Pegasus: 23 téléphones Apple ont été piratés avec succès

Une enquête internationale révèle que 23 appareils Apple ont été piratés avec succès.

Le texte envoyé le mois dernier à l’iPhone 11 de Claude Mangin, l’épouse française d’un militant politique emprisonné au Maroc, n’était pas sonore. Il n’a produit aucune image. Il n’offrait aucun avertissement d’aucune sorte alors qu’un iMessage provenant de quelqu’un qu’elle ne connaissait pas envoyait un logiciel malveillant directement sur son téléphone, en passant outre les systèmes de sécurité d’Apple.

Une fois à l’intérieur, le logiciel espion, produit par la société israélienne NSO Group et concédé sous licence à l’un de ses clients gouvernementaux, s’est mis au travail, selon l’examen médico-légal de son appareil par le laboratoire de sécurité d’Amnesty International. Cet examen a révélé qu’entre octobre et juin, son téléphone a été piraté à plusieurs reprises avec Pegasus, l’outil de surveillance caractéristique de NSO, alors qu’elle se trouvait en France.

L’examen n’a pas permis de révéler ce qui a été collecté. Mais le potentiel était vaste : Pegasus peut recueillir des courriels, des enregistrements d’appels, des messages sur les médias sociaux, des mots de passe d’utilisateurs, des listes de contacts, des photos, des vidéos, des enregistrements sonores et des historiques de navigation, selon des chercheurs en sécurité et des documents marketing de NSO. Le logiciel espion peut activer des caméras ou des microphones pour capturer des images et des enregistrements récents. Il peut écouter les appels et les messages vocaux. Il peut collecter les journaux de localisation des endroits où un utilisateur a été et déterminer où il se trouve actuellement, ainsi que des données indiquant si la personne est immobile ou, si elle se déplace, dans quelle direction.

Et tout cela peut se produire sans que l’utilisateur ne touche son téléphone ou ne sache qu’il a reçu un message mystérieux d’une personne inconnue – dans le cas de Mangin, un utilisateur de Gmail répondant au nom de « linakeller2203 ».

Ces types d’attaques « zéro-clic », comme on les appelle dans le secteur de la surveillance, peuvent fonctionner même sur les dernières générations d’iPhones, après des années d’efforts au cours desquelles Apple a tenté de fermer la porte à la surveillance non autorisée – et a construit des campagnes de marketing en affirmant qu’elle offrait une meilleure confidentialité et une meilleure sécurité que ses rivaux.

Le numéro de Mangin figurait sur une liste de plus de 50 000 numéros de téléphone provenant de plus de 50 pays que le Post et 16 autres organisations ont examinée. Forbidden Stories, une organisation de journalisme à but non lucratif basée à Paris, et le groupe de défense des droits de l’homme Amnesty International ont eu accès à ces numéros et les ont partagés avec le Post et ses partenaires, dans le but d’identifier les personnes à qui appartiennent ces numéros et de les persuader d’autoriser l’examen médico-légal des données de leurs téléphones.

Depuis des années, Mme Mangin mène une campagne internationale pour obtenir la libération de son mari, le militant Naama Asfari, membre de l’ethnie sahraouie et défenseur de l’indépendance du Sahara occidental, qui a été emprisonné en 2010 et prétendument torturé par la police marocaine, ce qui a suscité un tollé international et une condamnation des Nations unies.

« Quand j’étais au Maroc, je savais que des policiers me suivaient partout », a déclaré Mangin dans une interview vidéo réalisée début juillet depuis son domicile en banlieue parisienne. « Je n’ai jamais imaginé que cela pouvait être possible en France ».

Surtout pas par le biais des produits Apple qui, selon elle, la mettaient à l’abri de l’espionnage, a-t-elle dit. La même semaine où elle s’est assise pour une interview sur le piratage de son iPhone 11, un deuxième smartphone qu’elle avait emprunté – un iPhone 6s – était également infecté par Pegasus, a montré un examen ultérieur.

Des chercheurs ont documenté des infections de l’iPhone par Pegasus des dizaines de fois ces dernières années, remettant en cause la réputation de sécurité supérieure d’Apple par rapport à ses principaux rivaux, qui utilisent les systèmes d’exploitation Android de Google.

L’enquête menée pendant des mois par le Post et ses partenaires a permis de trouver d’autres preuves pour alimenter ce débat. Le laboratoire de sécurité d’Amnesty a examiné 67 smartphones dont le numéro figurait sur la liste des histoires interdites et a trouvé des preuves médico-légales d’infections ou de tentatives d’infections par Pegasus dans 37 d’entre eux. Parmi ceux-ci, 34 étaient des iPhones – 23 montrant des signes d’infection réussie par Pegasus et 11 montrant des signes de tentative d’infection.

Seuls trois des 15 téléphones Android examinés présentaient des signes de tentative de piratage, mais c’est probablement parce que les journaux d’Android ne sont pas assez complets pour stocker les informations nécessaires à l’obtention de résultats concluants, ont indiqué les enquêteurs d’Amnesty.

Néanmoins, le nombre de fois où Pegasus a été implanté avec succès sur un iPhone souligne la vulnérabilité de ses modèles, même les plus récents. Parmi les téléphones piratés figurait un iPhone 12 équipé des dernières mises à jour logicielles d’Apple.

Dans une évaluation distincte publiée dimanche, le Citizen Lab de l’Université de Toronto a approuvé la méthodologie d’Amnesty. Citizen Lab a également noté que ses recherches précédentes avaient trouvé des infections de Pegasus sur un iPhone 12 Pro Max et deux iPhone SE2, tous fonctionnant avec des versions 14.0 ou plus récentes du système d’exploitation iOS, sorti pour la première fois l’année dernière.

Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple, a défendu les efforts de sécurité de son entreprise.

« Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits de l’homme et les autres personnes qui cherchent à rendre le monde meilleur. Depuis plus d’une décennie, Apple est à la tête du secteur en matière d’innovation dans le domaine de la sécurité et, par conséquent, les chercheurs en sécurité s’accordent à dire que l’iPhone est l’appareil mobile grand public le plus sûr du marché », a-t-il déclaré dans un communiqué. « Les attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu’elles ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données. »

Apple a gravé sa réputation de protecteur de la vie privée des utilisateurs lors de son combat juridique très médiatisé avec le FBI en 2016 pour savoir si l’entreprise pouvait être forcée de déverrouiller un iPhone utilisé par l’un des assaillants de la fusillade de masse de San Bernardino, en Californie, l’année précédente. Le FBI s’est finalement retiré de l’affrontement juridique lorsqu’il a trouvé une entreprise de cybersécurité australienne, Azimuth Security, capable de déverrouiller l’iPhone 5c sans l’aide d’Apple.

Les chercheurs extérieurs félicitent Apple pour sa prise de position – et pour avoir continué à améliorer sa technologie avec chaque nouvelle génération d’iPhones. L’année dernière, la société a discrètement introduit BlastDoor, une fonction qui vise à empêcher les logiciels malveillants transmis par iMessages d’infecter les iPhones, ce qui rend les attaques de type Pegasus plus difficiles.

Les conclusions de l’enquête sont également susceptibles d’alimenter un débat sur la question de savoir si les entreprises technologiques ont fait suffisamment pour protéger leurs clients contre les intrusions indésirables. La vulnérabilité des smartphones et leur adoption généralisée par les journalistes, les diplomates, les défenseurs des droits de l’homme et les hommes d’affaires du monde entier – ainsi que par les criminels et les terroristes – ont donné naissance à une industrie robuste offrant des outils de piratage disponibles dans le commerce à ceux qui sont prêts à payer.

La surveillance invisible : Comment les logiciels espions piratent secrètement les smartphones

Une enquête menée par un consortium d’organisations médiatiques a révélé que des logiciels espions de qualité militaire sous licence d’une entreprise israélienne ont été utilisés pour pirater des smartphones. (Jon Gerberg/The Washington Post)
NSO, par exemple, a déclaré 240 millions de dollars de revenus l’année dernière, et il existe de nombreuses autres sociétés qui proposent des logiciels espions similaires.

Dimanche, le directeur général de NSO, Shalev Hulio, a déclaré au Post qu’il était contrarié par les rapports de l’enquête selon lesquels des téléphones appartenant à des journalistes, des militants des droits de l’homme et des fonctionnaires avaient été ciblés par le logiciel de sa société, même s’il a contesté d’autres allégations rapportées par le Post et ses organismes de presse partenaires. Il a promis une enquête. « Chaque allégation d’utilisation abusive du système me concerne », a déclaré Hulio. « Cela viole la confiance que nous accordons au client ».

Apple n’est pas le seul à devoir faire face à des intrusions potentielles. L’autre grande cible de Pegasus est le système d’exploitation Android de Google, qui équipe les smartphones de Samsung, LG et d’autres fabricants.

Kaylin Trychon, porte-parole de Google, a déclaré que Google dispose d’une équipe d’analyse des menaces qui suit NSO Group et d’autres acteurs de la menace et que la société envoie chaque mois plus de 4 000 avertissements aux utilisateurs concernant des tentatives d’infiltration par des attaquants, y compris ceux soutenus par le gouvernement.

Elle a ajouté que l’absence de journaux qui aident les chercheurs à déterminer si un appareil Android a été attaqué était également une décision de sécurité.

« Si nous comprenons que des journaux persistants seraient plus utiles pour des utilisations médico-légales telles que celles décrites par les chercheurs d’Amnesty International, ils seraient également utiles aux attaquants. Nous devons continuellement trouver un équilibre entre ces différents besoins », a-t-elle déclaré.

Les défenseurs des droits de l’homme affirment que l’incapacité à empêcher le piratage des smartphones menace la démocratie dans un grand nombre de pays en compromettant la collecte d’informations, l’activité politique et les campagnes contre les atteintes aux droits de l’homme. La plupart des pays n’ont que peu ou pas de réglementation efficace de l’industrie des logiciels espions ou de la manière dont ses outils sont utilisés.

« Si nous ne les protégeons pas et ne leur fournissons pas les outils nécessaires pour effectuer ce travail dangereux, nos sociétés ne s’amélioreront pas », a déclaré Adrian Shahbaz, directeur de la technologie et de la démocratie pour Freedom House, un groupe de réflexion pro-démocratie basé à Washington. « Si tout le monde a peur de s’attaquer aux puissants parce qu’ils en craignent les conséquences, alors ce serait désastreux pour l’état de la démocratie. »

Hatice Cengiz, la fiancée de Jamal Khashoggi, le chroniqueur du Washington Post assassiné, a déclaré qu’elle utilisait un iPhone parce qu’elle pensait qu’il offrirait une protection robuste contre les pirates informatiques.

« Pourquoi ont-ils dit que l’iPhone est plus sûr ? » a déclaré Mme Cengiz lors d’une interview réalisée en juin en Turquie, où elle vit. Son iPhone fait partie des 23 appareils pour lesquels on a trouvé des preuves médico-légales de l’intrusion réussie de Pegasus. L’infiltration a eu lieu dans les jours qui ont suivi la mort de Khashoggi en octobre 2018, selon l’examen de son téléphone.

NSO a déclaré dans un communiqué qu’il n’avait trouvé aucune preuve que le téléphone de Cengiz avait été ciblé par Pegasus. « Notre technologie n’a été associée en aucune façon au meurtre odieux de Jamal Khashoggi », a déclaré l’entreprise.

Une comparaison directe de la sécurité des systèmes d’exploitation d’Apple et de Google et des appareils qui les utilisent n’est pas possible, mais les rapports de piratage d’iPhones se sont multipliés ces dernières années, les chercheurs en sécurité ayant découvert des preuves que les attaquants avaient trouvé des vulnérabilités dans des applications iPhone largement utilisées comme iMessage, Apple Music, Apple Photos, FaceTime et le navigateur Safari.

