C’est la première mention de NSO Group depuis les révélations du « Projet Pegasus ». Le Citizen Lab, laboratoire de recherche de l’Université de Toronto, a révélé une nouvelle opération menée à l’aide du logiciel espion, entre juin 2020 et février 2021. Aux commandes des cyberattaques se trouve notamment « Lulu », un groupe affilié par les chercheurs au gouvernement du Bahreïn. Il a infecté — ou tenté d’infecté — les iPhone de pas moins de 4 activistes du pays, connus pour leur opposition au pouvoir. 5 autres ont également été visés par Pegasus.
Techniquement, cette opération s’est appuyée tour à tour sur deux vulnérabilités pour pénétrer le smartphone des victimes.
- La première répond au nom de Kismet, et a été découverte par le Citizen Lab en décembre 2020. Elle a depuis été corrigée, et ne fonctionnerait plus sur iOS 14, la dernière version du système d’exploitation des iPhone.
- La seconde n’avait jamais été observée dans un tel niveau de détail : les chercheurs ont décidé de la nommer « Forcedentry » (entrée forcée), pour sa capacité à contourner Blast Door, une des fonctionnalités de sécurité introduite dans iOS14. Forcedentry fonctionnait encore sur la version 14.6 de iOS, et pourrait encore être exploitée.
Pegasus s’est toujours distingué sur son efficacité contre les iPhone. // Source : Le Choc des Titans (2010)
Les deux failles ont un fonctionnement proche : ce sont des vulnérabilités « zéro-clic » contre iMessage, la messagerie chiffrée native des appareils d’Apple. Autrement dit, le simple envoi d’un message infecté suffit à déclencher l’attaque une chaîne de bugs sur iMessage, sans que la victime n’est eu d’interaction avec son appareil.
Les « zéro-clic » sont à la fois très rares et très recherchées, puisqu’elles dispensent les cybercriminels d’avoir à créer des pièges (comme les phishings par exemple) pour faire télécharger des fichiers à leurs victimes. Chaque découverte d’une nouvelle « zéro-clic » est donc un petit événement. La capacité de NSO Group a en trouver à intervalles réguliers sur différents logiciels reflète ses moyens démesurés de recherche. D’après le Monde, trois quarts des 700 salariés se consacrent à la découverte de vulnérabilité. Elle expose aussi la difficulté des éditeurs de logiciels comme Apple à envisager tous les bugs possibles de leurs programmes.
Il y a toujours un moyen de faire crasher un logiciel
Les deux failles ont des effets similaires : elles déclenchent un « crash » de l’iPhone lié à IMTranscoderAgent, un programme responsable de l’aperçu des images des iMessages. Une fois le crash effectué, le malware peut activer un WebKit (un autre morceau de programme) pour télécharger les fichiers nécessaires à Pegasus depuis un serveur contrôlé par les malfaiteurs. Le tout, sans que l’iPhone de la victime alerte l’utilisateur.
Apple a déployé BlastDoor fin 2020 pour rendre l’exploitation de zéro-clic sur iMessage plus difficile. L’entreprise avait ainsi indirectement bloqué Kismet avec succès. Mais dès février, Forcedentry a pris le relai de Kismet avec un fonctionnement similaire, et cette fois la capacité de contourner l’outil de détection.
NSO a donc déjoué l’éditeur de logiciel en quelques mois, et il semble dominer largement la joute à distance qu’il mène contre Apple. La tâche de ce dernier n’est pas évidente : chaque iPhone intègre de nombreux logiciels, à commencer par iOS et tous les programmes natifs (iMessage et Facetime notamment, qui permettent d’interagir avec d’autres appareils).
Seule protection garantie : désactiver iMessage
Tous ces programmes contiennent des centaines de milliers de lignes de codes, qui leur permettent de fonctionner d’une certaine façon. En face, les hackers vont tenter de faire fonctionner ses programmes d’une façon imprévue par les développeurs afin de déclencher un comportement néfaste (le fameux bug), comme le crash de l’application.
L’affrontement est disproportionné : le développeur doit prévoir toutes les éventualités de façon exhaustive, alors que les hackers n’ont qu’à trouver une seule fissure dans laquelle s’engouffrer pour causer des dégâts. Par exemple, Forcedentry demande au programme IMTranscoderAgent de lancer des commandes improbables dans le simple but de le faire crasher. Ces commandes bugguées n’ont pas été prévues par Apple, car elles n’auraient pas été pas découvertes par hasard tant il est évident qu’elles ne fonctionneront pas. Elles ont été conçues dans le simple objectif de faire délibérément crasher iMessage. Bien sûr, la logique qui s’applique aux iPhones s’applique aussi aux smartphones Android, loin d’être épargnés par Pegasus.
Pour se protéger à coup sûr de Forcedentry, les cibles potentielles n’ont pour l’instant d’autre choix que de désactiver iMessage et FaceTime. Problème : la ligne téléphonique classique n’est pas chiffrée, et NSO Group a prouvé par le passé qu’il pouvait attaquer d’autres applications, comme WhatsApp. Autrement dit, les cibles potentielles se trouvent face à un dilemme : s’exposer à un risque d’infection, ou avoir un smartphone aux fonctionnalités limitées. À elles de trouver quels moyens de communication échappent aux outils de Pegasus.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
