Discussion :

[Stéphane le calme]

Apple corrige en urgence trois vulnérabilités zero day sur iOS qui ont permis à un logiciel espion,
de passer sous les radars pendant des années

Des chercheurs en sécurité ont découvert trois vulnérabilités dans iOS qui permettent à un attaquant d’installer un logiciel espion ou tout autre logiciel malveillant sur un iPhone cible. Dans le rapport décrivant les circonstances de la découverte de ces exploits ainsi que leurs mécanismes, Citizen Lab, une émanation de l’université de Toronto (Canada), explique avoir été contacté par Ahmed Mansoor, un défenseur des droits de l’homme qui vit aux Émirats arabes unis et lauréat du Martin Ennals Award (le « prix Nobel pour les droits de l’homme »). Le 10 et 11 août de l’année en cours, Ahmed a reçu des messages SMS sur son iPhone, promettant de lui faire parvenir de « nouveaux secrets » sur les détenus torturés dans les prisons des Émirats arabes unis s’il cliquait sur le lien fourni dans le message. Au lieu de cliquer dessus, Ahmed a eu le réflexe de faire parvenir le message à des chercheurs en sécurité (ceux de City Lab dans le cas d’espèce).

Les chercheurs ont reconnu le lien comme appartenant à une infrastructure d’exploit du NSO Group, une entreprise israélienne, fondée en 2010 par Omri Lavie et Shalev Hulio, qui s’est spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles et développe des « armes numériques » à l’instar du logiciel espion Pegasus. Depuis 2014, NSO Group est passé sous l’étendard du fonds d’investissement américain Francisco Partners Management contre 120 millions de dollars.

Par la suite, de concert avec les chercheurs de Lookout Security, les chercheurs de Citizen Lab ont déterminé que les liens menaient vers une chaîne de trois exploits de type zero day qui aurait permis d’effectuer un jailbreak à distance de l’iPhone 6 de Mansoor et y installer un logiciel espion sophistiqué. Une fois infecté, son téléphone serait devenu une véritable source de renseignements étant donné que les pirates auraient pu se servir de la caméra de son appareil ainsi que de son microphone pour espionner ses activités, sans compter le fait que ses appels auraient pu être enregistrés même s’il passait par des services comme WhatsApp ou Viber, ses déplacements auraient pu être pistés.

Trident, comme l’ont surnommé les chercheurs, semble avoir été utilisé dans Pegasus.
« Pegasus est l’attaque la plus sophistiquée ciblant un terminal que nous ayons jamais rencontrée indépendamment du endpoint parce qu’elle exploite la façon dont les terminaux mobiles s’intègrent dans nos vies et tire parti de la combinaison de fonctionnalités présentes uniquement sur les mobiles : connexion permanente (WiFi, 3G/4G), communications vocales, caméra, e-mail, messages, GPS, mots de passe et liste de contacts. Elle est modulaire pour permettre une personnalisation et se sert d’un chiffrement fort pour échapper à toute détection. L’analyse de Lookout a déterminé que le logiciel malveillant a tiré profit de trois vulnérabilités zero day, ou Trident, dans iOS :

CVE-2016-4655: fuite d'information dans le noyau : une vulnérabilité dans la cartographie de base du noyau qui fait fuir des informations permettant à l'attaquant de calculer l'emplacement du noyau en mémoire.

CVE-2016-4656: corruption de la mémoire du noyau qui a un jailbreak : les vulnérabilités au niveau du noyau iOS sur 32 et 64 bits qui permettent à l'attaquant de « jailbreaker » silencieusement l'appareil et d’installer un logiciel de surveillance.


CVE-2016-4657: corruption de la mémoire dans Webkit : une vulnérabilité dans WebKit de Safari permet à l'attaquant de compromettre l'appareil lorsque l'utilisateur clique sur un lien ».

Le logiciel est hautement configurable : en fonction du pays d'utilisation et des fonctionnalités achetées par l'utilisateur, les fonctionnalités du logiciel espion incluent l'accès aux messages, aux appels, aux courriels, aux journaux, mais également à d’autres applications parmi lesquelles Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendrier, Line, Mail.Ru, WeChat, SS, Tango, entre autres. Le kit semble persister même lorsque le logiciel de l'appareil est mis à jour et il peut se mettre à jour pour remplacer facilement les exploits s’ils deviennent obsolètes.

« Nous pensons que ce logiciel espion a été caché pendant un long moment en nous basant sur certains indicateurs dans le code (par exemple, une cartographie du kernel a des valeurs qui remontent jusqu’à iOS 7). Le logiciel espion a également été utilisé pour attaquer des cibles de grande valeur pour de nombreuses raisons, parmi lesquelles l’espionnage industriel de haut niveau sur iOS, Android et BlackBerry », indiquent les chercheurs.

Ce n’est pas la première fois que Mansoor se fait attaquer : il a été la cible du logiciel espion FinSpy de FinFisher en 2011, puis par le Remote Control System de Hacking Team en 2012, ces deux attaques ayant un vecteur commun à savoir l’envoi d’un courriel. « Hacking Team et Finfisher ont fait l'objet de plusieurs années de révélations mettant en évidence une utilisation abusive des logiciels espions pour compromettre des groupes de sociétés civiles, des journalistes ainsi que des travailleurs dans les droits de l’homme », ont expliqué les chercheurs.

Avant de divulguer ces failles, les chercheurs ont contacté Apple qui a d’ores et déjà déployé un correctif d’urgence avec la version 9.3.5 d’iOS.