L’enquête a révélé qu’iMessage – l’application de messagerie intégrée qui permet de discuter de manière transparente entre utilisateurs d’iPhone – a joué un rôle dans 13 des 23 infiltrations réussies d’iPhones. IMessage était également le mode d’attaque dans six des 11 tentatives infructueuses que le laboratoire de sécurité d’Amnesty a identifiées grâce à ses examens médico-légaux.

Selon les chercheurs en sécurité, l’une des raisons pour lesquelles iMessage est devenu un vecteur d’attaque est que l’application a progressivement ajouté des fonctionnalités, ce qui crée inévitablement davantage de vulnérabilités potentielles.

« Ils ne peuvent pas rendre iMessage sûr », a déclaré Matthew Green, professeur de sécurité et de cryptologie à l’université Johns Hopkins. « Je ne dis pas que ça ne peut pas être corrigé, mais c’est plutôt mauvais ».

Un problème clé : IMessage permet à des inconnus d’envoyer des messages à des utilisateurs d’iPhone sans que le destinataire n’en soit averti ou n’ait donné son accord, une fonctionnalité qui permet aux pirates de faire les premiers pas vers une infection sans être détectés. Les chercheurs en sécurité mettent en garde contre cette faiblesse depuis des années.

« Votre iPhone, et un milliard d’autres appareils Apple prêts à l’emploi, exécutent automatiquement un logiciel peu sûr pour prévisualiser les iMessages, que vous fassiez confiance à l’expéditeur ou non », a déclaré le chercheur en sécurité Bill Marczak, membre du Citizen Lab, un institut de recherche basé à la Munk School of Global Affairs & Public Policy de l’Université de Toronto. « N’importe quel étudiant en sécurité informatique pourrait repérer la faille ici ».

Le projet zéro de Google, qui recherche des bogues exploitables dans toute une série d’offres technologiques et publie ses conclusions publiquement, a signalé l’année dernière dans une série de billets de blog les vulnérabilités d’iMessage.

L’application de chat chiffré Signal a adopté l’année dernière de nouvelles protections exigeant l’approbation de l’utilisateur lorsqu’un utilisateur inconnu tente d’initier un appel ou un texte – une protection qu’Apple n’a pas mise en place avec iMessage. Les utilisateurs d’iPhones peuvent choisir de filtrer les utilisateurs inconnus en activant une fonction dans les paramètres de leur appareil, bien que les recherches menées depuis de nombreuses années montrent que les utilisateurs ordinaires d’appareils ou d’applications tirent rarement parti de ces contrôles granulaires.

Dans un courriel de 2 800 mots répondant aux questions du Post et qui, selon Apple, ne pouvait être cité directement, la société a déclaré que les iPhones limitent sévèrement le code qu’un iMessage peut exécuter sur un appareil et qu’elle dispose de protections contre les logiciels malveillants arrivant de cette manière. BlastDoor examine les aperçus Web et les photos à la recherche de contenus suspects avant que les utilisateurs ne puissent les visualiser, mais n’a pas donné de détails sur ce processus. Elle n’a pas répondu à la question de savoir si elle envisageait de restreindre les messages provenant d’expéditeurs ne figurant pas dans le carnet d’adresses d’une personne.

L’analyse technique d’Amnesty a également révélé que les clients de NSO utilisent des sociétés de services Internet commerciales, notamment Amazon Web Services, pour diffuser le malware Pegasus sur les téléphones ciblés. (Le président exécutif d’Amazon, Jeff Bezos, est propriétaire du Post).

Kristin Brown, une porte-parole d’Amazon Web Services, a déclaré : « Lorsque nous avons appris cette activité, nous avons agi rapidement pour fermer l’infrastructure et les comptes concernés. »

De dures leçons

L’infiltration des iPhones de Mangin met en évidence les leçons difficiles à tirer en matière de vie privée à l’ère des smartphones : Rien de ce qui se trouve sur un appareil n’est entièrement sûr. Dépenser plus pour un smartphone haut de gamme ne change rien à cette réalité, surtout si les services de renseignement ou les forces de l’ordre d’un pays veulent s’y introduire. NSO a indiqué le mois dernier qu’elle comptait 60 clients gouvernementaux dans 40 pays, ce qui signifie que certaines nations ont plus d’une agence sous contrat.
Les nouvelles mesures de sécurité ont souvent un coût pour les consommateurs en termes de facilité d’utilisation, de rapidité des applications et d’autonomie de la batterie, ce qui suscite des luttes internes dans de nombreuses entreprises technologiques pour savoir si ces compromis en termes de performances valent la résistance accrue au piratage que ces mesures apportent.

