Des chercheurs de l'équipe Project Zero de Google ont levé le voile sur une opération de piratage iPhone sans précédent, qui attaquait « des milliers d'utilisateurs par semaine » jusqu'à ce qu'elle soit perturbée en janvier. L'opération, qui a duré deux ans et demi, a utilisé une petite collection de sites Web piratés pour transmettre des logiciels malveillants aux iPhone de visiteurs. Les utilisateurs ont été compromis simplement en visitant les sites : aucune interaction n’était nécessaire, et certaines des méthodes utilisées par les pirates informatiques affectaient même des téléphones entièrement mis à jour.Une fois piratées, les données des utilisateurs ont été exposées aux assaillants. Leur emplacement a été téléchargé chaque minute ; Keychain, le gestionnaire de mot de passe de leur appareil, a été chargé ; de même que l'historique de leurs discussions sur des applications populaires telles que WhatsApp, Telegram et iMessage, leur carnet d'adresses et leur base de données Gmail.
Ian Beer est un membre de Project Zero, une équipe de Google qui s’efforce de détecter les failles de sécurité des technologies populaires, quelle que soit leur origine. L’équipe a été sous le feu des critiques en raison de son approche intransigeante en matière de divulgation : 90 jours après avoir signalé un bogue à l'éditeur concerné, elle divulgue publiquement les détails du bogue, que celui-ci ait été corrigé ou non à ce moment-là.
« La mission de Project Zero est de rendre l'exploitation de faille 0-day difficiles. Nous travaillons souvent avec d'autres sociétés pour rechercher et signaler les vulnérabilités en matière de sécurité, l'objectif ultime étant de plaider en faveur d'améliorations structurelles de la sécurité dans les systèmes populaires afin de protéger les personnes partout dans le monde.
« Plus tôt cette année, le groupe d'analyse des menaces (TAG - Threat Analysis Group) de Google a découvert une petite collection de sites Web piratés. Les sites piratés étaient utilisés dans des attaques aveugles par points d'arrêt contre leurs visiteurs, en utilisant une faille 0-day sur iPhone.
« Il n'y avait pas de discrimination de cible; il suffisait de visiter le site piraté pour que le serveur d’exploitation attaque votre appareil et, s’il y parvenait, il installait un implant de surveillance. Nous estimons que ces sites reçoivent des milliers de visiteurs par semaine.
« TAG a pu rassembler cinq chaînes d'exploitation iPhone distinctes, complètes et uniques couvrant presque toutes les versions, d'iOS 10 à la dernière version d'iOS 12, indiquant ainsi qu'un groupe déployait des efforts soutenus pour pirater les utilisateurs d'iPhone de certaines communautés au cours d'une période prolongée. période d'au moins deux ans ».
WhatsApp, Telegram, iMessage, Hangouts, Gmail concernés
Au total, 14 bogues ont été exploités pour l'attaque iOS sur cinq «chaînes d'exploits» différentes - des chaînes de failles reliées entre elles de manière à ce qu'un pirate informatique puisse sauter de bogue en bogue, augmentant ainsi la gravité de leur attaque à chaque fois.
« En travaillant avec TAG, nous avons découvert quatorze vulnérabilités réparties dans les cinq chaînes d’exploits: sept pour le navigateur Web de l’iPhone, cinq pour le noyau et deux échappements de sandbox distincts. L'analyse initiale a indiqué qu'au moins une des chaînes d'élévation de privilèges était encore zero-day et non patchée au moment de la découverte (CVE-2019-7287 & CVE-2019-7286). Nous avons signalé ces problèmes à Apple dans un délai de 7 jours, le 1er février 2019, ce qui a entraîné la sortie d'iOS 12.1.4 le 7 février 2019. Nous avons également partagé les détails complets avec Apple, qui ont été divulgués publiquement. le 7 février 2019 ».
Une fois installé sur le téléphone, le logiciel malveillant s'exécute discrètement en arrière-plan, « il n’y a aucun indicateur visuel permettant de savoir s’il est actif » précise Ian Beer. « Son objectif est le vol de data : fichiers et données de géolocalisation en direct. Le logiciel malveillant renvoie ces données volées à un serveur toutes les 60 secondes », explique l’expert du Project Zero.
Les hackers ont ainsi eu accès à toutes les applications, même celles utilisant le chiffrement de bout en bout comme WhatsApp, Telegram ou iMessage. Le logiciel récupère les photos et vidéos envoyées ou reçues, les coordonnées de tous les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
