Apple a publié mercredi des mises à jour des systèmes d’exploitation de ses téléphones iPhone, de ses ordinateurs Mac et de ses montres Watch. L’analyse de ces mises à jour a permis à la communauté de la cybersécurité d’apprendre que la raison de leur publication est de combler deux failles de sécurité qui n’étaient pas connues des techniciens d’Apple. Il semblerait que ces vulnérabilités aient été exploitées par des cybercriminels dans le cadre d’attaques d’espionnage, mais on ne sait pas précisément à quelle échelle.
L’Institut national de cybersécurité (Incibe) a émis une alerte de niveau 5 (importance “critique”) et a demandé des mises à jour immédiates pour les iPhones, les Macs et les montres. “Georgy Kucherin, Leonid Bezvershenko et Boris Larin de Kaspersky ont informé Apple de trois vulnérabilités 0day qui pourraient permettre à un attaquant d’exécuter un code arbitraire.
Les chercheurs de l’entreprise russe de cybersécurité Kaspersky ont publié début juin une description d’une attaque subie par les propres cadres de l’entreprise. “Nos experts ont découvert une cyberattaque professionnelle extrêmement complexe utilisant des appareils mobiles Apple. La cible de l’attaque est le placement discret d’un logiciel espion sur les iPhones d’au moins les employés de notre société, qu’il s’agisse de cadres moyens ou supérieurs”, ont-ils déclaré.
L’entreprise a baptisé le cheval de Troie “Triangulation”. Il ne nécessite aucune action de la part de l’utilisateur pour compromettre son appareil. Il arrive par le biais d’un iMessage invisible qui exploite les vulnérabilités détectées pour se faufiler dans le système d’exploitation et exécuter un logiciel espion. “Le logiciel espion transmet ensuite silencieusement des informations privées à des serveurs distants : enregistrements du microphone, photos de la messagerie instantanée, géolocalisation et données sur toute une série d’autres activités du propriétaire de l’appareil infecté”, expliquent les chercheurs.
Le logiciel espion transmet silencieusement des informations privées à des serveurs distants : enregistrements de microphones, photos de messagerie instantanée, géolocalisation et données sur toute une série d’autres activités.
Kaspersky – L’entreprise de cybersécurité qui a détecté les vulnérabilités
La triangulation exploite deux failles spécifiques, l’une dans le noyau et l’autre dans WebKit d’Apple. Le noyau est le logiciel qui sert d’intermédiaire entre le matériel des appareils et les applications qui s’y exécutent. Sa principale fonction est de gérer les ressources du système, en permettant aux programmes et aux processus de communiquer efficacement avec le matériel. WebKit est un moteur de rendu open source utilisé dans le navigateur Safari. Sa mission est de transformer le code source d’une page web en un design et un contenu qui s’affichent sur l’écran de l’utilisateur.
La “boîte noire”.
Dans une mise à jour ultérieure de son rapport, l’entreprise de cybersécurité a révélé que le cheval de Troie n’avait pas été spécifiquement conçu pour cibler ses dirigeants : “Nous sommes convaincus que Kaspersky n’était pas la cible principale de cette cyberattaque”, ont-ils affirmé, imputant à Apple et à son système de “boîte noire” le fait que la vulnérabilité n’ait pas été détectée plus tôt.
“Nous pensons que la principale raison de cet incident est la nature propriétaire d’iOS. Ce système d’exploitation est une ‘boîte noire’ dans laquelle des logiciels espions tels que Triangulation peuvent se cacher pendant des années. La détection et l’analyse de ces menaces sont rendues encore plus difficiles par le monopole d’Apple sur les outils de recherche, ce qui en fait un havre parfait pour les logiciels espions”, ont-ils déclaré : “Les experts en cybersécurité ne savent pas ce qui se passe réellement dans iOS, et l’absence de nouvelles sur les attaques n’est en aucun cas une indication qu’elles sont impossibles, comme nous venons de le voir”.
Apple n’a pas fait de déclaration sur le rapport de Kaspersky, mais la mise à jour de sécurité publiée cette semaine a corrigé les vulnérabilités détectées par l’entreprise au début du mois. De telles attaques sont souvent vendues dans le monde interlope de l’internet : 100 infections par des logiciels espions haut de gamme valent environ 5 000 dollars.
Kaspersky est sous les feux de la rampe internationale depuis l’invasion de l’Ukraine par la Russie. L’Allemagne est allée jusqu’à dénoncer le fait que son logiciel antivirus pouvait être utilisé comme outil d’espionnage par le Kremlin et a appelé ses citoyens et ses entreprises à le désinstaller dès le début de l’offensive. L’entreprise affirme que ces avertissements étaient “politiquement motivés” et a continué à enquêter sur ces vulnérabilités, bien qu’elle ait perdu des clients depuis. Le fondateur Eugene Kaspersky a tenté de maintenir une position neutre et a soutenu les négociations entre Kiev et Moscou.