Pegasus : Apple condamne les piratages et assure que l'iPhone reste le smartphone « le plus sécurisé »

Stéphane Moussie |

Les nouvelles révélations sur Pegasus, le malware qui a servi à espionner des milliers de journalistes, militants, dirigeants et politiques du monde entier, ne font ni les affaires des États commanditaires, ni celles de son créateur NSO Group, ni celles d'Apple. Si les smartphones Android ne sont pas épargnés eux non plus, la réputation de sécurité de l'iPhone en prend un sacré coup : parmi ses faits d'arme, NSO est notamment parvenu à pirater des iPhone à distance sans aucune interaction de la part des victimes.

« NSO est un exemple d’entreprise où des dizaines de personnes – voire plus – sont chargées de rechercher de nouvelles façons de cibler une plateforme. À moins d’avoir des ressources en développement et en sécurité d’une magnitude supérieure, vous ne pourrez pas anticiper leurs mouvements », explique John Scott-Railton, chercheur en sécurité pour Citizen Lab, au journal Le Monde.

Apple a répondu que ses effectifs dédiés à la sécurité d'iOS ont été multipliés par quatre en cinq ans, mais cela n'empêche manifestement pas les trous dans la raquette. « Il y a un déséquilibre fondamental des pouvoirs quand des centaines de personnes – voire des milliers en tant que contractuels ou free-lances – sont employées pour consacrer leurs journées et leurs nuits à chercher des failles logicielles », appuie Claudio Guarnieri, expert en sécurité informatique pour Amnesty International. Dans le même temps, les ingénieurs d'Apple comblent ces failles, mais ils en ajoutent aussi malencontreusement en touchant aux arcanes complexes du système.

L'Apple Security Research Device, un iPhone dédié aux chercheurs en sécurité

Le bétonnage d'iOS, Apple ne peut pas le réaliser toute seule. Elle doit s'appuyer sur la communauté des chercheurs en sécurité et les encourager à lui révéler à elle les failles trouvées plutôt qu'à NSO. C'est en ce sens que la Pomme a ouvert un programme de primes de sécurité en 2016 et leur propose depuis l'année dernière un iPhone spécialement conçu pour la recherche de failles.

iOS 14 a introduit un nouveau mécanisme de sécurité, BlastDoor, censé éviter que des contenus vérolés présent dans iMessage n'infectent le système et puis espionnent l'utilisateur à son insu. Mais il y a un problème : « nous avons observé le déploiement de Pegasus via iMessage sur la dernière version d’iOS, il est donc clair que NSO peut déjouer BlastDoor », soutient Bill Marczak, chercheur au Citizen Lab.

Interrogée par le consortium de médias enquêtant sur Pegasus, Apple a affirmé améliorer en permanence la sécurité de l'iPhone et d’iMessage, mais une mise à jour de sécurité d’urgence d'iOS 14, comme cela arrive parfois, n’est pas prévue. iOS 15, en cours de bêta test, pourrait corriger une partie des vulnérabilités.

« Apple condamne sans équivoque les cyberattaques visant les journalistes, les militants des droits de l’homme, et tous ceux qui travaillent à un monde meilleur, déclare Ivan Krstic, un des responsables de la sécurité chez Apple. Depuis plus d'une décennie, Apple mène l'innovation dans le domaine de la sécurité, et par conséquent les chercheurs s'accordent à dire que l'iPhone est l'appareil mobile grand public le plus sûr et le plus sécurisé sur le marché. »

« Les attaques décrites [dans l’enquête sur Pegasus] sont hautement sophistiquées, coûtent des millions à développer, ont souvent une durée de vie limitée et sont utilisées pour cibler des personnes très spécifiques », ajoute l’expert, qui tente par la même occasion de rassurer le quidam.


avatar IceWizard | 

Augmenter les primes, les gars !! Avec un petit zéro de plus, les chasseurs de bugs seront motivés..

avatar Shralldam | 

@IceWizard

Surtout qu’ils ont laaaargement le cash pour.

avatar marenostrum | 

ils peuvent pas payer plus que ceux qui ont basé leur commence dessus. c'est pas rentable.
c'est ce qu'il dit Krstic entre les lignes. plus rentables est de payer ces sociétés de fermer leur gueule et ne pas se vanter qu'ils trouvent des failles, que de payer pour ne pas en avoir. chose impossible.

avatar IceWizard | 

@marenostrum

💆‍♂️

avatar Paquito06 | 

@IceWizard

“Augmenter les primes, les gars !! Avec un petit zéro de plus, les chasseurs de bugs seront motivés..”

