Failles Trident sur iOs et Spyware Pegasus : tout comprendre sur cette attaque qui a fait trembler Apple

Sécurité des applications
Failles Trident sur iOs et Spyware Pegasus : tout comprendre sur cette attaque qui a fait trembler Apple

Si vous avez récemment mis à jour votre iPhone avec la version 9.3.5 d’iOs, il est possible que vous ayez entendu parler de Pegasus. Il s’agit d’un spyware qui exploitait 3 vulnérabilités critiques sur iPhone (Trident), et qui ont justement été corrigées par cette mise à jour. Et si votre iPhone n’est pas encore à jour alors faites le tout de suite, vous comprendrez pourquoi c’est important en lisant la suite.

Nous allons dans cet article revenir sur ce spyware assez exceptionnel tant par sa nature que par la façon dont il a été découvert.

Un malware détecté sur un coup de bol

Les 3 vulnérabilités corrigées récemment par Apple ont été découvertes grâce à Amhed Mansoor, un activiste émirati défenseur des droits de l’homme aux Emirats Arabe Unis. Ce dernier a en effet reçu plusieurs messages suspects sur son iPhone 6 le 10 Août dernier, contenant des liens vers des informations « exclusives » concernant des abus du régime. 

Comme on peut le voir sur ces photos, ces messages contenaient des liens sur lesquels il était fortement incité à cliquer. Mais Ahmed Mansoor a eu le bon réflexe, et au lieu d’ouvrir les liens il a transmis les messages suspects au Citizen Lab, une entité de l’université de Toronto, spécialisée en cybersécurité. Cette dernière travaille en collaboration avec l’entreprise Lookout Security. Il faut dire qu’il avait déjà été victime d’attaques en 2011 et 2012, donc le monsieur était plutôt habitué à être la cible d’attaquants en tout genre.

Un bilan très lourd

Les chercheurs de Citizen Lab, épaulés par Lookout Security, ont alors analysés ces informations, qui leur ont permis de découvrir pas moins de 3 vulnérabilités critiques dites « 0-day ». Un simple clic sur les liens reçus par Ahmed Mansoor aurait en effet permis aux pirates de prendre le contrôle à distance de son iPhone, en y installant un logiciel espion qui aurait enregistré l’ensemble des données : conversations téléphoniques, SMS, identifiants et mots de passe, etc.

Les trois vulnérabilités, appelées « Trident » sont les suivantes :

  • La première vulnérabilité exploitée (CVE-2016-4657) se trouve au sein de la bibliothèque WebKit, utilisée par Safari. Elle permet d’exécuter du code arbitraire sur l’iPhone à travers une page Web (d’où la présence de liens dans les messages).
  • La seconde vulnérabilité (CVE-2016-4655) est utilisée pour localiser les zones mémoire du kernel, donnant ainsi à l’attaquant les informations nécessaires pour poursuivre l’attaque.
  • En enfin la 3ème vulnérabilité (CVE-2016-4656) permet de modifier ces zones mémoires, donnant ainsi la possibilité de supprimer les différentes couches de protection applicative de l’iPhone. Il est ainsi possible de « jailbreaker » l’iPhone ciblé à distance et de façon transparente.

Concrètement si la cible clique sur les liens reçus par message, l’attaque se déroule de la façon suivante :

  • La 1ère vulnérabilité est utilisée pour exécuter du code arbitraire sur l’iPhone, code présent sur les pages vers lesquelles pointent les liens envoyés dans les messages.
  • La seconde et la troisième vulnérabilité sont ensuite mises à profit pour Jailbreaker à distance l’iPhone, permettant ainsi l’installation d’applications « non officielles » en contournant les mécanismes de sécurité mis en œuvre par Apple.
  • Le piratage se termine alors en téléchargeant et en installant Pegasus, un spyware développé par la société israélienne NSO Group. 

Avec une simple attaque de type phishing, l’attaquant est ainsi capable d’installer à distance sur l’iPhone de la victime un spyware donnant accès à quasiment toutes les informations stockées et échangées sur l’appareil. Lookout précise dans son rapport que les applications comme iMessage, Gmail, Viber, Telegram, WhatsApp, … sont concernées (liste non exhaustive).

L’attaque se fait de façon totalement silencieuse, aucun message ou comportement suspect ne se produit sur l’iPhone, ce qui la rend quasi indétectable. Pour parfaire le tout un mécanisme d’auto destruction est intégré, l’attaquant peut ainsi effacer ses traces une fois qu’il a récupéré les informations dont il avait besoin.

Suite à leur découverte les chercheurs ont fort heureusement contacté Apple, qui a publié quelques jours après la mise à jour 9.3.5 d’iOs corrigeant ces vulnérabilités. La découverte de vulnérabilités sur iOs est relativement rare, alors 3 vulnérabilités aussi importantes d’un coup, on peut imaginer qu’Apple a mobilisé de nombreuses ressources pour les corriger le plus rapidement possible.

Un spyware qui existe depuis 2 ans

L’attaque contre Amhed Mansoor utilisait Pegasus, un spyware qui est le produit phare de NSO Group, une société basée en Israël et dont la spécialité est de vendre des solutions d’écoute de téléphones mobiles à destination des gouvernements. Pegasus existe depuis au moins 2 ans, et exploite de nouvelles vulnérabilités au fur et à mesures que d’autres sont détectées et corrigées par Apple. Ce spyware est revendu par NSO Group à un prix très élevé, au moins 25 000$ par cible, et d’après Citizen Labs au moins 300 licences ont été vendues, soit un joli pactole de 7,5 millions de dollars pour la société israélienne.

Ce genre de vulnérabilités « 0 day » est très difficile à trouver, et a donc un coût très élevé. A titre d’exemple une faille « 0 day » sur iOs s’est récemment vu récompensée de 1 million de dollars par Zerodium. Citizen Labs suppose donc que le gouvernement émirati, qui dispose de gros moyens, est probablement le commanditaire de cette attaque.

Cela relance une fois de plus le débat autour de la vente d’outils d’écoute à destination des Etats par des entreprises occidentales. On peut notamment citer la Hacking Team qui a récemment fait les gros titres également, et dont les pratiques sont assez proches. D’ailleurs des informations sur Pegasus ont pu être récupérées lors de la fuite de données de la Hacking Team qui a eu lieu en 2015.

Une nouvelle ère ?

Cette attaque, aussi sophistiquée soit-elle, a démarré avec l’envoi de messages de type Phishing sur l’iPhone d’Amhed Mansoor. Cela montre une fois de plus que la sensibilisation, et donc le facteur humain, reste un facteur clé dans la sécurité de l’information. Ne pas cliquer sur des liens suspicieux est une bonne pratique basique qui reste valable quelques soient les environnements et les systèmes.

Au-delà de ça la presse du monde entier s’est emparée de cet incident, décrivant ce type d’attaque comme quelque chose de totalement nouveau, voire même d’extraordinaire. Pourtant nous savons depuis plusieurs années déjà que de nombreuses sociétés similaires à NSO Group (Hacking Team, Finfisher, etc.) existent et gagnent des millions de dollars en identifiant et revendant des vulnérabilités similaires sur différents équipements. La nouveauté est que pour une fois des chercheurs ont pu prouver que de tels spywares existent bien, et le fait qu’ils soient utilisés par des gouvernements pour espionner des individus ou des organisations est un problème majeur. C’est donc la 1ère fois que l’attaquant est pris la main dans lesac, mais nous pouvons être sûr que ce n’est pas la 1ère fois que ce type d’attaque est utilisée, et encore moins la dernière…

Source : https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

Timothé Coulmain, Consultant Sécurité, Advens