Le logiciel espion de QuaDream a sévi sur iOS 14 via la faille ENDOFDAYS

Des chercheurs du Citizen Lab de la Munk School de l'Université canadienne de Toronto ont publié un nouveau rapport plus qu'intéressant. Les experts y expliquent comment il a été possible d'exploiter le logiciel de l'iPhone par un simple clic et qui était visé. C'est l'année dernière que nous avons appris l'existence de cet exploit et de la mystérieuse société derrière tout cela, QuaDream, est toujours en activité.

Vous vous rappelez peut-être la société israélienne "NSO Group" et son logiciel espion Pegasus. Apple poursuit actuellement NSO Group pour "abus et préjudice" à l'égard de ses utilisateurs. Des sociétés comme NSO Group vendent des logiciels espions à leurs clients, notamment à des gouvernements qui exploitent les failles de sécurité des firmwares qui font tourner iPhone et Android.

La société QuaDream

QuaDream, qui est à l'origine de l'exploit "zéro-clic" d'iOS 14, est similaire à NSO Group, mais son exposition publique est beaucoup moins importante. Comme l'indique Citizen Lab, QuaDream n'a ni site internet, ni réseaux sociaux.

QuaDream a cependant ses propres problèmes juridiques. L'entreprise est en litige avec une société basée à Chypre, InReach. La bataille judiciaire a révélé des informations sur QuaDream qui n'étaient pas publiques auparavant.

Dans son rapport, Citizen Lab décrit les personnes clés liées à chaque entreprise. Il s'agit notamment d'un ancien responsable militaire israélien, Ian Dabelstein, et d'un homme d'affaires israélien basé en Californie, Roy Galsberg Keller.

Malgré le titre douteux et payant du Wall Street Journal "New Spyware Firm Said to Have Helped Hack iPhones Around the Globe", la nouvelle du jour est avant tout que Citizen Lab a partagé son analyse de l'exploit iOS rapporté par Reuters en février 2022.

Si l'exploit lui-même n'est pas nouveau, la société qui en est à l'origine continue de vendre des logiciels espions.

La faille ENDOFDAYS sur iOS 14

La faille ENDOFDAYS a utilisé dans le passé des invitations invisibles dans le calendrier pour des événements qui se chevauchent.

Les événements de calendrier malveillants ont des caractéristiques distinctives supplémentaires qui semblent être toujours les mêmes. Le fichier .ics contient des invitations à deux événements qui se chevauchent et qui sont antidatés. Sous iOS 14, toute invitation à un calendrier iCloud avec une heure rétroactive reçue par le téléphone est automatiquement traitée et ajoutée au calendrier de l'utilisateur sans qu'il n'y ait d'invite ou de notification de la part de l'utilisateur. Nous ne savons pas pourquoi les événements se chevauchent, bien qu'il puisse y avoir un comportement spécifique déclenché par des événements qui se chevauchent.

L'exploit aurait été utilisé entre janvier 2021 et novembre 2021.

Microsoft a aidé Citizen Lab à comprendre ce que le logiciel espion QuaDream pouvait faire une fois qu'un iPhone était infiltré par l'exploit en question.

Microsoft Threat Intelligence a partagé avec le Citizen Lab deux échantillons de logiciels espions pour iOS qu'ils appellent KingsPawn et qu'ils attribuent à QuaDream avec un degré de confiance élevé.

Nous avons ensuite analysé ces binaires, cherchant à développer des indicateurs qui pourraient être utilisés pour identifier un logiciel espion.

La liste des fonctionnalités identifiées du logiciel espion QuaDream comprend l'enregistrement des appels et du microphone, le suivi de la localisation et la prise de photos, et même la génération de mots de passe iCloud 2FA.

Mais ce logiciel peut carrément effacer les traces de son passage :

Nous avons découvert que le logiciel espion contient également une fonction d'autodestruction qui nettoie les différentes traces laissées par le logiciel espion lui-même. Notre analyse de la fonction d'autodestruction a révélé un nom de processus utilisé par le logiciel espion, que nous avons découvert sur les appareils des victimes.