En vrai, le probleme n’est pas l’argent. Apple en a et en depense (deja) beaucoup (faudrait publier les feuilles de salaires de qq ingé full stack a Cupertino pour mieux comprendre, ca choque 😁). Les 0-day, c’est le jeu du chat et de la souris. Tu peux avoir une armee de dev d’un coté (parce qu’Apple recrute quand meme parmi les meilleurs des meilleurs, et n’en manque pas), quand tu as en face de toi le reste de la planete, que tu peux pas rallier tout le monde a ta cause, bah tu te retrouves dans ce cas de figure. Tu peux publier un hotfix, faire des releases tous les jours, y aura tjrs un mec qui trouvera sous quelques heures un nouvel exploit. Reste a voir ce qu’il veut en faire 🥸

avatar IceWizard | 

@Paquito06

“y aura tjrs un mec qui trouvera sous quelques heures un nouvel exploit. Reste a voir ce qu’il veut en faire 🥸”

200.000 $ ou carrément le million peut motiver bien des personnes (moi par exemple, si j’avais la moindre compétence dans ce domaine).

avatar RonDex | 

@IceWizard

🤣idem !!

avatar 0MiguelAnge0 | 

@IceWizard

Apple la boîte qui vaut plus de 2000M et qui fait son beurre en vendant la confidentialité comme parti de l’ADN de sa philosophie ne peut pas se payer les experts que l’autre boîte a. Juste une grosse rigolade et cela montre que comme d’hab derrière la façade il n’y a rien dans cette boîte.

On aimerait un peu plus que de la condamnation mais des actes. Qu’ils achetent Blackberry qui ne se sont jamais fait hackés!!

avatar blogostef | 

C’est clair que si Apple mettait un peut moins d’argent dans le marketing des special events et un peu plus dans la rémunération de ceux qui trouvent des failles, la balance pencherait différemment entre NSO et Apple.

avatar IceWizard | 

@blogostef

« C’est clair que si Apple mettait un peut moins d’argent dans le marketing des special events et un peu plus dans la rémunération de ceux qui trouvent des failles, »

Pourquoi choisir entre fromage et dessert, alors qu’on peut avoir les deux ?

avatar blogostef | 

@IceWizard

Parce que c’est mauvais pour la ligne

avatar Ichigo-Roku | 

Les gens ont des visions un peu trop binaires, comme si l'un empêchait l'autre.

avatar iPadProM1 | 

@blogostef

En même temps c’est pas la faute d’Apple si certains font de l’espionnage.
Et le réseau construit en dev pour rechercher c’est failles est tout aussi immense. Ça aussi il ne sont pas obligé de le faire, et c’est l’utilisateur qui en bénéficie à la fin.
Tout remettre sur le dos d’un constructeur c’est facile mais hors sujet

avatar kafy28 | 

Encore une société qui, sous couvert de luter contre le terrorisme, reçoit des subventions de son état et qui a la fin vend à prix d’or son savoir au plus offrant : dictatures et autres mafia en tout genre.

Mais ils le jure, le produit était bien fait pour lutter pour la paix et la sécurité de tous.
C’est pas de leur faute si l’acheteur a mal utilisé son système d’écoute téléphonique, ou de piratage, ou de surveillance internet.

🤮

avatar redchou | 

@kafy28

C’est un peu le même discours du côté d’Apple, tous ce qu’ils veulent c’est la sécurité de leur utilisateur… (d’où leur fermeture)
iMessage bénéficie d’un passe droit et n’évolue pas dans une sandbox comme les autres applications de messagerie disponible sur l’AppStore. Voilà un des résultats.

avatar IceWizard | 

@kafy28

« Encore une société qui, sous couvert de luter contre le terrorisme, reçoit des subventions de son état et qui a la fin vend à prix d’or son savoir au plus offrant : dictatures et autres mafia en tout genre. « 

Les mafias, pas vraiment, puisqu’il semble que l’exportation de cette cyber arme (appelons un chat un chat) nécessite une acceptation de l’état.

