité une faille baptisée Kismet qui implique une vulnérabilité « zero day » (sans correctif connu) dans Messages. Celle-ci a été corrigée avec iOS 14 : comme toujours, on ne peut que conseiller de mettre à jour régulièrement ses appareils.

La faille est plutôt spectaculaire car elle n'implique aucune action préalable de l'utilisateur visé : il suffit de recevoir un message texte… Un des journalistes d'Al Jazeera suspectait que son iPhone était piraté et a demandé de l'aide auprès de Citizen Lab pour en avoir le cœur net. Les chercheurs ont installé un VPN pour connaitre le détail des communications reçues et envoyées par l'appareil. C'est grâce à cette méthode qu'ils ont pu découvrir le pot aux roses.

Écoutes indiscrètes, enregistrements d'appels, prises de vue, suivi de localisation, accès aux mots de passe… Une fois Pegasus au chaud dans l'iPhone, les pirates ont un accès quasi illimité aux données de l'appareil.

Au contraire d'autres applications intégrées à iOS, le « bac à sable » de l'application Messages a tendance à déborder, offrant aux malandrins des portes d'entrée pour s'incruster dans le système d'exploitation et mettre le souk. Les infrastructures qui ont servi à ces attaques sont basées au Royaume-Uni et dans plusieurs pays européens, dont l'Allemagne, l'Italie, et la France, via des fournisseurs cloud comme Digital Ocean. Apple a été mis au courant de la découverte et a enquêté sur le sujet.

NSO Group continue à plaider de sa bonne foi en assurant que son logiciel ne sert qu'à la surveillance des criminels et des terroristes. Mais les exemples de ces dernières années montrent que les gouvernements et leurs agences de sécurité ne s'en tiennent pas à ça (lire : L'iPhone de Jamal Khashoggi utilisé pour l'espionner ?).


avatar huexley | 

Il y a quand même du gros niveau ! Impressionnant.

avatar raoolito | 

« NSO Group continue à plaider de sa bonne foi en assurant que son logiciel ne sert qu'à la surveillance des criminels et des terroristes. »

Ah mais c’est le cas, sauf que chaque pays a sa propre définition d’un criminel et d’un terroriste :)

avatar Seb42 | 

@raoolito

Exactement 👍🏻

avatar victoireviclaux | 

@raoolito

Et oui, on n'est pas à l'abri d'abus dans ce cas d'utilisation selon les pays, la situation politique ou judiciaire.

avatar mk3d | 

Faite l’expérience chez vous:
Ne touchez pas vos téléphone de la soirée MAIS, parlez souvent d’un même sujet.
Étonnant comme le lendemain plein de pubs ciblée sur ce sujet sont proposées sur les différents sites/apps.
De la à penser que le micro est certainement bien plus utilisé que ce que veux nous faire croire Apple serait un raccourcis de complotiste, je ne m’y risquerai donc pas, mais... :p

avatar mk3d | 

@mk3d
... ou parlez souvent d’une personne dans une même journée, ouvrez Facebook et hop, maaaaagie, cette personne est proposée en amis.

avatar pulsarium | 

@mk3d

Arrête stp tu dis vraiment de la merde. Ce sont juste des pures coïncidences, tu remarques ce que t’as envie de voir. Facebook sait très bien ce que tu fais et avec qui tu vies rien qu’avec tes likes, metadonnees...

avatar Captain Bumper | 

@mk3d
"... ou parlez souvent d’une personne dans une même journée, ouvrez Facebook et hop, maaaaagie, cette personne est proposée en amis."

Non ça, c'est parce que t'es un gros stalker obsessionnel qui scrute en permanence la personne sur Facebook et autres réseaux sociaux, que tu recherches son nom sur internet et qu'en plus tu peux pas t'empêcher d'en parler à longueur de journée... T'es juste malsain en fait...

avatar Sindanárië | 

@mk3d
« ... ou parlez souvent d’une personne dans une même journée, ouvrez Facebook et hop, maaaaagie, cette personne est proposée en amis. »

Siri à son propre compte Facebook ??? 🤨🧐

avatar quentinf33 | 

@mk3d

Oui et au bout de deux jours t’as plus de forfait ?