Source : Citizen Lab, Lookout Security

[Stéphane le calme]

Des documents du NSO Group indiquent comment l'entreprise choisit les clients à qui elle vend son spyware,
mais aussi le montant de la facture

Le mois passé, Ahmed Mansoor, un défenseur des droits de l’homme qui vit aux Émirats arabes unis et lauréat du Martin Ennals Award (le « prix Nobel pour les droits de l’homme ») a reçu des messages de type SMS sur son iPhone, promettant de lui faire parvenir de « nouveaux secrets » sur les détenus torturés dans les prisons des Émirats arabes unis s’il cliquait sur le lien fourni dans le message. Sans doute par prudence, il a fait parvenir le lien en question à des chercheurs en sécurité pour analyse. Ces derniers ont découvert que derrière le lien se cachait un outil développé par le NSO Group, une entreprise israélienne, qui s’est spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles et développe des « armes numériques ».

Si la découverte a permis aux chercheurs d’indiquer à Apple trois vulnérabilités de type zero-day qui étaient utilisées depuis des années par le logiciel espion Pegasus pour espionner les utilisateurs sur iOS, certains pourraient se demander comment fonctionnent des entreprises fournissant des outils de surveillance numériques « légaux ».

Le quotidien New York Times affirme avoir mis la main sur des documents du NSO Group (courriels, contrats, propositions commerciales) grâce à deux personnes qui ont souhaité garder l’anonymat et qui ont déjà conclu des affaires avec le NSO Group. Selon les documents, la campagne marketing de cette industrie, représentée dans le cas d’espèce par le NSO Group, est de faire valoir que l’espionnage est une nécessité pour pister les terroristes, les kidnappeurs ainsi que les barons de la drogue. D’ailleurs, la déclaration de mission du NSO Group est « faire du monde un endroit sûr ».

Dix personnes familières aux ventes de l’entreprise, qui ont souhaité elles aussi garder l’anonymat, ont assuré que NSO Group a un processus de vérification strict pour déterminer à qui vendre ses produits. Un comité d’éthique composé d’employés ainsi que de conseillers externes évalue les clients potentiels en se basant entre autres sur le classement des droits de l'homme définis par la Banque mondiale et d'autres organismes mondiaux.

Toutefois, selon ces mêmes sources anonymes, jusqu’à présent le NSO Group n’a toujours pas reçu de licence d’exportation. Il faut dire que les critiques ont montré que ses logiciels espions sont également utilisés pour espionner des journalistes ou des défenseurs des droits de l’homme (à l’instar de Mansoor). « Aucune vérification n’est faite à ce niveau », a déclaré Bill Marczak du Citizen Lab de l’université de Toronto Munk School of Global Affairs. « Une fois que les systèmes de NSO sont vendus, les gouvernements ont la possibilité de les utiliser de la façon qu’il leur plaira. NSO peut dire qu’il essaye de faire du monde un endroit sûr, mais ils contribuent par la même occasion à faire du monde un endroit plus surveillé », a-t-il continué.

Étant donné que les entreprises comme Apple, Microsoft, Facebook ou Google se sont mises au chiffrement de plus en plus fort, les services des entreprises comme NSO Group sont de plus en plus demandés par les agences des gouvernements qui souhaitent pouvoir mener leurs enquêtes en contournant la question du chiffrement si les éditeurs venaient à ne pas se montrer coopératifs.

L’industrie des armes numériques dont fait partie le NSO Group est confinée dans une zone grise juridique : c’est souvent à l’entreprise de décider jusqu’où elle veut creuser dans la vie personnelle de la cible et avec quels gouvernements elle veut faire des affaires.

Les documents internes de NSO Group donnent des détails sur des emplacements dans des pays en Europe et des contrats de trois ans s’élevant à plus de 15 millions de dollars signés avec le Mexique. Zamir Dahbash, un porte-parole du NSO Group, a déclaré que la vente de son logiciel espion était restreinte à des gouvernements autorisés et qu’il n’était utilisé QUE pour des enquêtes sur des criminels et des terroristes. Il n’a pas fait de commentaire concernant le fait que l’entreprise puisse cesser à vendre son logiciel espion au Mexique ou aux Émirats arabes unis suite à ces déclarations.

Pour rappel, Pegasus, qui est l’un des produits vendus par l’entreprise, peut entre autres extraire des messages texte, des listes de contacts, des enregistrements dans le calendrier, des courriels, des messages instantanés et même des localisations GPS. Les contrats de vente stipulent également que Pegasus peut utiliser le microphone d’un dispositif pour enregistrer le son dans une pièce. Il peut également se servir de la caméra pour prendre des photos, télécharger l’historique de navigation et envoyer toutes les données en temps réel à un serveur de l’agence. Il fonctionne sur les systèmes iOS, Android, Windows Phone, mais aussi BlackBerry.

Les prix pratiqués par le NSO sont tributaires de certains paramètres. Ils commencent à 500 000 dollars comme frais d’installation du logiciel. Pour espionner 10 utilisateurs sur iOS, l’agence réclame 650 000 dollars, pour espionner 10 utilisateurs sur Android, elle réclame également 650 000 dollars. Elle facture 500 000 dollars le paquet de cinq cibles sur BlackBerry et 300 000 dollars pour cinq cibles sur Symbian. Si un État désire espionner d’autres cibles, un paquet de 100 nouvelles cibles lui coûtera 800 000 dollars supplémentaires, 50 nouvelles cibles lui demanderont d’ajouter 500 000 dollars, 20 nouvelles cibles lui coûteront 250 000 dollars en plus et 150 000 dollars pour 10 nouvelles cibles. Un système de maintenance annuel est disponible pour 17 % du montant total.

Les documents du NSO Group indiquent que ses clients ont « un accès illimité au dispositif mobile visé ». Et d’ajouter que le logiciel espion « ne laisse aucune trace ».

Source : NYT