Kaspersky, les spécialistes russes en sécurité informatique, ont été les victimes d'une cyberattaque impliquant l'iPhone, a révélé Eugene Kaspersky, le fondateur de l'entreprise. Un malware s'est introduit subrepticement dans les iPhone de plusieurs employés de la société. Le vecteur d'attaque est un fichier joint invisible transmis par iMessage ; grâce à plusieurs vulnérabilités dans iOS, l'attaque s'exécute depuis le smartphone et installe un spyware.

Une fois au chaud dans le téléphone, le logiciel malveillant est en mesure de transmettre des informations confidentielles vers des serveurs distants : enregistrements audio, photos, informations de localisation et autres données concernant l'activité de l'utilisateur. Le tout très discrètement et, bien évidemment, sans le consentement de la victime qui n'a rien vu venir. Le spyware disparait après un redémarrage, mais les utilisateurs sont ensuite, de nouveau, la cible du logiciel.

Le spyware, baptisé « Triangulation », a fini par être repéré par les propres outils de Kaspersky. L'entreprise est en train de développer un système gratuit de détection, qui sera bientôt disponible. En revanche, il n'a pas encore été possible de mettre au point un moyen de se débarrasser du spyware sans perdre de données. Il faut restaurer l'iPhone infecté avec les réglages d'usine, installer la dernière version d'iOS et l'utilisateur doit repartir de zéro pour retrouver un environnement sain.

D'après Kaspersky, les premières traces de Triangulation remontent à… 2019. Et le logiciel apparaissait toujours en juin de cette année, avec des appareils sous iOS 15.7. Il est difficile de dire si les vulnérabilités qui permettent au malware de s'installer sont des « zero day » (une faille connue des pirates ou qui devient publique avant que le constructeur ne mette en place un correctif). Selon l'entreprise, cette menace ne peut être financée que par de très grands acteurs, comme des États. Eugene Kaspersky estime aussi que son entreprise n'était pas la cible principale des cybercriminels.

Selon le centre national russe de coordination pour les incidents informatiques, ces attaques feraient partie d'une campagne plus vaste menée par la NSA américaine. Une campagne orchestrée pour infecter des iPhone utilisés dans des missions diplomatiques et des ambassades russes localisées dans les pays de l'OTAN, en Israël ou encore en Chine. Les services de sécurité russes ont d'ailleurs accusé Apple d'aider le renseignement américain à pénétrer par effraction dans les iPhone des diplomates du pays. Le constructeur a vivement rejeté ces accusations.

Mise à jour 2/06 — Kaspersky n'a pas trainé, l'entreprise a mis en ligne sur GitHub un utilitaire gratuit, Triangle Check, qui va scanner les traces du spyware dans les sauvegardes iTunes. L'outil est compatible macOS, Windows et Linux.