Ces quoi ces inepties ?

avatar shaba | 

@mk3d

C’est une théorie répandue mais qui a déjà été démontée. Une explication peut cependant être les recherches effectuées sur un autre appareil et liées à un compte Facebook par contre.

avatar anonx | 

@mk3d

Bien sûr et autorise des tiers à espionner. C’est un fait c’est reconnu mais ALLÉLUIA Apple s’est excusée 🤣🥳

Tout ce bordel avec ces GAFAME de merde continue évidemment... Ils vont juste contourner la loi (ou avoir de l’avance sur elle surtout) et puis quand bien même ils sont pris sur le fait de ne pas la respecter, on (est un con) leur fait rien...

Desactivez Siri et vous verrez que votre batterie aura une meilleure santé qu’activé sans même l’utiliser... bizarre 🤪

Et dans les réglages supprimez historique de Siri et dictée... Après ils disent WOULLA on va supprimer 😂😂😂🤣🤣🤣

https://www.google.fr/amp/s/amp.lefigaro.fr/secteur/high-tech/apple-s-excuse-pour-avoir-ecoute-les-utilisateurs-de-son-assistant-siri-20190828

avatar aquoibon | 

@anonx

Pas si bizarre que ça si le micro est allumé en permanence. autrement comment veux tu qu’il détecte "dis Siri" ?

Mais c’est pas pour autant qu’ils nous écoutent pour faire de la publicité ciblée.

avatar anonx | 

@aquoibon

Oh bah non pas de pub... ils vendent juste nos données à des tiers 😂

avatar aquoibon | 

@anonx

Ah pardon c’est vrai ça change tout...

avatar Tomtomrider | 

@anonx

Ah bon? Apple vend nos données à qui?

avatar anonx | 

@Tomtomrider

A moins de croire qu’elle les donne (lol) oui elle les vend, ou en tout cas les a déjà vendu... Que croire aujourd’hui ? 🥴

Je le disais avant on me parlait de théorie du complot... Fait avéré et dans toute la presse, on va encore dire que c’est pas vrai 😅

avatar Tomtomrider | 

@anonx

Ah, je n’avais pas lu cela sur Apple. En tout cas ça ne m’avait pas frappé. Je vais retourner voir si je trouve quelque chose sur des sources de confiance.
A tout hasard vous avez des trucs en tête pour orienter ma recherche ?

avatar anonx | 

@Tomtomrider

Vous êtes surpris par ça? 😅

Alors ne lisez pas ce qui suit :

https://www.numerama.com/politique/215516-big-data-lantiterrorisme-francais-appelle-a-laide-une-societe-liee-a-la-cia.html

https://fr.wikipedia.org/wiki/Palantir_Technologies

Sinon je vous conseille « Derrière nos écrans de fumée » sur Netflix c’est sympa 🙂

avatar MarcMame | 

@anonx

"Sinon je vous conseille « Derrière nos écrans de fumée » sur Netflix c’est sympa 🙂"

Il y est question d’Apple ??

avatar anonx | 

@MarcMame

Il est question de données et des États Unis (une partie) tout est forcément lié 🤞🏻

Vous connaissez les tiers avec qui traitent Apple?

Les données françaises (par ex) iCloud sont sur des serveurs situés dans quel pays et par quelle(s) entreprise(s)? 🙂

Et oui on aperçoit jobs à la fin 😂

avatar MarcMame | 

@anonx

"Il est question de données et des États Unis (une partie) tout est forcément lié 🤞🏻"

Tu éludes.
Je repose ma question : est-il question d’Apple dans ce doc ?
La réponse attendue est "oui" ou "non."

avatar David Finder | 

@MarcMame

Pas dans mon souvenir en tout cas...

avatar IceWizard | 

@anonx

« Je le disais avant on me parlait de théorie du complot... Fait avéré et dans toute la presse, on va encore dire que c’est pas vrai 😅 »

