Pourquoi le jardin clos d’Apple n’est pas à la hauteur des logiciels espions Pegasus | La technologie


Vous avez déjà entendu parler de Pegasus. C’est le nom de marque d’une famille d’outils de logiciels espions vendus par le groupe NSO, un groupe israélien de pirates informatiques qui vendent leurs produits aux agences de renseignement, aux forces de l’ordre et aux militaires du monde entier.

Inscrivez-vous à la newsletter technologique hebdomadaire d’Alex Hern, TechScape.

Une enquête menée par le Guardian et 16 autres organisations médiatiques à travers le monde sur une fuite massive de données suggère un abus généralisé du logiciel de piratage de NSO Group par des clients gouvernementaux. L’entreprise insiste sur le fait qu’elle est destinée à être utilisée uniquement contre les criminels et les terroristes, mais l’enquête a révélé que des journalistes, des militants des droits de l’homme et des politiciens de l’opposition sont également visés. Étant donné que nos téléphones sont de plus en plus des cerveaux externes, stockant nos vies sous forme numérique, un déploiement réussi de Pegasus peut être dévastateur. Les messages, e-mails, coordonnées, localisation GPS, entrées de calendrier et bien plus encore peuvent être extraits de l’appareil en quelques minutes.

Dimanche, le Guardian et ses partenaires médiatiques ont commencé à publier les résultats de l’enquête sur le groupe NSO, Pegasus et les personnes dont les numéros figurent sur la liste divulguée :

Le Guardian et ses partenaires médias dévoileront l’identité des personnes dont le numéro figurait sur la liste dans les prochains jours. Ils comprennent des centaines de dirigeants d’entreprise, de personnalités religieuses, d’universitaires, d’employés d’ONG, de représentants syndicaux et de représentants du gouvernement, y compris des ministres, des présidents et des premiers ministres.

La liste contient également le nombre de membres de la famille proche du dirigeant d’un pays, ce qui suggère que le dirigeant a peut-être demandé à ses agences de renseignement d’explorer la possibilité de surveiller leurs propres proches.

La présence d’un numéro dans les données ne révèle pas s’il y a eu une tentative d’infection du téléphone avec un logiciel espion tel que Pegasus, l’outil de surveillance de signature de l’entreprise, ou si une tentative a réussi. Il y a un très petit nombre de lignes fixes et de numéros américains dans la liste, qui, selon NSO, sont « techniquement impossibles » à accéder avec ses outils – ce qui révèle que certaines cibles ont été sélectionnées par les clients de NSO même s’ils ne pouvaient pas être infectés par Pegasus.

Il y a beaucoup plus à lire sur notre site, y compris le fait que les numéros de près de 200 journalistes ont été identifiés dans les données ; liens avec le meurtre de Jamal Khashoggi ; et la découverte qu’un rival politique de Narendra Modi, le leader autocratique de l’Inde, figurait parmi ceux dont le nombre a été trouvé dans les documents divulgués.

Mais c’est une newsletter technique, et je veux me concentrer sur le côté technique de l’histoire. Principalement: comment diable est-ce arrivé?

Les messages viennent de l’intérieur de la maison

Pegasus affecte les deux plus grands systèmes d’exploitation mobiles, Android et iOS, mais je vais me concentrer sur iOS ici pour deux raisons : l’une est un problème technique auquel je reviendrai dans un instant, mais l’autre est que, bien qu’Android est de loin le système d’exploitation mobile le plus utilisé, les iPhones ont une part de marché disproportionnellement élevée parmi de nombreux groupes démographiques ciblés par les clients du groupe NSO.

C’est en partie parce qu’ils existent principalement dans les niveaux supérieurs du marché, avec des étiquettes de prix qui les maintiennent hors de portée de la plupart des utilisateurs de smartphones dans le monde, mais toujours à la portée des politiciens, des militants et des journalistes potentiellement ciblés par les gouvernements du monde entier. .

Mais c’est aussi parce qu’ils ont une réputation de sécurité. Depuis les premiers jours de la plate-forme mobile, Apple s’est battu pour s’assurer que le piratage d’iOS était difficile, que le téléchargement de logiciels était facile et sûr et que l’installation de correctifs pour se protéger contre les vulnérabilités nouvellement découvertes était la norme.

Et pourtant Pegasus a fonctionné, d’une manière ou d’une autre, sur iOS depuis au moins cinq ans. La dernière version du logiciel est même capable d’exploiter un tout nouvel iPhone 12 sous iOS 14.6, la dernière version du système d’exploitation disponible pour les utilisateurs normaux. Plus que cela : la version de Pegasus qui infecte ces téléphones est un exploit « zéro clic ». Il n’y a pas de lien douteux à cliquer ni de pièce jointe malveillante à ouvrir. Il suffit de recevoir le message pour devenir victime du malware.

Il vaut la peine de s’arrêter pour noter ce qui vaut et ne vaut pas la peine de critiquer Apple ici. Aucun logiciel sur une plate-forme informatique moderne ne peut être exempt de bogues et, par conséquent, aucun logiciel ne peut jamais être totalement à l’épreuve des pirates. Les gouvernements paieront beaucoup d’argent pour exploiter l’iPhone, ce qui motive de nombreux chercheurs en sécurité sans scrupules à passer beaucoup de temps à essayer de trouver un moyen de briser la sécurité d’Apple.

