Failles zero-day : un piratage d’iPhone sophistiqué passé inaperçu pendant plus de 2 ans !

Mobilité

Imaginez qu’un iPhone se transforme en un outil de surveillance capable d’envoyer à des pirates des données concernant l’intégralité de la vie numérique de son propriétaire, notamment sa localisation en temps réel, tous ses emails, ses discussions, ses contacts, ses photos et même ses mots de passe enregistrés.

failles zero-day

Une compromission plutôt effrayante, n’est-ce pas ? Pourtant, selon le chercheur Ian Beer de l’équipe Project Zero de Google, c’est exactement ce qu’il s’est passé pour des milliers d’utilisateurs d’iPhone pendant plus de deux ans.

C’est une révélation qui a incité certains commentateurs à tirer la sonnette d’alarme de manière peut être exagérée. Passons donc en revue les faits marquants sur lesquels reposent véritablement cette histoire avant de tirer des conclusions alarmantes.

L’histoire débute par une découverte de l’équipe TAG (Threat Analysis Group) de Google :

… [Nous] avons découvert quelques sites web piratés. Ces derniers étaient utilisés dans des attaques de type ‘watering hole’ lancées contre les visiteurs en question, en utilisant des failles zero-day présentes dans des iPhone.

Le premier signe, indiquant qu’un incident avait eu lieu, est apparu le 7 février lorsqu’Apple a publié une mise à jour urgente de type ‘out-of-band, faisant ainsi passer iOS à la version 12.1.4.

À l’époque, la principale faille corrigée semblait correspondre au bug d’espionnage d’appel de l’application FaceTime (CVE-2019-6223). Cependant, plus loin dans le même avis, deux autres failles (CVE-2019-7287 et CVE-2019-7286) que les attaquants auraient pu utiliser pour obtenir une élévation de privilèges et/ou des privilèges de type noyau ont été brièvement décrites.

Panique au niveau du noyau

Dans un récent article de blog, Beer a présenté l’histoire la plus alarmante jamais relatée concernant sa découverte et la menace potentielle associée.

En effet, plusieurs mois d’analyse plus tard, il semble que ces failles aient fait partie d’un ensemble de quatorze vulnérabilités exploitées par le groupe responsable des attaques découvertes par Google.

Affectant iOS 10.x, 11.x et 12.x, sept étaient liées au navigateur Safari, cinq au noyau iOS, plus deux évasions de sandbox. La plupart d’entre elles avaient été corrigées au fil du l’eau, mais les deux mentionnées ci-dessus et signalées à Apple étaient des failles zero-day. C’est pourquoi l’entreprise s’est empressée de sortir la version 12.1.4 quelques jours seulement après que Google leur a signalé ce problème.

Google a isolé cinq chaînes d’exploits uniques, des campagnes successives utilisaient différentes combinaisons de failles, et l’une d’elles datait de fin 2016.

Les chaînes d’exploits ont été utilisées contre les visiteurs d’un petit groupe de sites web piratés dans le cadre d’une campagne de type ‘watering hole’ (aussi appelée attaque de point d’eau, au cours de laquelle les sites visités par les personnes ciblées sont piratés pour permettre l’utilisation d’exploits).

Beer a écrit :

Il n’y avait pas de discrimination particulière concernant les cibles. Il suffisait de visiter le site piraté pour que le serveur contenant les exploits attaque votre appareil et, en cas de succès, installe un implant de surveillance. Nous estimons que ces sites ont reçu des milliers de visiteurs par semaine.  

Bien que cette série de campagnes ait été perturbée dans son action, Beer pense qu’il en existe “certainement d’autres qui feront leur apparition”.

En résumé ?

Les malwares ont été installés sur les iPhones des victimes sous la forme d’un puissant implant de surveillance capable de voler des messages de chat (y compris ceux provenant de WhatsApp, Telegram et iMessage), des photos, de localiser les utilisateurs en temps réel et même d’accéder au stock de mots de passe de Keychain.

Si vous deviez imaginer la compromission d’un appareil mobile, il serait difficile d’en imaginer une plus complète que celle-ci, si ce n’est que cette campagne a finalement été détectée.

Néanmoins, deux bémols ici permettent de reprendre espoir : les attaquants pour prendre le contrôle de l’iPhone doivent attirer les victimes sur des sites web spécifiques. Les malwares installés sur les téléphones via les chaînes d’exploits ont cessé de fonctionner lorsque les utilisateurs ont redémarré leur iPhone. Dans ce cas précis, les attaquants devaient recommencer le processus d’infection de zéro.

Les écrits de Beer laissent entendre que l’attaque pourrait être l’œuvre d’un groupe de type État-nation qui tenterait de rassembler des informations sur des groupes de personnes spécifiques pour des raisons politiques. Nous ne pouvons pas vérifier si cette hypothèse est vraie, mais si tel était le cas, ce ne serait pas la première fois.

Même si l’utilisateur d’iPhone lambda n’était pas la cible des campagnes décrites par Google, cette précision ne nous rassure pas complètement. En effet, nous ne savons pas si ce groupe a pu mener d’autres campagnes ou bien si d’autres acteurs malveillants ont eu connaissance de l’existence de ces exploits.

Cependant, l’un des principaux atouts de la plateforme Apple réside dans le fait que le processus de déploiement des mises à jour est très simple. Il s’agit donc d’une grande différence par rapport à Android, pour lequel les mises à jour ne sont pas disponibles pour certains combinés et peuvent prendre des mois avant de l’être pour d’autres.

iOS est sécurisé contre les chaînes d’exploits utilisées dans ces attaques depuis la version 12.1.4. Pour vérifier la version que vous utilisez, rendez-vous dans Réglages> Général> Mise à jour logicielle. Cette section vous indiquera quelle version d’iOS vous utilisez et si une version plus récente est disponible.


Billet inspiré de Sophisticated iPhone hacking went unnoticed for over two years, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.