Pegasus : Apple condamne les piratages et assure que l'iPhone reste le smartphone « le plus sécurisé »

Stéphane Moussie |

Les nouvelles révélations sur Pegasus, le malware qui a servi à espionner des milliers de journalistes, militants, dirigeants et politiques du monde entier, ne font ni les affaires des États commanditaires, ni celles de son créateur NSO Group, ni celles d'Apple. Si les smartphones Android ne sont pas épargnés eux non plus, la réputation de sécurité de l'iPhone en prend un sacré coup : parmi ses faits d'arme, NSO est notamment parvenu à pirater des iPhone à distance sans aucune interaction de la part des victimes.

« NSO est un exemple d’entreprise où des dizaines de personnes – voire plus – sont chargées de rechercher de nouvelles façons de cibler une plateforme. À moins d’avoir des ressources en développement et en sécurité d’une magnitude supérieure, vous ne pourrez pas anticiper leurs mouvements », explique John Scott-Railton, chercheur en sécurité pour Citizen Lab, au journal Le Monde.

Apple a répondu que ses effectifs dédiés à la sécurité d'iOS ont été multipliés par quatre en cinq ans, mais cela n'empêche manifestement pas les trous dans la raquette. « Il y a un déséquilibre fondamental des pouvoirs quand des centaines de personnes – voire des milliers en tant que contractuels ou free-lances – sont employées pour consacrer leurs journées et leurs nuits à chercher des failles logicielles », appuie Claudio Guarnieri, expert en sécurité informatique pour Amnesty International. Dans le même temps, les ingénieurs d'Apple comblent ces failles, mais ils en ajoutent aussi malencontreusement en touchant aux arcanes complexes du système.

L'Apple Security Research Device, un iPhone dédié aux chercheurs en sécurité

Le bétonnage d'iOS, Apple ne peut pas le réaliser toute seule. Elle doit s'appuyer sur la communauté des chercheurs en sécurité et les encourager à lui révéler à elle les failles trouvées plutôt qu'à NSO. C'est en ce sens que la Pomme a ouvert un programme de primes de sécurité en 2016 et leur propose depuis l'année dernière un iPhone spécialement conçu pour la recherche de failles.

iOS 14 a introduit un nouveau mécanisme de sécurité, BlastDoor, censé éviter que des contenus vérolés présent dans iMessage n'infectent le système et puis espionnent l'utilisateur à son insu. Mais il y a un problème : « nous avons observé le déploiement de Pegasus via iMessage sur la dernière version d’iOS, il est donc clair que NSO peut déjouer BlastDoor », soutient Bill Marczak, chercheur au Citizen Lab.

Interrogée par le consortium de médias enquêtant sur Pegasus, Apple a affirmé améliorer en permanence la sécurité de l'iPhone et d’iMessage, mais une mise à jour de sécurité d’urgence d'iOS 14, comme cela arrive parfois, n’est pas prévue. iOS 15, en cours de bêta test, pourrait corriger une partie des vulnérabilités.

« Apple condamne sans équivoque les cyberattaques visant les journalistes, les militants des droits de l’homme, et tous ceux qui travaillent à un monde meilleur, déclare Ivan Krstic, un des responsables de la sécurité chez Apple. Depuis plus d'une décennie, Apple mène l'innovation dans le domaine de la sécurité, et par conséquent les chercheurs s'accordent à dire que l'iPhone est l'appareil mobile grand public le plus sûr et le plus sécurisé sur le marché. »

« Les attaques décrites [dans l’enquête sur Pegasus] sont hautement sophistiquées, coûtent des millions à développer, ont souvent une durée de vie limitée et sont utilisées pour cibler des personnes très spécifiques », ajoute l’expert, qui tente par la même occasion de rassurer le quidam.


avatar powergeek | 

Pour ceux que ça intéresse je recommande la lecture de ces deux livres : https://zygosec.com/book.html

avatar ech1965 | 

Vous vous imaginez si le FBI avait réussi à convaincre les autorités d’obliger les fournisseurs à installer des backdoors ( pour lutter contre le terrorisme) , où on en serait ?
Déjà sans aide NSO en a trouvé assez ! Alors en était certain de leur présence… il ne resterait plus qu’à les subtiliser !!!

avatar raoolito | 

@ech1965

a noter qu'on se demande bien comment le fbi a pu être bloqué comme ca quand on voit pegasus
quoique ca n'aurait pas ete eux qui justement les avaient aidés ?

avatar IceWizard | 

@ech1965

« Vous vous imaginez si le FBI avait réussi à convaincre les autorités d’obliger les fournisseurs à installer des backdoors ( pour lutter contre le terrorisme) , »

Non, le FBI n’a pas essayé de convaincre les fournisseurs d’installer des backdoors pour lutter contre le terrorisme, mais de pouvoir les utiliser dans les affaires criminels classiques. Tout ce qui se rapporte au terrorisme dépend du Patriot Act et de sa législation spéciale.

Dans l’affaire du comté de St Bernardino, le FBI voulait qu’Apple lui développe une Backdoor iOS universelle, sans invoquer le Patriot Act, afin d’avoir un outil et un précédent juridique utilisable dans n’importe quelle affaire. D’où le refus de Cupertino, de peur que l’outil se retrouve rapidement dans toutes les mains (comme ces cyber-armes de la NSA dont le code source se balade dans la nature).

avatar IRONMAN65 | 

Au prix auquel sont vendu les iPhone et autres produits Apple , on a droit à un minimum de sécurité et de vie privée hein

avatar zoubi2 | 

@IRONMAN65

"Au prix auquel sont vendu les iPhone et autres produits Apple , on a droit à un minimum de sécurité et de vie privée hein"

Merci. Quelle hauteur de vue ! Impressionnant...

avatar Nesus | 

Curieux de voir la vraie réaction d’Apple devant une aussi mauvaise publicité.

Dire le plus, ne veut pas dire inviolable. Et si NSO vivant de la faille avec beaucoup de zéros fait forcément des choses que le quidam ne peut réaliser. De là à être les seuls, non. En Russie, il y a la même chose. Financée par l’État.

avatar andr3 | 

Le vers n'est pas rentré tout seul dans la pomme. A un certain moment, l'utilisateur de l'iPhone a fait une action qui a autorisé l'installation de Pegasus même si d'autres méthodes pour infecter un équipement existe comme le "zero-click" et encore, dans ce cas-là, l'utilisateur est arrivé sur un site "particulier".

avatar morpheusz63 | 

@andr3

C'est le commentaire le plus idiots que j'ai lu de ce post, ça ce vois que l'informatique c'est pas ton dada. Un smartphone grand public ou privée sécuriser, ça n'existe pas. Mais des protocole pour sécuriser si.

avatar zoubi2 | 

@morpheusz63

"C'est le commentaire le plus idiots que j'ai lu de ce post"

Faut voir...

avatar Garfield3 | 

Apple a toujours eu le sens de la formule.
L'iphone est le smartphone le plus sécurisé au monde.
En vérité ce qu'ils veulent dire :
L'iphone est le smartphone "piratable" le plus sécurisé au monde mais évidemment c'est moins vendeur et surtout ça laisse dubitatif.

PS : je ne m'attends a un iphone inviolable.

avatar TiTwo102 | 

@Garfield3

Le problème est qu’ils ne le vendent pas comme ça. Quand ils disent que ce qui est sur un iPhone reste sur un iPhone, ça veut dire que personne ne peut y accéder. Ce qui est visiblement totalement et extrêmement faux.

Mais encore, qu’il soit piratable pourrait se comprendre si c’était très marginal et que c’était la « faute » du propriétaire.
La on parle de failles à la pelle, dont certaines zero-clic (ce qui est plus que grave) et ça dure depuis des années.

En fin de compte, peu importe les communiqués d’Apple, on se rend compte que l’iPhone n’est ni plus ni moins qu’une passoire.

avatar zoubi2 | 

@TiTwo102

"La on parle de failles à la pelle"

Ah bon ? À la pelle, rien que ça ? Où qu'elle sont les pelles et les pelletées ? Z'avez des références SVP ?

Il était évident que ce topic attirerait les vedettes. Gagné :-)

avatar Glop0606 | 

Le 100% sécurité et inviolabilité de nos appareils est un mythe. Mais on dira que l'espionnage ça a toujours existé. La grosse différence c'est qu'avant cela demandait un paquet de ressources souvent humaines. Aujourd'hui c'est un "clic" et on peut tout savoir d'une personne. Et puis quand tout sera centralisé façon minitel, il suffira "seulement" de taper le nom et de télécharger. Mettez y un zeste de IA et vous aurez même des profils super précis. J'adore toutes les possibilités offertes par nos bidules mais j'entrevois aussi tous les risques qu'ils apportent.

avatar morpheusz63 | 

@Glop0606

C'est déjà le cas en France, avec la loi sécurité voter. Justement ils cherche des data scientiste pour analyser les data des Français.

avatar Glop0606 | 

Ben c'est moche... Ce que je ne supporte pas dans tous ces profilages et autres, c'est qu'"ils" pensent qu'on peut cataloguer les gens. Pour moi un profil est mouvant de nature, notre personnalité se transformant au grès de nos expériences. Ce qui est malheureusement certains, c'est que nous sommes influençables et que donc ces outils peuvent avoir des dérives de manipulation à grande échelle. Comme on ne sait garantir qu'un état sera toujours dans le "camp du bien", on devrait s'abstenir de mettre en place ce genre de solution.

