Dans son annonce, Google a fait allusion à d’éventuelles implications d’États-nations, mais de nouveaux signalements selon lesquels des appareils Windows et Android figureraient également sur la liste des cibles fait prendre une nouvelle tournure à cette histoire.
Si cette information s’avère correcte, l’ajout d’appareils Windows et Android, en plus des iPhone récemment ciblés par des cyberattaques, n’est pas une surprise car il est logique de chercher à cibler des groupes de personnes spécifiques via un petit groupe de sites web afin d’atteindre le plus grand nombre possible de périphériques de manière à ne vraiment rater personne.
Bien sûr, rien ne peut être vérifié à l’heure actuelle. Pour le moment, il s’agit simplement de sources anonymes qui parlent à quelques journalistes, offrant ainsi des informations qui pourraient ne jamais être confirmées.
En effet, le fait que cette histoire soit prise au sérieux tient en partie au fait que les entreprises impliquées, à savoir Google, Microsoft, Apple, ne semblent rien réfuter.
Un sens plus profond
Cependant, une autre façon de comprendre cette histoire est de souligner que les questions concernant le ‘QUI’ et le ‘POURQUOI’ sont moins importantes que celles concernant le ‘COMMENT’.
Le signalement initial de Google a mentionné que des victimes involontaires ont également été impliquées dans ces cyberattaques, signifiant ainsi que tout le monde pourrait être victime d’une future campagne.
Les victimes auraient été infectées par des spywares qui les auraient persuadées d’ouvrir un lien malveillant, une tactique classique mais efficace.
Les domaines infectés auraient été indexés par des recherches sur Google (ce qui est tout à fait normal si le domaine n’est pas connu pour être malveillant), incitant ainsi le FBI à demander à l’entreprise de les retirer de cette liste.
Le premier problème concerne les actions qui ont été lancées pour les personnes infectées en premier lieu et pour celles victimes de dommages collatéraux.
La campagne a été découverte début 2019 et les vulnérabilités impliquées dans les iPhone ont été corrigées depuis, et le processus de déploiement des correctifs d’Apple est connu pour être bien rodé. Toutefois, si des périphériques Android ou Windows étaient impliqués, le timing de mise à disposition des correctifs devient moins sûr, car les mises à jour peuvent être facultatives et lentes à être publiées.
Des failles de sécurité à vendre
Le risque est que, lorsque les groupes d’États-nations découvrent des failles qui méritent d’être exploitées et ne les signalent pas, les cybercriminels professionnels ont tout le loisir de les découvrir également (ou, s’ils ne le peuvent pas, de les voler).
À cette éventualité s’ajoute le problème des éditeurs de logiciels qui développent des spywares pour gagner leur vie en vendant leurs outils aux services de renseignement, à des pays et, de manière controversée, à des organisations commerciales. Parfois, il semble que ces deux types de cyberattaques, à savoir les malwares ciblés émanant d’Etats-nations et les spywares commerciaux, fassent partie en réalité du même univers.
Rien n’indique que les spywares commerciaux soient impliqués dans la dernière campagne iPhone, mais la forte croissance de ce secteur a peut-être entraîné une hausse des tarifs liés aux vulnérabilités zero-day.
Des entreprises telles que Google, Apple et Microsoft mettent en œuvre des programmes bug bounty, en partie pour concurrencer le marché illicite des vulnérabilités, et Apple a récemment porté sa principale prime bug bounty à 1 million de dollars (soir environ 910 000€).
Le développement de ce marché peut être contenu mais pas facilement stoppé. Lorsque les pirates peuvent compter sur une boîte à outils pleine, regorgeant de failles de sécurité, nous sommes tous en danger, peu importe qui est derrière l’attaque en question.
Billet inspiré de iPhone attack may have targeted Android and Windows too, sur Sophos nakedsecurity.