Mais les experts en sécurité à qui j’ai parlé disent qu’il y a un malaise plus profond au travail ici. « L’orgueil assuré d’Apple est tout simplement sans précédent », m’a dit la semaine dernière Patrick Wardle, ancien employé de la NSA et fondateur du développeur de sécurité Mac Objective-See. « Ils croient fondamentalement que leur voie est la meilleure. »

Ce que cela signifie en pratique, c’est que la seule chose qui peut protéger les utilisateurs d’iOS contre une attaque est Apple – et si Apple échoue, il n’y a pas d’autre ligne de défense.

Sécurité pour les 99%

Au cœur de la critique, accepte Wardle, se trouve une solide motivation. Le modèle de sécurité d’Apple est basé sur la garantie que, pour les 99% – ou plus – pour lesquels la plus grande menace de sécurité à laquelle ils seront confrontés est de télécharger une application malveillante tout en essayant de trouver un flux illégal d’un film hollywoodien, leurs données sont en sécurité. Les applications ne peuvent être téléchargées que depuis le propre App Store de l’entreprise, où elles sont censées être vérifiées avant publication. Lorsqu’ils sont installés, ils ne peuvent accéder qu’à leurs propres données ou aux données qu’un utilisateur décide explicitement de partager avec eux. Et quelles que soient les autorisations qui leur sont accordées, de nombreuses fonctionnalités de l’appareil leur sont définitivement bloquées.

Mais si une application trouve comment échapper à ce « bac à sable », alors le modèle de sécurité est soudainement inversé. « Je ne sais pas si mon iPhone est piraté », dit Wardle. « Mon ordinateur Mac par contre : oui, c’est une cible plus facile. Mais je peux regarder une liste de processus en cours ; J’ai un pare-feu que je peux demander pour me montrer quels programmes essaient de communiquer avec Internet. Une fois qu’un appareil iOS est pénétré avec succès, à moins que l’attaquant ne soit très malchanceux, cet implant ne sera pas détecté.

Un problème similaire existe à l’échelle macro. Un moyen de plus en plus courant de garantir la protection des systèmes critiques consiste à utiliser le fait qu’un nombre infini de professionnels hautement talentueux essaient constamment de les casser – et de leur payer de l’argent pour les vulnérabilités qu’ils trouvent. Ce modèle, connu sous le nom de « bug bounty », s’est généralisé dans l’industrie, mais Apple a été à la traîne. La société offre des primes de bogue, mais pour l’une des organisations les plus riches du monde, ses tarifs sont pitoyables : un exploit du type de celui que le groupe NSO a déployé rapporterait une récompense d’environ 250 000 $, ce qui couvrirait à peine le coût des salaires d’un équipe qui a pu le trouver – sans parler d’avoir une chance de surenchérir sur la concurrence, qui veut la même vulnérabilité à des fins plus sombres.

Et les chercheurs en sécurité qui décident d’essayer d’aider à réparer les iPhones sont entravés par le même modèle de sécurité qui permet aux attaquants réussis de cacher leurs traces. Il est difficile de rechercher avec succès les faiblesses d’un appareil que vous ne pouvez pas démonter physiquement ou numériquement.

Dans un communiqué, Apple a déclaré :

Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits humains et d’autres qui cherchent à rendre le monde meilleur. Depuis plus d’une décennie, Apple est le leader du secteur en matière d’innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité conviennent que l’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé du marché. Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu’ils ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données.

Il existe des moyens de contourner certains de ces problèmes. La criminalistique numérique fonctionne toujours sur les iPhones – malgré, plutôt qu’à cause de la position d’Apple. En fait, c’est l’autre raison pour laquelle je me suis concentré sur les iPhones plutôt que sur les appareils Android ici. Parce que si le groupe NSO était doué pour brouiller les pistes, il n’était pas parfait. Sur les appareils Android, la relative ouverture de la plate-forme semble avoir permis à l’entreprise d’effacer avec succès toutes ses traces, ce qui signifie que nous avons très peu d’idées sur les utilisateurs d’Android ciblés par Pegasus qui ont été touchés avec succès.

Mais les iPhones sont, comme toujours, plus délicats. Il existe un fichier, DataUsage.sqlite, qui enregistre les logiciels exécutés sur un iPhone. Ce n’est pas accessible à l’utilisateur de l’appareil, mais si vous sauvegardez l’iPhone sur un ordinateur et recherchez dans la sauvegarde, vous pouvez trouver le fichier. Les dossiers de Pégase avaient été supprimés de ce fichier, bien sûr – mais une seule fois. Ce que le groupe NSO ne savait pas, ou peut-être n’a pas remarqué, c’est que chaque fois qu’un logiciel est exécuté, il est répertorié deux fois dans ce fichier. Ainsi, en comparant les deux listes et en recherchant les incohérences, les chercheurs d’Amnesty ont pu repérer à quel moment l’infection a atterri.

Alors voilà : la même opacité qui rend les appareils Apple généralement sûrs rend plus difficile leur protection lorsque cette sécurité est rompue. Mais cela rend également difficile pour les attaquants de nettoyer après eux-mêmes. Peut-être que deux torts font un droit ?

Si vous souhaitez en savoir plus, veuillez vous inscrire pour recevoir TechScape dans votre boîte de réception tous les mercredis.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *