Au cours de la dernière décennie, des logiciels espions ont été découverts à plusieurs reprises sur les téléphones de journalistes, d’activistes et de politiciens dans divers pays, ce qui a suscité des inquiétudes quant à la prolifération sans précédent des technologies de spyware et, par conséquent, au manque de protection face à des menaces croissantes.
Vendredi dernier, WhatsApp a révélé avoir découvert une campagne de piratage ciblant environ 90 utilisateurs, principalement des journalistes et des membres de la société civile dans deux douzaines de pays. Selon un porte-parole de l’entreprise, la société israélienne de logiciels espions Paragon Solutions, désormais propriété de la société de capital-investissement AE Industrial Partners basée en Floride, était à l’origine de l’attaque.
Qu’est-ce qu’une capacité zéro clic ?
Graphite, le logiciel espion de Paragon, s’est infiltré dans des groupes WhatsApp en envoyant simplement aux utilisateurs une pièce jointe PDF piégée. À l’insu des utilisateurs, il peut accéder et lire des messages sur des applications chiffrées comme WhatsApp et Signal.
C’est ce qu’on appelle aussi une attaque sans clic, ce qui signifie que les cibles n’ont pas besoin d’entreprendre d’action pour que leurs appareils soient compromis. En revanche, les attaques de phishing ou en un clic nécessitent une interaction de l’utilisateur avec un lien ou une pièce jointe piégée. Une fois qu’un téléphone est infecté par une capacité sans clic, l’opérateur de l’attaque peut secrètement obtenir un accès total au téléphone en exploitant une vulnérabilité de sécurité.
Dans une interview avec ZDNET, Rocky Cole, cofondateur de la société de protection contre les menaces mobiles iVerify, a déclaré que « dans le cas de graphite, via WhatsApp, une sorte de charge utile, comme un PDF ou une image, [a été envoyée aux appareils des victimes] et les processus sous-jacents qui reçoivent et traitent ces paquets présentent des vulnérabilités que les attaquants exploitent [pour] infecter le téléphone. »
Bien que les rapports publics ne précisent pas « si Graphite peut s’engager dans une escalade de privilèges [vulnérabilité] et fonctionner en dehors de WhatsApp ou même pénétrer dans le noyau iOS lui-même, nous savons, grâce à nos propres détections et à d’autres travaux avec des clients, que l’escalade de privilèges via WhatsApp afin d’obtenir un accès au noyau est en effet possible », a déclaré Cole.
iVerify a découvert des cas où « un certain nombre de plantages de WhatsApp sur des appareils [mobiles] [qu’ils] surveillent avec iVerify » semblaient de nature malveillante, ce qui a conduit l’équipe à penser que les attaques malveillantes sont « potentiellement plus répandues » que les 90 personnes signalées comme ayant été infectées par Graphite.
Alors que l’attaque WhatsApp a été principalement lancée contre des membres de la société civile, les logiciels espions mobiles sont une menace émergente contre quiconque car l’exploitation mobile est plus répandue qu’on ne pourrait le penser, estime Rocky Cole. De plus, « le résultat est un écosystème émergent autour du développement de logiciels espions mobiles et un nombre croissant de sociétés de logiciels espions mobiles soutenues par des capital-risqueurs sont « sous pression pour devenir des entreprises rentables », ajoute-t-il.
Cela crée une « concurrence marketing » pour les vendeurs de logiciels espions et « abaisse les barrières » qui dissuaderaient ces attaques d’exploitation mobile.
Il y a à peine un mois, WhatsApp a remporté un procès contre NSO après qu’un juge fédéral de Californie a découvert que le groupe exploitait une vulnérabilité de sécurité dans l’application de messagerie pour diffuser Pegasus. Tristement célèbre pour avoir infecté les téléphones de journalistes, d’activistes et d’organisations de défense des droits des Palestiniens, NSO a utilisé des capacités de zéro clic via son logiciel espion Pegasus conçu en Israël, un logiciel espion commercial et un outil de piratage téléphonique.
Historiquement, le groupe NSO a évité de vendre à des clients basés aux États-Unis et a également été interdit par le ministère américain du Commerce sous l’administration Biden pour avoir prétendument fourni des logiciels espions à des régimes autoritaires. Cependant, « l’évolution de la dynamique politique [sous l’administration Trump] soulève la possibilité que les logiciels espions deviennent plus répandus aux États-Unis », exacerbant l’exploitation mobile.
« Et le monde n’est absolument pas préparé à faire face à cela », prévient Rocky Cole.
Bonnes pratiques pour protéger votre appareil
Cole conseille aux usagers de traiter leur téléphone comme un ordinateur. Cela signifie que, tout comme on appliquerait « un ensemble de bonnes pratiques qui existent pour protéger les terminaux traditionnels comme les ordinateurs portables, contre l’exploitation et la compromission, ces mêmes normes et pratiques devraient simplement être appliquées aux téléphones ». Cela inclut un redémarrage quotidien du téléphone car « beaucoup de ces exploits n’existent que dans la mémoire. Ce ne sont pas des fichiers, et si vous redémarrez votre téléphone, en théorie, vous devriez également pouvoir effacer le malware », explique-t-il.
Cependant, Rocky Cole souligne que s’il s’agit d’une fonctionnalité zéro clic comme Graphite ou Pegasus, vous pouvez facilement être réinfecté, c’est pourquoi il est recommandé d’utiliser un outil de sécurité mobile pour savoir si vous avez été ciblé.
Vous pouvez également essayer le mode de verrouillage si vous utilisez un appareil Apple. Selon Cole, « le mode de verrouillage a pour effet de réduire certaines fonctionnalités des applications connectées à Internet [ce qui peut], d’une certaine manière, réduire la surface d’attaque dans une certaine mesure. »
La seule façon de se défendre véritablement contre les fonctionnalités zero-click est de corriger les vulnérabilités sous-jacentes. Comme le remarque Rocky Cole, cela signifie que seuls Apple, Google et les développeurs d’applications peuvent le faire. « En tant qu’utilisateur final, il est donc essentiel que lorsqu’un nouveau correctif de sécurité est disponible, vous l’appliquiez dès que possible. »