Pendant deux ans, plusieurs sites piratés ont installé sur des milliers d’iPhone un logiciel malveillant capable de surveiller et d’avoir accès à toutes les informations disponibles sur le téléphone. Sept mois après avoir contacté Apple, un groupe d’experts de Google a publié un compte-rendu détaillé sur cette attaque massive qui remet en question la soi-disante quasi-invulnérabilité des systèmes d’exploitation d’Apple.

« À la conférence BlackHat 2019 à Las Vegas, Apple avait annoncé une extension à un plus grand nombre de chercheurs de son programme de Bug Bounty pour détecter les failles sur les iPhone. Avec des prix de plus d'un million de dollars pour l'identification de failles de sécurité, parmi les prix les plus élevés du marché », témoigne le chercheur en cybersécurité et auteur de fiction Guy-Philippe Goldstein. On comprend enfin pourquoi : en février 2019, Google avait informé Apple de nombreuses cyberattaques, exploitant les vulnérabilités de presque tous les systèmes d’exploitation, de iOs 10 à la version actuelle iOs 12. Apple avait ensuite publié un correctif de sécurité pour l’iOs 12.1.

« On estime que plusieurs milliers d’internautes se rendent chaque semaine sur l’un de ces sites piratés »

Dans un article publié jeudi 29 août sur le blog du groupe d’experts en charge de la sécurité pour Google, l’équipe du « Project Zero » est revenu sur cet évènement. Ces cyberattaques ont visé plusieurs milliers d'iPhone, a annoncé l'équipe après plusieurs mois d'enquête. On découvre aussi dans l'article que cette opération de piratage, « à l’aveugle », ciblant des groupes de personnes de manière aléatoire, utilisait des sites Web, depuis près de deux ans pour implanter des logiciels malveillants dans les iPhone. Google n'a pas souhaité divulguer la liste des sites concernés, ni le nom ou la situation géographique des personnes ayant pu être hackées au cours de cette attaque massive.

« Il n’y a pas de cible en particulier ; il suffisait de visiter ce site piraté pour que le serveur d’exploitation attaque votre appareil, et, en cas de succès, installe un logiciel de surveillance. On estime que plusieurs milliers d’internautes se rendent chaque semaine sur l’un de ces sites piratés », explique Ian Beer, expert faisant parti du Project Zero. La mission de ce groupe d’experts affiliés à Google est de « rendre le 0-day difficile ». Traduction : traquer les vulnérabilités informatiques n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. Ce qui implique de rendre difficile voire impossible l’existence de failles contre lesquelles aucune protection palliative ou définitive existe.

De 2017 à 2019, l’opération de piratage traquée par Google a exploité environ 14 failles de sécurité dans les systèmes d’exploitation de l’iPhone, dont sept ont été découvertes dans le navigateur Web Safari. Une fois installé sur le téléphone, le logiciel malveillant s'exécute discrètement en arrière-plan, « il n’y a aucun indicateur visuel permettant de savoir s’il est actif » précise Ian Beer. « Son objectif est le vol de data : fichiers et données de géolocalisation en direct. Le logiciel malveillant renvoit ces données volées à un serveur toutes les 60 secondes », explique l’expert du Project Zero.

WhatsApp, Telegram, iMessage, Hangouts, Gmail concernés

Les hackers ont ainsi eu accès à toutes les applications, même celles utilisant le chiffrement de bout en bout - un système de communication où seules les personnes qui communiquent peuvent lire les messages échangés - comme WhatsApp, Telegram ou iMessage. Le logiciel récupère les photos et vidéos envoyées ou reçues, les coordonnées de tous les contacts et lit les contenus des messages (texte, date et heure d’envois, liens échangés…).

Sur la version iOs de Google Hangouts, les experts de Google précisent que les hackers ont eu accès au lien direct pour télécharger toutes les images échangées dans les conversations. Sur Gmail, le logiciel est parvenu à télécharger les pièces jointes des mails. Tous les contacts et les photos prises par l’Iphone, de manière plus générale, étaient envoyés à un serveur en direct, toutes les minutes. Un des chercheurs du Project Zero a aussi testé le dispositif à Amsterdam, en laissant son téléphone dans sa poche et en se baladant dans la ville : le logiciel malveillant envoyait en temps réel, jusqu’à une fois par minute, sa géolocalisation.

Une conversation sur Hangouts sur iOs : avec quelques bases de SQL on arrive facilement à copier le texte et récupérer l'adresse URL des images. Crédits : Google.

Des informations comme le modèle de l’iPhone, son numéro de série, l’espace de stockage total et disponible ou l’activation du WiFi sont aussi des renseignements collectés par le logiciel espion. Ian Beer affirme qu’aucune information personnelle stockée sur le téléphone n’est à l’abri, cependant « si le téléphone est redémarré, le logiciel ne fonctionnera plus. Sauf si l’utilisateur retourne sur le site Web compromis ». Il précise quand même que compte tenu du nombre d’informations volées pendant la durée d’utilisation du téléphone « les hackers peuvent conserver un accès permanent à divers comptes et services en se servant des données d’identification, même après avoir perdu l’accès direct au périphérique ».

Qui pourrait être à l’origine de cette attaque ?

Aujourd’hui difficile de savoir qui pourrait être à l’origine de cette attaque massive. « On a affaire à un groupe d’individus déployant des efforts soutenus pour pirater les utilisateurs de certaines communautés sur une période d’au moins deux ans », analyse Ian Beer. De son côté, Guy-Philippe Goldstein se base sur le coût que représente l’organisation de ce genre de cyberattaques pour proposer un profil : « Le niveau de sophistication est assez avancé, sachant que 2 zeroDays d’iPhone se vendent entre 100 000 et 1 millions de dollars, les hackers ont de gros moyens. Peut-être des groupes criminels structurés ou des États-nation. Néanmoins, la cible paraît large, ce qui pourrait exclure les agences de renseignement qui ont des besoins très précis en terme de collecte ou d’analyse ».

Le groupe a l’origine de cette attaque pourrait aussi très bien constituer une base de données qui pourrait être réexploitée ensuite par « des acteurs avec des besoins précis soit en terme de renseignement politique, technique, militaire, soit en terme d’action crapuleuse », suppute Guy-Philippe Goldstein. Pour en savoir plus, il aurait fallu que Google communique les sites Web utilisés pour piéger les utilisateurs d’iPhone, mais cela n’a pas été rendu public.

Recommandations

Ian Beer précise que dans ce cas-là, les hackers ont échoué, ils ont fini par être démasqués, « mais il y en a certainement d’autres à découvrir ». Il encourage les utilisateurs à redoubler de prudence en utilisant tout périphérique ayant accès à Internet. « Être ciblé par une attaque peut simplement vouloir dire qu’on est nés dans une certaine région géographique ou qu’on appartient à un certain groupe ethnique. Tous les utilisateurs doivent être conscients que les attaques de masse existent et qu’il faut agir en conséquence. Les appareils mobiles font partie intégrante de leur vie aujourd’hui, mais une fois compromis, ils peuvent servir de bases de données et être utilisés à leur encontre. »

SUR LE MÊME SUJET :

> La cyberguerre mondiale aura-t-elle lieu ?

> Nous sommes tous cyberfragiles

> Cyberattaques : « On va commencer à compter les morts »

> « Les outils de cyberguerre vont être de plus en plus accessibles »

> Une cyberattaque pourrait faire « autant de dégâts qu'une attaque nucléaire »

> « La cyberguerre est une guerre permanente qui s’attaque aux fondements de la société »

Illustration de une : montage réalisé à partir d'un image libre de droit de Pixabay.