Pendant 3 ans, des cybercriminels ont multiplié des attaques auprès des utilisateurs d’iPhone. Entre 2019 et 2022, une faille de sécurité localisée dans iMessage a été exploitée par un attaquant pour espionner Kaspersky, la société de cybersécurité russe. Plusieurs employés de cette société installée à Moscou ont ainsi été ciblés avec à la clé le vol de données personnelles et sensibles : photos, enregistrements audio… L’attaque a été baptisée « Triangulation« .
Dans les faits, il s’agissait d’une chaîne d’attaques qui se décompose en plusieurs séquences. Kaspersky la décrit comme la cyberattaque « la plus sophistiquée » jamais rencontrée, au point qu’elle a été au coeur d’une conférence lors du 37e Chaos Communication Congress à Hambourg.
Pour mettre en place l’attaque, il aura fallu exploite 4 failles de sécurité différentes présentes au sein d’iOS. 4 failles zero-day cumulées permettant en bout de chaine d’obtenir un accès administrateur système pour déployer à loisir des commandes malveillantes et opérer un contrôle quasi total à distance. Toute l’attaque repose sur des brèches zéro click : il n’y a même pas besoin que la victime appuie sur un quelconque bouton ou sur son écran, pas besoin de la manipuler pour obtenir les accès.
C’est une pièce jointe qui est initialement transférée sur iMessage et travaille en arrière-plan sans informer la victime. Elle exploite une vulnérabilité d’exécution de code à distance dans un fichier de police TrueType. Cela permet d’exploiter 2 autres failles avant de finaliser l’attaque via une faille dans le navigateur Safari qui permet non seulement d’ancrer le module-espion, mais également d’effacer les traces de la mise en place de ce dernier.
Kaspersky indique qu’une partie du déroulement de l’attaque reste encore un mystère, et que les failles exploitées étaient en place jusqu’à la sortie d’iOS 16.2 sorti en décembre 2022.
La société pointe également du doigt Apple et son concept de « sécurité par l’obscurité » comme étant ce qui a permis à l’opération de piratage d’être menée. Apple conserve pour elle le fonctionnement de son système iOS, ce qui limite grandement le travail des développeurs tiers qui pourraient découvrir des failles ou repérer plus facilement des attaques en cours.