La semaine dernière, le Citizen Lab de l’Université de Toronto a découvert une vulnérabilité « activement exploitée » dans les appareils iPhone pour diffuser le logiciel espion mercenaire Pegasus du gang NSO, sans aucune interaction de la victime.
Le Citizen Lab a déclaré avoir fait cette découverte en vérifiant l’appareil d’un individu employé par une organisation de la société civile basée à Washington DC et dotée de bureaux internationaux.
La chaîne d’exploitation « zéro clic », que Citizen Lab appelle BLASTPASS, était capable de compromettre les iPhones exécutant la dernière version d’iOS (16.6) et impliquait des pièces jointes « PassKit » contenant des images malveillantes envoyées depuis un compte iMessage d’un attaquant à la victime.
Bill Marczak, chercheur principal du Citizen Lab, a déclaré à Reuters que l’attaquant avait probablement commis une erreur lors de l’installation, c’est ainsi que Citizen Lab a trouvé le logiciel espion.
Le Citizen Lab a rapidement divulgué ses conclusions à Apple, qui a ensuite publié des correctifs et généré deux CVE liés à cet exploit, et a exhorté les utilisateurs à mettre immédiatement à jour leurs appareils.
Les utilisateurs qui sont confrontés à un risque accru d’attaques sophistiquées ciblées, « en raison de qui ils sont et de ce qu’ils font », ont également été encouragés à activer le mode de verrouillage. Cette fonctionnalité offre une protection extrême aux utilisateurs en bloquant les pièces jointes aux messages, les technologies Web complexes, les appels Facetime non reconnus, etc.
L’équipe d’ingénierie et d’architecture de sécurité d’Apple a confirmé au Citizen Lab que le mode verrouillage bloque également cette attaque particulière.
« La mise à jour d’Apple sécurisera les appareils appartenant aux utilisateurs réguliers, aux entreprises et aux gouvernements du monde entier », a déclaré le Citizen Lab dans un communiqué. « La découverte BLASTPASS met en évidence l’incroyable valeur du soutien aux organisations de la société civile pour notre cybersécurité collective.
Cependant, étant donné que la vulnérabilité a désormais été identifiée et que les différences entre les versions logicielles ont été documentées, les exploits ciblant cette vulnérabilité sont susceptibles de se généraliser et pourraient s’étendre au-delà de l’utilisation commerciale de logiciels espions, a déclaré Ken Westin, responsable de la sécurité des informations sur le terrain chez Panther Labs.
Il a ajouté : « Le gang NSO n’a pas été transparent sur les cibles de ces exploits. Dans de nombreux cas, ils dénoncent un manque de visibilité sur leur utilisation. Malheureusement, ce logiciel a été utilisé par des régimes autoritaires pour cibler des individus innocents, notamment des journalistes et des dissidents.
Le gang NSO, qui est sur la liste noire du gouvernement américain depuis 2021 pour surveillance présumée de représentants du gouvernement et de journalistes et autres abus, a déclaré dans un communiqué : « Nous ne sommes pas en mesure de répondre à toute allégation qui n’inclut aucune recherche à l’appui. »
Adaptation et traduction française par Renaud Larue-Langlois.