avatar morpheusz63 | 

@Glop0606

Désoler de te dire ça mais c'est déja le cas avec google et facebook et consore, ils peuvent savoir ce que tu pense, ce que tu aimes etc regarde .cette chaine youtube il t'explique en bref ce que tu vois dans l'actualité
https://youtu.be/IiVBAoDqLC8

avatar Glop0606 | 

@morpheusz63

Je le sais aussi… malheureusement… ce qui me fascine toujours en 2021 c’est les gens qui disent encore:«  m’en fiche, j’ai rien à cacher »

avatar Moebius13 | 

Apple les maîtres de ma radinerie pour récompenser la recherche de bugs. Si je trouvais une faille 0 day et un exploit balèze je le fournirai plutôt au camp d'en face qui lui ne me paraît en en bons d'achat pour un bracelet d'Apple watch ou une paire d'Airpods si Tim est d'humeur généreuse.

Pour le marketing y'a du monde, pour mettre de côté des centaines de milliards aussi mais par contre pour rajouter deux zéros sur les récompenses pour veux qui trouveraient les failles y'a personne.

Dans ce jeu celui qui gagne c'est celui qui paie le plus et je reste absolument persuadé qu'Apple est capable de payer bien plus que cette société israélienne et peut être même bien plus que ce que le gouvernement israélien lui même serait prêt à mettre sur la table pour développer une telle solution.

avatar powergeek | 

Les plus sournois vendent l'info aux deux camps avec un léger décalage dans le temps...

avatar TiTwo102 | 

Notif’ du magasine Le Monde à l’instant, article avec le titre « Vendus comme très sûrs, les iPhone ont été piratés pendant des années ».

Très bien ! Que toute la presse mondiale fasse une mauvaise pub, Apple se bougera peut-être enfin le c*l.
Y’a que ça qui marche avec eux de toute façon. On le voit bien avec les défauts de certains produits.

Ca m’étonnerait pas non plus que des procès commencent à apparaître, et c’est tant mieux.

avatar Krysten2001 | 

@TiTwo102

Un titre complètement débile juste pour faire du clique.

On sait que les iPhones sont plus sécurisés que les smartphones Android mais pas infaillible.

avatar r e m y | 

Sauf que dans tout ce qu'on lit depuis quelques jours des divers experts en sécurité ayant participé à l'analyse de cet espionnage mondialisé, un consensus se dégage pour dire que l'iPhone, iOS (et l'attitude d'Apple de se croire invincible) a grandement facilité le travail de NSO avec Pegasus.

avatar Krysten2001 | 

@r e m y

Quelle source ???

avatar r e m y | 

Mais pratiquement tous les articles qui sont publiés sur le sujet (vu qu'ils reprennent les mêmes sources venant des équipes ayant mené l'enquête et revelé l'ampleur du problème)

Allez , au hasard un article de FranceCulture (qu'on ne peut pas suspecter de chercher à faire du clic...)
https://www.franceculture.fr/numerique/le-projet-pegasus-revele-les-faiblesses-des-iphone

avatar Bigdidou | 

@r e m y

« FranceCulture (qu'on ne peut pas suspecter de chercher à faire du clic...) »

🤣🤣🤣🤣🤣🤣

J’adore ;)

avatar Krysten2001 | 

@r e m y

Pratiquement tous les articles disent que l’iPhone est le smartphone le plus sécurisé du marché et on l’a bien vu avec le FBI,…😉

FranceCulture 🤣🤣🤣

avatar webHAL1 | 

@r e m y :

Oui, c'est en effet ce qui est mis en avant par plusieurs experts. À noter que ce n'est pas nouveau, ça fait longtemps qu'Apple est considérée comme ayant une approche loin d'être idéale en matière de sécurité informatique.

avatar pechtoc | 

"Le smartphone le plus sécurisé", ok, mais c'est un peu moins pire ou est-ce que c'est un peu meilleur?
Une personne qui court un marathon en 1 semaine est meilleure que celle qui court un marathon en 1 semaine et 1h, mais on peut décemment dire qu'elle est très très loin du résultat attendu.

avatar Steve Molle | 

La langue de bois derrière cette scandaleuse affaire est à vomir. 9 articles sur 10 ne mentionnent pas que l’entreprise ayant mis en place Pegasus est israélienne avec l’appui du ministère de La Défense du pays…..imaginez si tout ceci était signé des russes. Bref, tirez en les conclusions qui vont bien.

avatar morpheusz63 | 

@Steve Molle

Ça s'appelle l'auto censure, bienvenue dans un monde progressiste. Tu veux qu'il se fasse attaquer pour antisémitisme. Ta plus le droit de rien dire, penser de nos jours. De plus c'est le business, ce pays républicain, un modèle pour le monde, on a fait ça spécialité, la vente d'informations.

avatar Krysten2001 | 

@Steve Molle

Car ils sont copain copain avec les États-Unis mais si ça avait été russe… omg 😆

avatar debione | 

au vu des dernières discussion sur ce sujet, je vais redire ce que j'ai toujours dit, Android ou ios c'est vraiment kifkif, et que le prix d'un iPhone ne protège de rien, le marketing Apple non plus.

avatar webHAL1 | 

@debione :

C'est clair. L'attitude la plus intelligente à avoir pour n'importe quelle entreprise en matière de sécurité informatique serait :
1. De rappeler aux utilisateurs de ses produits qu'aucun matériel ni logiciel n'est invulnérable, et ne pas leur donner un faux sentiment de sécurité.
2. D'avoir un maximum de spécialistes externes qui ont accès au code des logiciels créés pour pouvoir détecter des failles et les signaler, et éviter la culture du secret.
3. De mettre en place une politique de sécurité sérieuse, à tous les niveaux, en récompensant par exemple généreusement et avec honnêteté les découvreurs de failles.
4. D'appliquer à soi-même les mêmes contraintes qu'on exige des développeurs et éditeurs tiers lorsqu'on est le créateur d'un système d'exploitation.

C'est exactement ce qu'Apple ne fait pas. Et, contrairement à ce qui a été dit ici par certains inconditionnels de la marque, le fait qu'elle maîtrise toute la chaîne "matériel / système d'exploitation / applications / boutique en ligne / services" ne rend absolument pas ses appareils plus sûrs, comme cette affaire le démontre. C'est d'ailleurs peut-être même le contraire, puisqu'il est plus simple de cibler un acteur plutôt que de nombreux fabricants variés de matériels et logiciels, chacun se concentrant sur son domaine et ne s'arrogeant pas des permissions très vastes.

avatar debione | 

@ webHAL1:

Surtout comme je l'ai lu ailleurs, c'est que certains développeurs se font payer par NSO pour intégrer à leurs applications tout à fait standard du code malicieux... Du coup tu peux être infecté par l'application macg par exemple (enfin je pense pas hein, c'est pour la réthorique) si ceux-ci se sont fait payer pour...

avatar kitetrip | 

Quand on voit qu’un bête nom de réseau wifi peut planter un iPhone… laissez moi perplexe…

avatar jujulec | 

Apple a effectivement (bon... probablement !) le téléphone grand public le plus sécurisé au monde qui, par destination, baigne dans un réseau ouvert à tous vents !! Se gargariser de la sorte est juste affligeant voir même relève d'un gentil foutage de gueule.
Aussi crédible que si moi, tout fier de ma combinaison de plongé en kevlar la plus solide au monde, je me faisais en toute confiance un petit plongeon dans une piscine remplie de requins affamés...
autant se carrer une petite olive... on pourra toujours faire de l'huile !

avatar p@t72 | 

Les bb aussi avait les smart les plus sécurisé....
Bref marketing...

avatar powergeek | 

Il existe un outil pour vérifier si votre smartphone est compromis: https://github.com/mvt-project/mvt

avatar Lemon19 | 

Le problème n’est pas qu’un iPhone soit piratable. Tout est piratable, même les systèmes les plus sécurisés. Le problème est que la communication d’Apple joue principalement sur ce levier de la sécurité et de la confidentialité et qu’évidemment quand un contre exemple se produit, ça fait toujours mal.
Cette situation était condamnée à se produire.

avatar debione | 

@ Lemon19:

Et à se reproduire... L'iphone, le huawei, le samsung ont toujours et seront toujours piratable.... Qu'importe les millions de $ investit en marketing pour prétendre le contraire...

avatar nicobebel | 

Ok je ressors mon Nokia 3310 🤣

avatar Willie Lamothe | 

Un bel acte de foi, je suis rassuré maintenant!

avatar p@t72 | 
avatar pagaupa | 

Il va falloir qu’Apple change son discours sur la sécurité... au regard des malwares qui maintenant ne font plus la différence entre un mac et un pc...
Toujours un train de retard chez Apple...

avatar Krysten2001 | 

@pagaupa

Vu les puces dans les macs, iPhone,… Non elle n’est pas en retard mais en avance par rapport à la concurrence mais elle n’a jamais dit qu’elle était infaillible.

Pages

CONNEXION UTILISATEUR