Stratégie du point d’eau

L’équipe de cybersécurité Project Zero de Google a révélé une très large campagne de piratage de l’iPhone, utilisant la stratégie du point d’eau.

Il s’agit d’implanter des logiciels malveillants sur des sites web dont le pirate souhaite infecter les visiteurs, afin de cibler un certain groupe ou une certaine catégorie de personnes.

Cette stratégie fait référence aux prédateurs dans la nature, qui attendent une opportunité d’attaquer leur proie près d’un point d’eau.

Pas moins de cinq chaînes d’exploits pour iOS – un exploit est un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système informatique – pour un total de 14 vulnérabilités de sécurité, dont 2 de type jour-zéro, i.e pour lesquelles aucune solution de protection n’est connue, ont été exploitées par ces attaques, depuis des années.

Tous les iPhones avec iOS 10 à 12, étaient susceptibles de se faire infecter, avant que l’équipe n’informe Apple le 1er février 2019, et qu’Apple publie un correctif de sécurité le 7 février dans iOS 12.1.4.

Les risques

Le logiciel malveillant peut téléverser sur des serveurs l’ensemble des contacts, des fichiers, des courriels de l’ordiphone, ainsi que sa géolocalisation en temps réel.

Il peut téléverser la keychain de l’appareil. Il s’agit du gestionnaire de sécurité d’Apple pour les mots de passe, y compris ceux des réseaux Wi-Fi, de clés et des jetons de sécurité.

Armé de ces données, l’attaquant peut se connecter à des services en ligne, comme le compte Google de la victime, sa messagerie WhatsApp ou même une messagerie chiffrée comme Signal, à partir d’un autre système.

Le logiciel malveillant ne prend même pas la peine de chiffrer les données transmises. Un autre attaquant espionnant en même temps une connexion ouverte Wi-Fi, pourrait ainsi récupérer les mêmes données personnelles.

Il s’agit sans aucun doute de la plus grande campagne de piratage des iPhones. On pourrait reprocher à Apple, qui se présente comme un champion de la cybersécurité et de la vie privée, de n’avoir pas informé ses clients au moment de la publication du correctif de sécurité.

Souvenons-nous : nous avions incité les possesseurs d’iPhones à mettre à jour vers iOS 12.1.4, mais seulement parce qu’elle avait été présentée comme un correctif de sécurité contre la possibilité  de les espionner avec FaceTime.

Remise en cause des hypothèses de la cybersécurité

Cette attaque remet en question les hypothèses classiques de la cybersécurité. En particulier, que les attaques sont très coûteuses, très ciblées et très obscures.

C’est ainsi que l’on estimait qu’une attaque contre un dissident ou une cible à haute valeur ajoutée pouvait coûter un, voire plusieurs millions d’euros. Comme dans le cas du dissident Ahmed Mansour dont l’iPhone fut piraté en 2016, et qui fut surnomé The Million Dollar Dissident.

Si un pirate peut lancer une attaque au hasard sur des milliers de cibles, c’est que cette attaque ne coûte pas grand-chose, surtout rapportée au nombre de victimes.

Tout laisse à penser qu’il s’agit d’un gouvernement en quête de surveillance de masse, confie Jake Williams, un ancien pirate de la NSA, à Wired.

Informations supplémentaires

Malheureusement, Google n’a pas cru bon de dévoiler les sites web qui ont été piratés pour injecter le logiciel malveillant, une information qui aurait donné une idée des cibles visées, et du type d’attaquant.

Un mauvais esprit pourrait en déduire que ces sites utilisent les publicités Google ou sont de bons clients de Google…

Cette attaque doit mettre fin au mythe que seuls les PC sont infectés par des virus. Toute plateforme informatique largement utilisée est prisée par les pirates.

Project Zero publie des analyses techniques détaillées des cinq chaînes d’exploits iOS, des exploits JSC pour les navigateurs web sous iOS, ainsi que du logiciel malveillant.