Des chercheurs ont découvert trois nouvelles méthodes mises en place par NSO pour hacker les iPhone. Ces attaques auraient ciblé des membres de la société civile mexicaine en 2022. Le mode Isolement d’Apple aurait été dans l’ensemble efficace.
Nouvel épisode qui vise NSO Group, la société israélienne dont les logiciels espions ont été épinglés dans l’affaire Pegasus. Citizen Lab, l’organisme de surveillance de l’internet de l’université de Toronto au Canada, a détecté trois nouvelles méthodes de piratage utilisées par cette entreprise contre des iPhone. Ce laboratoire de recherche analyse régulièrement les téléphones hackés pour comprendre comment une attaque s’est produite – information ensuite communiquée à Apple qui corrige le problème.
Cette fois, les attaques en question se sont produites en 2022 au Mexique, rapporte Citizen Lab dans son rapport du mardi 18 avril. Les logiciels de NSO, capables de capturer des données, d’enregistrer des appels et d’activer l’appareil photo à l’insu de l’utilisateur, ont visé des militants des droits de l’homme qui enquêtaient sur l’enlèvement de 43 étudiants au Mexique en 2015, ainsi que sur d’autres « abus militaires présumés ». Les cibles des hackeurs étaient des membres du Centre des droits de l’homme Miguel Agustín Pro Juárez AC, connu sous le nom de « Centro Prodh » au Mexique. Selon Apple, seul un très petit nombre de personnes aurait été concerné.
Des attaques en deux temps
Les pirates ont visé des versions récentes du système d’exploitation iOS d’Apple, toujours avec des logiciels « zéro-click », des outils qui s’installent quasi automatiquement sans que la victime ait à cliquer sur un lien ou à télécharger une pièce jointe. Les iPhone hackés étaient équipés de l’iOS 15 et des premières versions d’iOS 16, explique Citizen Lab. Les résultats ont été communiqués à Apple, qui a indiqué avoir corrigé les failles. Les méthodes, que le laboratoire de recherche appelle « PWNYOURHOME », « FINDMYPWN », et « LATENTIME », utilisent les services intégrés d’Apple pour attaquer les iPhone, dont « HomeKit » et « Find My iPhone » (la fonction qui permet de localiser un smartphone perdu). La première, PWNYOURHOME, aurait été lancée en octobre 2022. Les pirates auraient procédé en deux étapes : ils seraient passés par « HomeKit » puis par l’application iMessage. Apple aurait corrigé la vulnérabilité dans la mise à jour iOS 16.3.1.
La seconde, « FINDMYPWN », date de juin 2022. Elle cible la fonction « Find My iPhone » des appareils iOS 15.5 et iOS 15.6, et a permis aux hackeurs d’écrire et de supprimer des éléments dans le répertoire du cache. La troisième, « LATENTIME », aurait été observée début janvier 2022 sur les iPhone utilisant un logiciel d’exploitation iOS 15.1.1. Les pirates seraient aussi passés par la même fonction de localisation du smartphone – puis par l’app iMessage, mais le point d’accès initial n’a pas été confirmé.
Bonne nouvelle, l’utilisation du mode « Lockdown » d’Apple (Isolement en français), mis en place en 2022, aurait fonctionné. Ce mode limite le fonctionnement du téléphone et s’adresse aux utilisateurs susceptibles d’être ciblés par des logiciels espions. Il alerte aussi les utilisateurs de la tentative d’attaque visible à travers l’écran de notification – alerte qui aurait été bien reçue par les cibles des logiciels de NSO. Mais Citizen Lab a averti qu’il était possible que NSO ait réussi à trouver un moyen de contourner les protections du Lockdown Mode, bien qu’il n’ait pas été témoin d’un tel contournement.
Les techniques d’attaque vont continuer d’évoluer, prévient Citizen Lab
Contacté par nos confrères du Washington Post, NSO a déclaré que l’entreprise « adhère à une réglementation stricte et que sa technologie est utilisée par ses clients gouvernementaux pour lutter contre le terrorisme et la criminalité dans le monde entier ». Le porte-parole a ajouté que « Citizen Lab a produit à plusieurs reprises des rapports incapables de déterminer la technologie utilisée et refuse de partager ses données sous-jacentes ». En 2021, la société avait été placée sur liste noire aux États-Unis en raison de ce que le ministère du Commerce américain avait qualifié de « cyberactivités malveillantes ».
À lire aussi : iOS : après Pegasus, un nouveau spyware compromet les iPhone pour les espionner
Pour les chercheurs, les logiciels de NSO « restent une menace et ses techniques d’attaque continuent d’évoluer ». Ces derniers conseillent à toutes les personnes susceptibles de subir ces attaques d’activer le mode Isolement. En mars dernier, Joe Biden a signé un décret qui interdit aux agences gouvernementales américaines d’utiliser les services de sociétés d’espionnage comme NSO qui représentent une menace pour la sécurité nationale ou les droits de l’homme. Ce décret avait été suivi d’une déclaration commune, signée par une dizaine de pays dont la France, qui s’engage à « contrer la prolifération et les mauvais usages des logiciels espions commerciaux ». Sans surprise, le Mexique, régulièrement critiqué pour utiliser ce type de logiciels espions contre des journalistes et des défenseurs des droits, n’a pas fait partie des signataires.
Source :
Rapport de Citizen Lab