Spyware NSO : des tentatives de piratage d'iPhone à la Commission européenne
Des fonctionnaires haut placés de la Commission européenne ont été ciblés l'an dernier par le spyware de NSO Group, révèle aujourd'hui Reuters. L'exécutif européen a fait partie des premières institutions à recevoir des alertes envoyées par Apple à tous les utilisateurs dont les iPhone ont été compromis par ces logiciels malveillants.
En novembre dernier, Apple annonçait, dans la foulée d'une plainte contre NSO, qu'elle allait prévenir les victimes de piratage ciblé. Des individus en Ouganda, au Salvador et en Thaïlande ont ainsi reçu ces notifications en fin d'année dernière. C'est donc également le cas au sein de la Commission européenne, pour au moins cinq personnes.
Apple a déjà prévenu des individus dont l'iPhone a pu être piraté 🆕
Reuters n'a pas pu déterminer si les tentatives d'infiltration ont réussi, qui sont les commanditaires de l'attaque, ni ce que ces derniers ont pu récupérer comme information. Selon des chercheurs en sécurité, ces tentatives se sont déroulées entre février et septembre 2021 avec ForcedEntry, un logiciel utilisé par NSO qui permet aux clients de l'éditeur israélien de pénétrer en toute discrétion dans les iPhone.
iOS 15 : dans Messages, des protections supplémentaires contre le malware Pegasus
NSO a toutefois assuré ne pas être responsable de ces tentatives de piratage, indiquant qu'elles n'auraient pas pu avoir lieu avec ses outils.
> NSO a toutefois assuré ne pas être responsable de ces tentatives de piratage, indiquant qu'elles n'auraient pas pu avoir lieu avec ses outils.
C'est un peu alambiqué comme formulation.
Apple n'a jamais expliqué comment ils savent (à distance, sans accès physique à l'iPhone) qu'un iPhone a été infesté par un spyware que ce soit celui-ci, Pegasus, ou n'importe quel autre. C'est assez troublant cette capacité qu'a Apple, je trouve.
@r e m y
Je sais pas si il y a un communiqué clair sur le sujet.
J’imagine que comme quand un logiciel plante, iOS envois un rapport à Apple d’une tentative d’intrusion.
Pour respecter l’anonymat, le rapport doit contenir un identifiant unique au rapport que seul l’iPhone doit connaitre. Il doit checker périodiquement le statut du rapport si il est passé en Positive ou Negative et envoyer une notification au besoin. En faisant comme ça, seul l’iPhone est au courant, peu importe qui en est le propriétaire.
Dans le cas présent, il n'y a pas d'anonymat vu qu'Apple peut contacter individuellement ceux dont l'iPhone a été infiltré.
@r e m y
Je ne sais pas comment les utilisateurs sont contacté. Ça pourrait tres bien être une notification qui demande à l’utilisateur de les contacter.
@r e m y
Ce type de logiciel peut laisser des traces dans les logs, laisser des fichiers derrière lui ou d’autres choses comme ça sur l’iPhone corrompu.
Une routine d’analyse pourrait détecter ces traces.
@r e m y
C’est pour ta sécurité qu’on t’a dit 🤫🤫🤫
C’est la version side loading du logiciel. Happy DMA
C’est peut-être Apple qui est à la base de cette fuite. C’est le début de leur lutte anti-DMA
Les logiciels de NSO se moquent bien du sideloading... pour Pegasus le simple envoi d'un sms (qui n'avait même pas besoin d'être ouvert par le destinataire) suffisait à infester l'iPhone ciblé.