Partir d’un fait précis pour ensuite bâtir toute une théorie, accumulant affabulation sur affabulation, et prétendre que la presse accrédite l’ensemble de ton grand n’importe quoi, c’est du délire.

avatar Sindanárië | 

@IceWizard

Ça y est ? La terre est enfin plate ?

avatar IceWizard | 

@Sindanárië

« Ça y est ? La terre est enfin plate ? »

Impossible qu’elle soit plate. Il faut des prises pour que les 5 éléphants puissent la porter.

avatar anonx | 

@IceWizard

Demande à YACC si j’ai attendu 2019 et ce fait 🤣

Déjà dans le livre l’homme nu paru en 2016, l’auteur en parle donc arrête un peu de jouer au bon petit soldat fanboy ☺️

avatar IceWizard | 

@anonx

« Déjà dans le livre l’homme nu paru en 2016, l’auteur en parle donc arrête un peu de jouer au bon petit soldat fanboy ☺️ »

Mais oui, mon petit soldat troll, la collaboration entre Google et certaines agences américaines, dans le cadre du Patriot Act, est la preuve absolue qu’Apple espionne les gens en permanence pour revendre les infos aux régies publicitaires !!

« Tous pourris » .. une formulation très pratique pour empêcher la réflexion et étouffer l’esprit critique. Un truc de mouton, c’est impressionnant de voir comment ta « pensée «  ne contient rien d’original, que du copié-collé.

avatar aplfanboy | 

@Tomtomrider

Apple ne vend pas nos données, mais nos données sont bien envoyé à Apple et accessible à tout le monde apparement

avatar IceWizard | 

@aquoibon

« Pas si bizarre que ça si le micro est allumé en permanence. autrement comment veux tu qu’il détecte "dis Siri" ? »

« Dis Siri » est censé être détecté localement par le device, par iOS et MacOS, sans envoi de données vocales à l’extérieur, justement pour des raisons de confidentialité.

avatar aquoibon | 

@IceWizard

Bah non puisque le micro est allumé en permanence et qu’ils envoie les requêtes personnelles à Apple

avatar IceWizard | 

@aquoibon

« Bah non puisque le micro est allumé en permanence et qu’ils envoie les requêtes personnelles à Apple »

Bah non, le micro est ouvert en permanence pour la détection en local de « Dis Siri ». Les requêtes ne sont envoyées à Apple qu’après ça.

avatar aquoibon | 

@IceWizard

On est d’accord

avatar IceWizard | 

@aquoibon

L’étape suivante, annoncée par Apple pour .. un jour ou l’autre .. c’est un Siri fonctionnant entièrement en local, pour améliorer encore la confidentialité. C’est le second gros axe du développement de l’IA locale, avec les traitement photos. Bon, ça ne risque pas d’y arriver l’an prochain, mais ils y travaillent !

avatar Tomtomrider | 

@anonx

C’est qui le E de gafame?

avatar anonx | 

@Tomtomrider

Juste un oubli, je voulais écrire GUINFAME 🤭

On peut écrire GAFAMNATU au pire 😄

avatar asseb | 

@Tomtomrider

La preuve qu’il parle de choses qui le dépassent. C’est à la mode ces derniers temps.

avatar MarcMame | 

@anonx

"Desactivez Siri et vous verrez que votre batterie aura une meilleure santé qu’activé sans même l’utiliser... bizarre 🤪"

Ce n’est pas Siri en lui-même mais la fonction «Dis Siri». Nuance.

avatar IceWizard | 

@mk3d

« Faite l’expérience chez vous:
Ne touchez pas vos téléphone de la soirée MAIS, parlez souvent d’un même sujet.
Étonnant comme le lendemain plein de pubs ciblée sur ce sujet sont proposées sur les différents sites/apps.
De la à penser que le micro est certainement bien plus utilisé que ce que veux nous faire croire Apple serait un raccourcis de complotiste, je ne m’y risquerai donc pas, mais... :p »

Fait l’expérience avec une caméra et un huissier, pour attester officiellement des faits. Monte ensuite un dossier et réclame 50 millions de $ à Apple. Tu seras vite riche, sans parler des passages à la tv, à la radio, peut-être même un livre .. allez fonce !

On attend tous avec impatience de te voir à la tv, pour faire tomber Apple.

avatar reborn | 

@IceWizard

+1 🤣

avatar anonx | 

@IceWizard

Tiens

https://www.google.fr/amp/s/amp.lefigaro.fr/secteur/high-tech/apple-s-excuse-pour-avoir-ecoute-les-utilisateurs-de-son-assistant-siri-20190828

J’accepte les chèques, les CB, bitcoins mais pas les cartes iTunes 🙂

En attendons broutons et restons dans le déni BEHEHEHEHE 🌿🌱🐑

avatar IceWizard | 

@anonx

C’est ça, oui .. quelques bavures dans la procédure d’amélioration de Siri, que TOUTES les entreprises utilisant des assistants vocaux ont eu environ au même moment, c’est-à-dire comparer des échantillons sonores aléatoires, avec ce que l’assistant a réellement compris, c’est pour toi une écoute permanente systématique pour analyse de profils commerciaux et corrélations avec une régie publicitaire ?

Je comprends mieux tes problèmes de compréhension. T’es du genre à aller au tribunal pour réclamer des dommages intérêts envers ton véhicule, place de la République, alors que tu n’en possèdes pas et que tu étais en vacances en Espagne à ce moment là !

avatar David Finder | 

@anonx

On a tous lu et entendu ce sujet ici même !
Et en l’occurrence, Apple sous-traitait la reconnaissance vocale pour l’amélioration de Siri. Apple avait mis en place un système strict où nous n’étions que des numéros anonymes et sans rapport avec notre compte iCloud.
Mais c’est le sous-traitant qui s’est amusé à écouter et enregistrer les conversation, pas Apple.
Résultat : Apple s’en est séparé. Mais ça tu oublies de le dire.
Tu devais, à l’époque des faits, être de ceux qui râlaient parce que de nombreuses personnes allaient perdre leur boulot...

Si tu veux revenir sur des sujets que tu connais (soit disant...), fais-le à fond, du début à la fin. Car iGen a beaucoup écrit sur le sujet.

Troller pour prouver ton premier troll, elle est pas mal celle-là !

avatar oboulot | 

@anonx

Perd pas ton temps à leur expliquer sérieux. Les mecs sont persuadés que Apple respecte leur vie privée et que tout est sur leur appareil....

Snowden, Assange et tant d’autre risque leur vie en dévoilant tout ça mais la plèbe s’en fout royalement.

avatar Sindanárië | 

@IceWizard

"Fait l’expérience avec une caméra et un huissier, pour attester officiellement des faits. Monte ensuite un dossier et réclame 50 millions de $ à Apple. Tu seras vite riche, sans parler des passages à la tv, à la radio, peut-être même un livre .. allez fonce !"

Et un article sur MacG 🤪

avatar armandgz123 | 

@mk3d

Alors, j’ai une dizaine de micros dans mon Salon, Alexa, Google Assistant, Siri, un smarpthone androïde avec une vielle version, Google partout, Facebook, TikTok...
Et jamais ça n’a fonctionné. Donc, soit ce n’est pas activé chez moi, soir c’est n’import quoi.

avatar YetOneOtherGit | 

@mk3d

C’est beau les légendes urbaines 🤤

avatar MarcMame | 

@mk3d

"un raccourcis de complotiste, je ne m’y risquerai donc pas, mais... :p"

———
Mais je le fais quand même.

avatar David Finder | 

@MarcMame

🤣

Eh, mon HomePod me propose un café tous les matins dès qu’il m’entend bailler, alors que je ne me réveille jamais à la même heure. Dois-je m’inquiéter, @mk3d ?

avatar aquoibon | 

Je pensais que les messages étaient chiffrés par Apple qu’eux même n’avaient pas accès ?

Apple aurait menti ?

Pages

CONNEXION UTILISATEUR