Un ancien employé d’Apple, qui s’est exprimé sous couvert d’anonymat parce qu’Apple exige de ses employés qu’ils signent des accords leur interdisant de commenter presque tous les aspects de l’entreprise, même après leur départ, a déclaré qu’il était difficile de communiquer avec les chercheurs en sécurité qui signalaient des bogues dans les produits Apple parce que le département marketing de l’entreprise s’interposait.

« Le marketing pouvait mettre son veto sur tout », a déclaré cette personne. « Nous avions tout un tas de réponses en boîte que nous utilisions encore et encore. C’était incroyablement ennuyeux et cela ralentissait tout. »

Apple restreint également l’accès des chercheurs extérieurs à iOS, le système d’exploitation mobile utilisé par les iPhones et les iPads, d’une manière qui rend l’investigation du code plus difficile et limite la capacité des consommateurs à découvrir quand ils ont été piratés, disent les chercheurs.

Dans sa réponse par courriel aux questions du Post, Apple a déclaré que son équipe de marketing produit n’avait son mot à dire que dans certaines interactions entre les employés d’Apple et les chercheurs en sécurité extérieurs, et uniquement pour garantir la cohérence des messages de l’entreprise sur les nouveaux produits. Elle a déclaré qu’elle s’engageait à fournir des outils aux chercheurs en sécurité externes et a vanté son programme Security Research Device Program, dans le cadre duquel la société vend des iPhones avec un logiciel spécial que les chercheurs peuvent utiliser pour analyser iOS.

Les critiques – tant à l’intérieur qu’à l’extérieur de l’entreprise – affirment qu’Apple devrait également se concentrer davantage sur le suivi du travail de ses adversaires les plus sophistiqués, notamment NSO, afin de mieux comprendre les exploits de pointe que les attaquants développent. Ces critiques affirment que l’équipe de sécurité de l’entreprise a tendance à se concentrer davantage sur la sécurité globale, en déployant des fonctionnalités qui déjouent la plupart des attaques, mais qui peuvent échouer à stopper les attaques sur les personnes soumises à la surveillance du gouvernement – un groupe qui comprend souvent des journalistes, des politiciens et des militants des droits de l’homme tels que Mangin.

« C’est une situation où vous travaillez toujours avec un déficit d’information. Vous ne savez pas grand-chose de ce qui existe », a déclaré un ancien ingénieur d’Apple, s’exprimant sous couvert d’anonymat car Apple ne permet pas aux anciens employés de s’exprimer publiquement sans l’autorisation de l’entreprise. « Quand vous avez un adversaire qui a de bonnes ressources, différentes choses sont sur la table ».

Dans son courriel au Post, Apple a déclaré qu’au cours des dernières années, elle a considérablement élargi son équipe de sécurité axée sur la traque des adversaires sophistiqués. Apple a déclaré dans son courrier électronique qu’elle se distingue de ses concurrents en choisissant de ne pas discuter publiquement de ces efforts, se concentrant plutôt sur la mise en place de nouvelles protections pour ses logiciels. Globalement, son équipe de sécurité a été multipliée par quatre au cours des cinq dernières années, précise Apple.

Le modèle économique d’Apple repose sur la sortie annuelle de nouveaux iPhones, son produit phare qui génère la moitié de ses revenus. Chaque nouvel appareil, qui est généralement accompagné d’une mise à jour du système d’exploitation disponible pour les utilisateurs d’appareils plus anciens, comporte de nombreuses nouvelles fonctionnalités, ainsi que ce que les chercheurs en sécurité appellent de nouvelles « surfaces d’attaque ».

