Entre 2019 et l'été 2020, le logiciel espion Pegasus pouvait être installé sans interaction avec la victime. Les hackers exploitaient une chaîne d'attaque qui profitait d'une faille sur iMessage.

Pegasus a encore frappé. Au moins quatre organisations criminelles, à la solde de différents gouvernements du Moyen-Orient, se sont servies de ce puissant spyware (ou logiciel espion) pour espionner les iPhone d’employés de la chaîne de télévision Al Jazeera. Accès au micro, à l’écran, à certaines conversations chiffrées… une fois sur l’appareil, Pegasus s’avère être un puissant mouchard. D’après le laboratoire de recherche canadien Citizen Lab qui a identifié l’opération, les malfaiteurs ont ciblé des journalistes stars de la chaîne, mais aussi des producteurs et des dirigeants. Parmi les attaquants, le Citizen Lab a identifié « Monarchy » qu’il affilie à l’Arabie Saoudite, et « Sneaky Kestrel », qui œuvrerait pour le compte des Émirats arabes unis.

Les iPhone sont réputés pour leur sécurité, mais ils ne sont pas exempts de vulnérabilités. // Source : Pexels

Mais l’attaque ne se serait pas forcément limitée au Moyen-Orient, et le Citizen Lab s’inquiète de sa portée : « étant donné la répartition mondiale des clients de NSO Group [l’éditeur de Pegasus, ndlr] et la vulnérabilité apparente de tous les iPhone avant la mise à jour iOS 14, nous suspectons que les infections que nous avons observées ne sont qu’une minuscule fraction du total des attaques qui ont exploité cette faille. »

Le Citizen Lab a partagé les détails techniques de sa recherche avec Apple, qui a ouvert une enquête ;

Zéro-clic, 100 % de réussite

Pour installer le logiciel espion, les hackers ont utilisé une vulnérabilité inconnue jusqu’ici, logée dans iMessage. Cette application de messagerie entre iPhone est installée par défaut sur tous les smartphones d’Apple. Elle permet notamment d’avoir une conversation chiffrée de bout en bout (à l’instar de WhatsApp et Signal), un des meilleurs standards de sécurité grand public. Toute personne qui intercepterait la conversation entre l’appareil de l’émetteur et celui du destinataire ne pourrait pas lire son contenu. Mais cette garantie de sécurité n’empêche pas l’application de servir de point d’entrée à certains malfaiteurs. WhatsApp qui propose le même chiffrement, en avait également fait les frais.

Mais ce n’est pas tout : non seulement la vulnérabilité exploitée par les cybercriminels était une « zero day », c’est-à-dire que personne ne la connaissait avant, mais en plus, c’était une « zéro-clic ». Plus précisément, la zéro-clic était un des maillons d’une chaîne d’attaque complexe baptisée « Kismet » par le Citizen Lab.

Les zéro-clic sont les cyberattaques les plus dangereuses, puisqu’elles ne demandent même pas un faux pas des victimes, contrairement aux cyberattaques classiques. Généralement, les malfaiteurs sont contraints de faire appel à des phishings et autres subterfuges complexes. Leur objectif : piéger leurs victimes, afin qu’elles valident le téléchargement d’un logiciel malveillant ou communiquent des identifiants confidentiels.

Cette complexité de mise en place réduit forcément leurs chances de réussite, puisque la cible aura plusieurs opportunités de déceler la manipulation. Avec une zéro clic, les attaquants se débarrassent des risques de ratés. Et puisque dans le cas révélé par le Citizen Lab, l’attaque est aussi une zéro day, elle n’a en théorie aucune parade. On parle donc d’une attaque à 100 % de réussite.

Pour contrer l’attaque, il suffit de mettre à jour vers iOS 14

Exploitée entre juillet et août 2020, la faille a été réparée avec la mise à jour iOS 14, d’après les chercheurs. Elle fonctionnait encore cependant sur le dernier patch de iOS 13, 5.1, et sur le dernier modèle d’iPhone, le 11.Pour contrer l’attaque — même si elle ne vise a priori pas le grand public –, il suffit de mettre à jour son iPhone avec iOS 14, si ce n’est pas déjà fait.

Le logiciel Pegasus, édité par l’entreprise israélienne NSO Group fait régulièrement parler de lui. Célèbre pour son implication dans le meurtre du journaliste Jamal Khashoggi, il est utilisé par plusieurs pays réputés pour leur politique répressive. L’entreprise avance que son outil ne sert qu’à contrer les menaces, notamment terroristes, et nie en bloc son implication dans les affaires d’espionnage de journalistes, activistes et autres dirigeants.

En 2019, NSO Group avait déjà créé une attaque proche d’une zéro-clic, cette fois contre WhatsApp : il suffisait de passer un appel manqué à la victime pour le déployer. Mais elle laissait une trace, celle de l’appel manqué, que pouvait remonter l’entreprise. Dans le cas de Kismet, la victime pourrait ne rien remarquer d’inquiétant sur son iPhone. Une année auparavant, NSO Group s’était déjà illustré avec la démonstration d’une zéro-clic contre un iPhone. 

Si le Citizen Lab a découvert l’attaque, c’est parce que Tamer Almisshal, un enquêteur d’Al Jazeera, inquiet d’un éventuel piratage, a installé une application créée sur mesure par les chercheurs pour surveiller les metadonnées de son trafic internet. Ces derniers ont ainsi pu constater que le smartphone du journaliste est allé sur un des serveurs d’installation de Pegasus, tenu par le NSO Group. En remontant les traces, le Citizen Lab a identifié que les hackers avaient abusé d’un sous-domaine de iCloud. Autrement dit, qu’ils étaient passés par les serveurs d’Apple, pour télécharger certaines pièces de l’installateur de Pegasus.

Le spyware revient sans cesse plus fort, et les chercheurs s’inquiète à juste titre de sa montée en complexité. Sans une surveillance en temps réel de l’iPhone de la victime, peut-être que l’attaque n’aurait jamais été découverte…

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux