Il suffisait de visiter, depuis son iPhone, un site Web infecté. En quelques secondes, tous les secrets qu’il renfermait étaient éventés, copiés par un virus informatique sans que l’on remarque rien. Messages, photos, localisation, pas grand-chose n’échappait à ce logiciel malveillant découvert par les chercheurs en sécurité informatique de Google. Ils en ont révélé l’existence jeudi 29 août, surprenant bon nombre d’experts en la matière.

Leur découverte est en effet déroutante. D’abord, le virus met en œuvre 14 vulnérabilités dans le logiciel qui équipe téléphones mobiles et tablettes d’Apple, pourtant considéré comme bien sécurisé. Selon les chercheurs de Google, le virus a été actif pendant plus de deux ans, à partir de 2016, et fonctionnait jusqu’au 7 février, quand Apple a corrigé ces défauts après avoir été prévenu par les chercheurs. Le virus était parfaitement efficace, y compris sur les tout derniers modèles d’iPhone, équipés de la plus récente mouture d’iOS. S’il suffit aujourd’hui de mettre à jour son téléphone, il était à l’époque impossible de s’en protéger.

Infecté par la simple visite d’un site Web

D’autant plus que le vecteur d’infection était particulièrement furtif : il suffisait à un utilisateur d’iPhone de se rendre sur un site Web pour que, sans intervention supplémentaire de sa part, le virus pénètre dans son téléphone. Une fois à l’intérieur, ce dernier s’intéressait immédiatement aux archives des messages envoyés et reçus par l’utilisateur à travers les principales applications de messagerie, comme WhatsApp, Telegram, Gmail ou iMessage (le système de SMS d’Apple).

La plupart de ces applications chiffrent les échanges, les rendant impossibles à lire s’ils sont interceptés. Mais le virus permettait de contourner cette difficulté, puisqu’il s’en prenait aux messages stockés sur le téléphone, où ils sont dépourvus de cette protection. Le programme malveillant avait aussi accès à la géolocalisation en temps réel de l’utilisateur infecté, à ses photographies ainsi qu’à son répertoire téléphonique. Enfin, les pirates pouvaient récupérer les mots de passe et les identifiants enregistrés dans le téléphone (qui permettent par exemple d’ouvrir son compte e-mail sans avoir à saisir à chaque fois son mot de passe).

Le virus pouvait être éradiqué simplement en redémarrant son téléphone. Encore fallait-il avoir conscience d’être infecté. Et même cette précaution était imparfaite : puisque les pirates avaient préalablement volé les mots de passe du possesseur du téléphone, il leur était possible de continuer à récupérer certains de ses messages et de ses données.

De nombreuses zones d’ombre

Au-delà de ces quelques certitudes demeurent de nombreuses zones d’ombres à propos desquelles les chercheurs de Google, qui disent pourtant avoir inspecté « quasiment chaque octet » du programme malveillant, sont remarquablement discrets et flous. Google a refusé de répondre à nos questions.

Combien de victimes ce logiciel a-t-il fait ? Ils ne le précisent pas, mais Ian Beer, l’auteur des travaux sur le virus, évoque « des populations entières ». Il écrit aussi que les sites distribuant le programme malveillant « reçoivent des milliers de visites par semaine ». Le nombre de victimes serait donc très important. Mais Google a choisi de ne pas reproduire les noms de ces sites, pas plus que leur emplacement géographique ou encore leur thème. Autant d’éléments qui permettraient de mieux appréhender l’ampleur de l’infection, d’en savoir plus sur la population visée et donc, par ricochet, d’avoir des indications sur les responsables de ce programme malveillant très sophistiqué.

Le chercheur se contente d’écrire que les pirates seraient « un groupe se donnant beaucoup de mal pour pirater les utilisateurs d’iPhone dans certaines communautés ». Plus loin, avec des mots choisis et sans qu’il soit certain qu’il fasse directement référence au virus qu’ils ont découvert, il explique que pour « être ciblé, il suffit peut-être d’être né dans une certaine région ou de faire partie d’un certain groupe ethnique ». Google a également gardé secrète l’adresse IP – l’équivalent de l’adresse postale – vers laquelle étaient redirigées les informations soustraites aux victimes, une information cruciale pour tenter de remonter à l’identité des responsables.

Un Etat vraisemblablement à la manœuvre

Une seule chose est certaine à propos de ces derniers : ils disposent de gros moyens, laissant penser à l’implication d’un Etat. Certaines des failles utilisées par les pirates sont des « zero day » (« zéro jour »). Ce terme désigne des défauts inconnus du développeur du logiciel, qui ne peut donc les corriger. Ils sont rares et très efficaces. Concernant iOS, ils s’acquièrent souvent au prix d’intenses recherches ou contre une très importante somme d’argent. Dans les deux cas, l’entité qui a conçu ce virus dispose d’importants moyens. Pour Ian Beer, de Google, même 20 millions de dollars est un montant « faible » compte tenu des capacités du logiciel et de la très grande portée de sa distribution.

Cependant, certaines pratiques des attaquants contrastent avec ces importants moyens. D’abord, la présence de l’adresse IP inscrite sans protection dans le code du virus. Puisque ce type d’information permet souvent de remonter à eux, les attaquants prennent très souvent soin de la camoufler. Pas ici. Ensuite, le fait que le virus ne résiste pas à un redémarrage du téléphone. Etonnant, compte tenu du haut niveau technique nécessaire au repérage et à l’utilisation des failles pour entrer dans le téléphone. Enfin, et surtout, les données extraites du téléphone étaient envoyées au serveur commandant le virus par Internet sans chiffrement, vulnérables à n’importe quelle interception. Autant d’éléments qui troublent les experts qui se sont penchés sur la trouvaille de Google.