Le hack de NSO a été bloqué par le mode isolement d'iOS 16
- 👨 Alban Martin
- Il y a 1 an
- 💬 Réagir
Attaques sans action utilisateur
La plupart des attaques contre les appareils consistent à inciter les propriétaires à installer des logiciels malveillants en cliquant sur un lien. C'est le fameux phishing qui permet d'escroquer les clients d'une banque, d'Apple, de Google et autres grandes sociétés..
Si la plupart d'entre nous ne sont plus berner, il n'y pas de protection efficace contre les attaques dites "zéro-clic". Celles-ci permettent de compromettre un appareil sans que l'utilisateur ne fasse quoi que ce soit.
La société NSO, spécialisée dans les logiciels espions comme Pegasus, s'est illustrée par l'utilisation d'attaques "zero-click" sur les iPhones, dont beaucoup ont été utilisés par des gouvernements peu scrupuleux pour espionner des opposants politiques, des journalistes, des avocats et des défenseurs des droits de l'homme. Dans ces cas, le simple fait de recevoir un iMessage - sans même l'ouvrir - suffit à donner un accès à distance à votre iPhone.
Mode isolement
Pour protéger les personnes les plus susceptibles d'être visées par des attaques parrainées par des États, Apple a introduit l'année dernière le mode isolement (lockdown), qui permet de limiter les fonctionnalités d'un iPhone de manière à minimiser le risque de réussite d'une attaque "zéro-clic".
Ce mode n'est destiné qu'aux personnes qui se considèrent comme exposées à un risque sérieux de surveillance gouvernementale. Il réduit considérablement les fonctionnalités de l'iPhone, notamment en bloquant la plupart des pièces jointes aux messages, en désactivant de nombreux sites web, etc.
NSO continue ses recherches
Les chercheurs en sécurité de Citizen Lab ont publié les détails de trois nouveaux hacks NSO pour iPhone. Ils ont été détectés à la fin de l'année dernière, mais l'entreprise n'a pas divulgué les détails jusqu'à ce qu'Apple soit en mesure de corriger son système d'exploitation pour bloquer les attaques.
Le vecteur d'attaque utilisé par deux des trois attaques semble être l'envoi d'un iMessage contenant un logiciel malveillant, qui exploite ensuite des vulnérabilités dans d'autres applications Apple.
L'attaque "PWNYOURHOME" a été déployée contre iOS 15 et iOS 16 à partir d'octobre 2022. Il semble s'agir d'un nouvel exploit en deux étapes sans clic, chaque étape ciblant un processus différent sur l'iPhone. La première étape cible HomeKit, et la deuxième étape cible iMessage.
"FINDMYPWN" a été déployé contre iOS 15 à partir de juin 2022. Il semble également s'agir d'un exploit en deux étapes ; la première étape cible la fonction Find My de l'iPhone, et la deuxième étape cible iMessage.
Nous avons partagé des artefacts forensiques avec Apple en octobre 2022, et des artefacts forensiques supplémentaires concernant PWNYOURHOME en janvier 2023, ce qui a conduit Apple à publier plusieurs améliorations de sécurité pour HomeKit dans iOS 16.3.1.
Après avoir identifié FINDMYPWN et PWNYOURHOME, nous avons découvert des traces du premier zero-click 2022 ("LATENTIMAGE") de NSO Group sur le téléphone d'une seule cible. Cet exploit peut également avoir impliqué la fonction Find My de l'iPhone, mais il s'agit d'une chaîne d'exploitation différente de FINDMYPWN.
Le rapport indique que les appareils sur lesquels le mode verrouillage était activé ont affiché un message d'avertissement.
Pendant une courte période, les cibles qui avaient activé la fonction d'isolement d'iOS 16 ont reçu des avertissements en temps réel lorsque l'exploitation PWNYOURHOME était tentée contre leurs appareils. Bien que le groupe NSO ait pu concevoir par la suite une solution de contournement pour cet avertissement en temps réel, nous n'avons pas vu PWNYOURHOME utilisé avec succès contre des appareils sur lesquels le mode de verrouillage est activé.
Le rapport explique que les attaques avaient été utilisées contre des groupes de défense des droits de l'homme au Mexique. L'année dernière, les Nations unies ont signalé que plus de 100 000 personnes au Mexique ont été enregistrées comme "disparues" et présumées avoir été tuées par un gouvernement qui a une longue tradition de disparition d'opposants politiques sans laisser de traces.
Avez-vous déjà testé ce mode de sécurité extrême sur votre iPhone ? Si oui, pourquoi ?