L'un des deux échantillons de spyware "laisse parfois des traces sur les appareils infectés après la suppression du spyware", que Citizen Lab appelle le facteur Ectoplasm.

"Nous ne parlons pas du facteur Ectoplasm dans notre rapport, car nous pensons qu'il peut être utile pour suivre les logiciels espions de QuaDream à l'avenir.

Qui a été ciblé par ce spyware ?

Le rapport fournit également une analyse des personnes ciblées et des pays qui suscitent des inquiétudes. On trouve évidemment des journalistes et des personnes politiques.

Sur la base d'une analyse d'échantillons partagés avec nous par Microsoft Threat Intelligence, nous avons développé des indicateurs qui nous ont permis d'identifier au moins cinq victimes de la société civile des logiciels espions et des exploits de QuaDream en Amérique du Nord, en Asie centrale, en Asie du Sud-Est, en Europe et au Moyen-Orient. Parmi les victimes figurent des journalistes, des personnalités de l'opposition politique et un membre d'une ONG. Nous ne nommons pas les victimes pour l'instant.

Apple a comblé la faille

Bien qu'une mise à jour d'iOS 14 ait rapidement éliminé l'exploit ciblé par les clients de QuaDream, Apple s'est montré plus agressif pour empêcher que de telles situations ne se reproduisent avec des failles de sécurité inconnues.

Apple a notamment ajouté une option de sécurité dans iOS 16, appelée "Mode Isolement". Tout utilisateur peut activer ce mode via l'application Réglages. Lorsque vous utilisez le mode dit de "verrouillage", un certain nombre de modifications sont apportées pour empêcher les logiciels espions d'affecter votre téléphone :

• Messages : La plupart des types de pièces jointes aux messages, à l'exception des images, sont bloqués. Certaines fonctions, comme les aperçus de liens, sont désactivées.
• Navigation sur le web : Certaines technologies web complexes, comme la compilation JavaScript juste à temps (JIT), sont désactivées, à moins que l'utilisateur n'exclue un site de confiance du mode verrouillage.
• Services Apple : Les invitations et les demandes de service entrantes, y compris les appels FaceTime, sont bloquées si l'utilisateur n'a pas préalablement envoyé un appel ou une demande à l'initiateur.
• FaceTime : les appels FaceTime entrants provenant de personnes que vous n'avez pas appelées auparavant sont bloqués.
• Les albums partagés seront supprimés de l'application Photos et les invitations à de nouveaux albums partagés seront bloquées.
• Les connexions filaires avec un ordinateur ou un accessoire sont bloquées lorsque l'iPhone est verrouillé.
• Les profils de configuration ne peuvent pas être installés et l'appareil ne peut pas s'inscrire à la gestion des appareils mobiles (MDM) lorsque le mode verrouillage est activé.

Apple alerte désormais les clients susceptibles d'avoir été ciblés par des sociétés de logiciels espions.

En outre, Apple a fait don de 10 millions de dollars à une organisation à but non lucratif appelée The Dignity and Justice Fund. Le groupe utilise cet argent pour financer un certain nombre d'actions :

• Renforcer les capacités organisationnelles et accroître la coordination sur le terrain des groupes de recherche et de défense de la cybersécurité de la société civile, qu'ils soient nouveaux ou existants.
• Soutenir le développement de méthodes médico-légales normalisées pour détecter et confirmer l'infiltration de logiciels espions qui répondent aux normes de preuve.
• Permettre à la société civile de collaborer plus efficacement avec les fabricants d'appareils, les concepteurs de logiciels, les sociétés de sécurité commerciales et d'autres entreprises concernées afin d'identifier les vulnérabilités et d'y remédier.
• Sensibiliser les investisseurs, les journalistes et les décideurs politiques à l'industrie mondiale des logiciels espions mercenaires.
• Renforcer la capacité des défenseurs des droits de l'homme à identifier les attaques de logiciels espions et à y répondre, y compris par des audits de sécurité pour les organisations qui font face à des menaces accrues sur leurs réseaux.

Une sacré histoire qui montre que la sécurité numérique est bien le principal sujet de notre époque. Qu'en pensez-vous ?