Tout à l’heure, je pensais que la vente était libre, mais après quelques lectures ce n’est pas le cas. Le site Futura Science quelques détails en français sur le sujet.

avatar marenostrum | 

ceux la ils gagnent l'argent dessus, mais les autres (russes, chinois, indiens, etc) n'ont pas besoin d'argent et font la même chose en toute discrétion.
bien sûr le quidam n'a rien à craindre parce que on s'en fout de lui et sa vie privée. quelques cookies suffisent pour le traquer.

avatar redchou | 

Quand le discours marketing se confronte à la réalité.
Non, l’iPhone n’est pas le smartphone le plus sécurisé. Et le pire serait certainement de laisser penser que c’est une exception et qu’il n’y a que le NSO Group capable de faire cela…

avatar IceWizard | 

@redchou

« Non, l’iPhone n’est pas le smartphone le plus sécurisé. « 

T’as raison, mon chouchou ! Heureusement que Pegasus n’existe pas sous Android !

Oh wait ..

Au fait j’ai cherché le type de téléphone utilisé par le journaliste Mexicain « tué par Apple » dont tu parlais précédemment. Impossible de trouver une info sur le sujet. Tous les articles que j’ai trouvé traitant du sujet parle de son « smartphone «, sans préciser son constructeur !

avatar redchou | 

@IceWizard

T’as vraiment que ça a foutre en fait..
Quand j’ai dit que ça avait été utilisé pour le journaliste mexicain, il me semble que c’était sur un article parlant du NSO Group et de leur malware, disponible sur les deux plateformes.
Mais bon, d’après toi j’ai dit que le mec a été tué sous les coups de son iPhone, à partir de la, c’est difficile d’argumenter devant autant de mauvaise foi…
Si tu n’as que ça à faire, chercher des petites bêtes, fais toi plaisir, y’en a plein dans iOS…
Aller, bisous, bonne nuit.

avatar IceWizard | 

@redchou

Ahah .. c’est marrant comme tu ne réponds pas à mes remarques. Le coup du nuage de fumée pour tenter de détourner l’attention c’est toujours rigolo 😹 !

T’es en colère, on dirait. Autant que la fois où tu reprochais à la rédaction de manipuler les sondages des lecteurs, le résultat n’étant pas conforme à tes attentes ?

avatar redchou | 

@IceWizard

Peut-être que je ne répond pas à tes remarques parce qu’elles ne sont pas pertinentes? Tu voudrais que je réponde à quoi?
Tu dis que j’ai affirmé quelque chose qui est faux… Je n’ai jamais dit que le journaliste mexicain a été tué par son iPhone, mais que le malware développé par le NSO Group à été utilisé…
Tu me parle d’un sondage sur une news qui date de je ne sais quand, en m’accusant d’essayer de détourner l’attention, alors que c’est toi qui part dans des trucs sans rapport… 🤷‍♂️
Sinon, je maintiens qu’un sondage sur macg n’est pas l’alpha et l’oméga de l’objectivité, surtout quand on voit d’autres résultats ailleurs… Quel est le problème? Il faudrait qu’on soit obligatoirement d’accord avec le résultat d’un sondage sur macg?

avatar debione | 

@ redchou

"Quel est le problème? Il faudrait qu’on soit obligatoirement d’accord avec le résultat d’un sondage sur macg?"

Oui, car la lumière habite les lecteurs de macg, alors que les lecteurs de tout autre site ne sont que des brebis égarées qui n'ont pas "compris".

avatar IceWizard | 

@debione

« Oui, car la lumière habite les lecteurs de macg, alors que les lecteurs de tout autre site ne sont que des brebis égarées qui n'ont pas "compris". »

Tu vois chouchou2, t’es exactement comme chouchou1 à qui j’ai demandé des précisions sur ces autres sondages, contredisant celui de MacG qu’il accusait de manipulations envers son lectorat. Il n’a pas répondu, bien évidemment !

Je rappelle qu’il s’agissait d’un sondage pour connaître les opinions du grand-public (les gens ordinaires) sur l’AppStore.

Hypothèse 1 : ces autres sondages n’existent que dans son imaginaire.

Hypothèse 2 : il s’agit d’interprétations de sondages menés sur des plates-formes android par des utilisateurs geeks, le genre de types persuadés de leurs droits à penser pour les autres (comme toi et chouchou1). C’est impressionnant le nombre d’intégristes déboulant ici, persuadés de détenir la vraie vérité que le grand-public, les utilisateurs ordinaires ne peuvent comprendre car ils sont « manipulés «.

Hypothèse 3 : il existe des vrais sondages sur le sujet, menés dans les règles de l’art, avec un « échantillon représentatif « d’utilisateurs de devices iOS. Si c’est le cas, les liens seront le bienvenu !

Mais comme chouchou1 n’a donné aucune informations sur les sondages ..

Oui, je sais tu vas rétorquer que le sondage de MacG n’est pas représentatif, qu’un avis à 70% sur plusieurs milliers d’utilisateurs iOS de leurs plateformes ne veut rien dire, car il contredit ton intuition de geek, tellement supérieure aux avis de la plèbe iOSienne !

avatar debione | 

@ IceWizard:

Un sondage pour être valable ce doit d'être représentatif. En terme d'âge, de situation sociale, de revenu etc
En ce sens, un sondage de Macg est autant représentatif que si tu me disais: "dans mon entourage".

Si tu participes de temps en temps à des sondages qui se veulent représentatif, tu remarqueras que les questions d'âges/situation sociale/etc sont les premières questions, et pour participer à des sondages officiels de la Confédération Suisse, je me vois souvent rétorquer après avoir rempli les premières question: Votre profil est déjà sur-représenté, vous ne pouvez pas participer au sondage.

J'aimerais juste voir chez macg la représentation de femme dans les sondages par exemple...

avatar webHAL1 | 

@debione :

Oui, il ne fait absolument aucun doute que les sondages sur MacG ne sont représentatifs de rien d'autre que du lectorat de MacG.
Ce lectorat ne représente ni le grand public, ni les utilisateurs technophiles, ni même les personnes possédant un produit Apple. Bref, les sondages MacG sont amusants, mais ne "servent" strictement à rien. ^_^

avatar zoubi2 | 

@debione

"pour participer à des sondages officiels de la Confédération Suisse, je me vois souvent rétorquer après avoir rempli les premières question: Votre profil est déjà sur-représenté, vous ne pouvez pas participer au sondage."

Idem pareil ici pour moi en France française.

avatar Lemon19 | 

@debione

😂😂😂

avatar Krysten2001 | 

@redchou

Bien sûr que si et on l’a vu dans plusieurs articles 😉

avatar redchou | 

@Krysten2001

Ah ok…
Il va falloir le dire à toutes les boites spécialisées en sécurité qui font des smartphones pour les chef d’état ou autre d’arrêter leur travail, l’iPhone, et sa faille 0-day, dont aucun patch n’est en préparation, est plus sécurisé que leur jouet à 10 000€… 🤡

avatar Krysten2001 | 

@redchou

On l’a vu avec le FBI,…😉

avatar raoolito | 

@redchou

donc le smartphone grand public le plus sécurisé c'est..?
parce que l'iphone est imparfait ( ios est imparfait) mais meme au royaume des aveugles les borgnes sont roi
c'est vous qui confondez votre interprétation avec ce qui est dit

ios est le plus sécurisé du marché grand publique, pas le plus sécurisé du monde et certainement pas inviolable
mais dans un monde de passoires, il est un des moins mals armés

avatar redchou | 

@raoolito

Oui, l’iPhone est le smartphone grand public le plus sécurisé tournant sous iOS et vendu à partir de 809€ avant reprise de votre terminal*…
Je regarde plutôt les critiques qui sont faites par les chercheurs en sécurité sur le « programme » d’Apple, plutôt que les dire d’un expert, responsable de la sécurité chez Apple, dont le discours est certainement le moins objectif…

avatar raoolito | 

@redchou

j'ai beaucoup de mal à comprendre où est le problème
il devrait dire l'iPhone et le smartphone grand public le moins insécurisés ?
ca reviendrait au meme..

avatar debione | 

@ raoolito:

Il répète simplement ce qu'on lui dit de répéter, un peu comme tout ce qui sort de chez Apple, c'est ultra scénarisé, précis à la virgule près et est dicté par le département marketing (c'est sans doute la plus belle réussite d'Apple, pas pour rien qu'ils sont devenu si riche)

Sinon, dans les faits, les systèmes sont si complexes que la vérité est: Vos données informatique ne sont JAMAIS totalement sécurisée, un peu plus, un peu moins, mais jamais totalement. Donc ne fait pas confiance à l'informatique si vous chercher à cacher quelque chose.

avatar Lemon19 | 

@debione

C’est aussi ma conclusion. Entre iOS et Android, le débat sur la sécurité est anecdotique/marketing face à la gravité des menaces qui les concernent tous les deux.

avatar lmouillart | 

Plus un appareil et son OS offrent des possibilités, plus la surface d'attaque est large.Les personnes qui sont sur des professions à risque ne devraient pas utiliser d'appareil grand public et avec autant de fonctions riches et connectées. C'est pour cette raison que bien souvent les appareils plus sécurisés, sont assez austères et dépourvu de toute fioritures.

avatar Tech | 

Je ne clique jamais sur des liens. Donc, le risque est minime.

avatar raoolito | 

@Tech

sauf que la on parle de no click
recevoir ce imessage et hop l'iPhone est vérolé

avatar quentinf33 | 

@Tech

Pas besoin de cliquer sur le lien. Le simple fait de le recevoir l’active.

avatar iPadProM1 | 

@Tech

T’es un bon toi 🤣

avatar Houlezf | 

@tech
Et comment peut-on écrire un commentaire iGen si ce n’est en cliquant sur un lien d’une application ..?

avatar TiTwo102 | 

« C'est en ce sens que la Pomme a ouvert un programme de primes de sécurité en 2016 »

J’aurais presque envie de rire, sauf qu’en fait les victimes c’est nous, donc c’est pas marrant.

Apple peut condamner autant qu’elle veut et faire 10000 communiqués, la véritable source du problème, c’est sa pingrerie !

avatar marenostrum | 

mais non. ça va augmenter le prix du matériel qui est payé par NOUS (eux aussi auront plus de mal à le vendre) s'ils augmentent les dépenses sur n'importe quel secteur.

et ça ne va changer rien du tout. en ajoutant des fonctions (l'attrait principal pour vendre leurs appareils) ils vont en faire des failles à foison. ils n'ont pas de meilleurs développeurs que les autres. ils devaient aussi augmenter les salaires pour en avoir de meilleurs développeurs ? c'est un cercle vicieux.

l'autre le dit, qu'ils vont ou ils peuvent rien faire de spécial. c'est pas vous la cible et c'est tout.

avatar IceWizard | 

@marenostrum

💆‍♂️

avatar gillesb14 | 

@marenostrum

« Quand ils sont venus arrêter les juifs, j’ai rien dit je n’était pas juif. Quand ils sont venus arrêter les communistes je n’ai rien dit je n’était pas communiste. Quand ils sont venus m’arrêter il n’y avait plus personne pour protester… »

avatar iPadProM1 | 

@TiTwo102

Hors sujet

avatar raoolito | 

@TiTwo102

quand meme pas
mais elle aiderait à augmenter les primes oui

peut-etre qu'elle est en train de travailler a une amélioration drastique de sa recherche de bugs?
on n'en sait rien et on en saura jamais rien

on a bien appris ya un an qu'apple etait le plus gros contributeur aux remontées de bugs des processeurs intel. mais qui en a parlé ? pire, tout le marché des pcs en a profité sans meme le savoir...

avatar Lu Canneberges | 

Globalement les arguments d’Apple sont juste et il faut d’urgence mettre hors d’état de nuire ces entreprises malfaisantes, mais je crois qu’Apple a les moyens d’augmenter significativement les primes et de faire en sorte qu’il ne soit plus jamais intéressant pour des développeurs non alignés de vendre les failles à NSO plutôt qu’à Apple.

Oui, dans un monde idéal on n’aurait pas besoin de récompenser les bonnes actions, et je suis le premier à être atterré de devoir indirectement acheter la bonne volonté de personnes qui sans suffisamment d’argent jetteraient notre vie privée en pâture, mais « on ne bâtit rien avec des pétales de rose » vient-on de m’apprendre, et en effet, avant l’avènement d’un monde parfait, juste et bienveillant, il faut appliquer la méthode Lannister : « quoi qu’il te paye, je mettrai le double ! » !

avatar zoubi2 | 

@Lu Canneberges

En gros chuis d'accord, mais :

"il faut appliquer la méthode Lannister : « quoi qu’il te paye, je mettrai le double ! "

Peux pas m'sieur, j'ai pas les moyens. Mais autrement, la méthode est de loin la meilleure.

Pages

CONNEXION UTILISATEUR