Les employés actuels et anciens d’Apple, ainsi que les personnes qui travaillent avec la société, affirment que le calendrier de sortie des produits est harassant et que, comme il y a peu de temps pour vérifier que les nouveaux produits ne présentent pas de failles de sécurité, cela conduit à une prolifération de nouveaux bogues que les chercheurs en sécurité de sociétés comme NSO Group peuvent utiliser pour pénétrer dans les appareils les plus récents.

Dans le courriel qu’elle a envoyé au Post, Apple a déclaré qu’elle utilisait des outils automatisés et des chercheurs internes pour détecter la grande majorité des bogues avant qu’ils ne soient publiés et qu’elle était la meilleure entreprise du secteur.

Apple a également été un retardataire relatif en matière de « bug bounties », où les entreprises paient des chercheurs indépendants pour trouver et divulguer des failles logicielles qui pourraient être utilisées par des pirates dans des attaques.

Krstić, le principal responsable de la sécurité d’Apple, a poussé pour un programme de bug bounty qui a été ajouté en 2016, mais certains chercheurs indépendants disent qu’ils ont cessé de soumettre des bugs par le biais du programme parce qu’Apple a tendance à payer de petites récompenses et que le processus peut prendre des mois ou des années.

La semaine dernière, Nicolas Brunner, un ingénieur iOS pour les Chemins de fer fédéraux suisses, a détaillé dans un billet de blog comment il a soumis un bug à Apple qui permettait à quelqu’un de suivre en permanence la localisation d’un utilisateur d’iPhone à son insu. Il a déclaré qu’Apple n’a pas communiqué, a mis du temps à corriger le bug et ne l’a finalement pas payé.

Interrogé sur le billet de blog, un porte-parole d’Apple a fait référence à l’e-mail d’Apple dans lequel l’entreprise affirme que son programme de primes aux bugs est le meilleur du secteur et qu’elle verse des récompenses plus élevées que toute autre entreprise. Rien qu’en 2021, Apple a versé des millions de dollars à des chercheurs en sécurité, selon le courriel.

Les personnes connaissant les opérations de sécurité d’Apple affirment que M. Krstić a amélioré la situation, mais l’équipe de sécurité d’Apple reste connue pour sa discrétion, refusant de faire des présentations lors de conférences telles que la très courue conférence Black Hat sur la cybersécurité qui se tient chaque été à Las Vegas, où d’autres entreprises technologiques sont devenues incontournables.

Une fois qu’un bug est signalé à Apple, un code de couleur lui est attribué, ont déclaré d’anciens employés connaissant bien le processus. Le rouge signifie que le bug est activement exploité par des attaquants. L’orange, le niveau inférieur suivant, signifie que le bug est sérieux mais qu’il n’y a pas de preuve qu’il ait été exploité à ce jour. La correction des bugs orange peut prendre des mois, et c’est l’équipe d’ingénierie, et non la sécurité, qui décide du moment où cela se produit.

D’anciens employés d’Apple ont relaté plusieurs cas dans lesquels des bogues qui n’étaient pas considérés comme sérieux ont été exploités contre des clients entre le moment où ils ont été signalés à Apple et celui où ils ont été corrigés.

Apple a déclaré dans son courriel qu’aucun système n’est parfait, mais qu’elle corrige rapidement les failles de sécurité graves et continue d’investir dans l’amélioration de son système d’évaluation de la gravité des bogues.

Mais les chercheurs en sécurité externes disent qu’ils ne peuvent pas être sûrs du nombre d’utilisateurs d’iOS qui sont exploités parce qu’Apple rend difficile pour les chercheurs d’analyser les informations qui indiqueraient des exploits.

« Je pense que nous voyons la partie émergée de l’iceberg pour le moment », a déclaré Costin Raiu, directeur de l’équipe de recherche et d’analyse mondiale de la société de cybersécurité Kaspersky Lab. « Si vous l’ouvrez et donnez aux gens les outils et la capacité d’inspecter les téléphones, vous devez être prêt pour le cycle de nouvelles qui sera principalement négatif. Cela demande du courage ».

The Washington Post, 19/07/2021

Etiquettes : Pegasus, NSO Group, Logiciels espions, Appel, hacking, piratage,