- Une vulnérabilité activement exploitée, utilisée pour livrer le spyware Pegasus du groupe NSO, a été découverte lors de l’examen de l’iPhone d’un employé d’une organisation internationale de la société civile basée à Washington DC
- Cette chaîne d’exploit, baptisée BLASTPASS par Citizen Lab, pouvait compromettre un iPhone exécutant même iOS 16.6 sans aucune interaction de la victime
- Les attaquants ont tenté une infection zero-click en envoyant via iMessage une pièce jointe PassKit contenant une image malveillante ; Citizen Lab a annoncé une analyse plus approfondie à venir
- Citizen Lab a immédiatement partagé sa découverte avec Apple, qui a attribué les identifiants CVE-2023-41064 et CVE-2023-41061 aux vulnérabilités concernées
- Les mises à jour d’Apple s’appliquent à l’iPhone, à l’iPad, au Mac et à l’Apple Watch, et Citizen Lab ainsi que l’équipe Apple Security Engineering and Architecture estiment que le mode Isolement bloque cette attaque
Chaîne d’exploit BLASTPASS
- Citizen Lab a découvert une vulnérabilité zero-click activement exploitée en examinant l’appareil d’un employé d’une organisation de la société civile basée à Washington DC et disposant de bureaux internationaux
- Cette vulnérabilité était utilisée pour livrer le spyware mercenaire Pegasus du groupe NSO
- Citizen Lab a nommé cette chaîne d’exploit BLASTPASS
- BLASTPASS pouvait compromettre un iPhone exécutant la dernière version d’iOS 16.6 sans aucune interaction de la victime
- L’attaque consistait à envoyer à la victime une pièce jointe PassKit depuis le compte iMessage de l’attaquant
- La pièce jointe contenait une image malveillante
- La documentation associée est disponible dans PassKit
- Citizen Lab prévoit de publier prochainement une discussion plus détaillée sur cette chaîne d’exploit
Divulgation à Apple et CVE
- Citizen Lab a immédiatement partagé sa découverte avec Apple et a coopéré à l’enquête d’Apple
- Apple a attribué deux CVE liés à cette chaîne d’exploit
-
CVE-2023-41064
- CVE-2023-41061
-
Mise à jour immédiate et mode Isolement
- Citizen Lab recommande à tous les utilisateurs de mettre immédiatement à jour leurs appareils
- Apple a publié des mises à jour pour ses produits, notamment pour l’iPhone, l’iPad, le Mac et l’Apple Watch
- Il est recommandé aux utilisateurs davantage exposés en raison de leur identité ou de leurs activités d’activer le mode Isolement
- Citizen Lab et l’équipe Apple Security Engineering and Architecture estiment que le mode Isolement bloque cette attaque spécifique
- Citizen Lab a salué la rapidité de l’enquête d’Apple et de son cycle de correctifs, et a reconnu la coopération et le soutien de la victime et de son organisation
Le ciblage de la société civile, un signal de sécurité
- Cette découverte montre une nouvelle fois que la société civile est une cible pour des exploits sophistiqués et des spywares mercenaires
- Les mises à jour d’Apple contribueront à protéger les appareils des utilisateurs grand public, des entreprises et des gouvernements dans le monde entier
- La découverte de BLASTPASS souligne que le soutien aux organisations de la société civile apporte une grande valeur à la cybersécurité collective
Historique des mises à jour
- Le billet a été mis à jour le 7 septembre à 17 h 42, heure de l’Est
- La mise à jour indique que l’équipe Apple Security Engineering and Architecture et Citizen Lab estiment que le mode Isolement bloque cette attaque spécifique
1 commentaires
Avis sur Hacker News
On parle beaucoup d’Apple et de logiciel, mais beaucoup trop peu de la raison pour laquelle NSO Group peut exister.
Ils opèrent presque au grand jour, et ne semblent même pas en avoir honte. Sinon, ils ne mettraient pas ça sur leur CV : https://www.linkedin.com/company/nso-group/people/
Quand on voit ça, on a l’impression que la « communauté tech » accepte beaucoup trop facilement ce genre d’usage de la technologie. Cette même technologie dont nous croyons qu’elle va « rendre le monde meilleur ».
NSO semble soutenu par le gouvernement israélien. Ils disent ne vendre qu’à des gouvernements préalablement approuvés, mais dans les faits ils vendent souvent à des États autoritaires qui surveillent et persécutent les opposants au régime.
Ce qui rend NSO Group condamnable, c’est qu’ils ont vendu à des régimes répressifs, et qu’ils sont soupçonnés d’avoir activement aidé ces régimes à déployer le logiciel pour nuire à des civils innocents. Ces actes, ces intentions et cet échec à gérer leur responsabilité justifient des sanctions ; de mémoire, ils sont déjà sous sanctions.
Cela dit, il existe de nombreuses exceptions, notamment si le vendeur et l’acheteur sont de bonne foi et prévoient de l’utiliser uniquement conformément à la loi. Ceci n’est pas un conseil juridique.
Il n’y a aucune raison de s’attendre à ce que le monde désarme bientôt ; le mieux est donc d’en être conscient, d’influer démocratiquement sur les politiques publiques, et d’écarter les mauvaises idées comme les mauvais acteurs.
Israël continue de chercher à attirer l’Arabie saoudite pour se créer des alliés en vue d’une guerre potentielle contre l’Iran. Pour obtenir le survol de l’espace aérien saoudien, ils sacrifieront certainement quelques militants des droits humains. Cela dit, les choses ne semblent pas très bien tourner pour Israël récemment.
En réalité, la communauté tech est très diverse et pas du tout cohésive. Par exemple, beaucoup de développeurs ont tout juste de quoi couvrir leurs dépenses de base, et n’ont même pas la disponibilité mentale pour savoir ce qu’est NSO.
Il est intéressant de voir à quel point Apple insiste sur le fait qu’il ne faut pas utiliser le Lockdown Mode sauf si l’on est journaliste ou directement et manifestement en danger. En réalité, du point de vue utilisateur, les différences fonctionnelles ne sont pas énormes : cela revient surtout à désactiver plusieurs choses inutiles d’Apple qui tournent en arrière-plan et élargissent la surface d’attaque.
Pourtant, tout le monde répète l’avertissement du type « ce n’est pas pour n’importe qui, seulement pour des personnes particulières ». Ce n’est ni une ressource rare ni un jeu à somme nulle. Au contraire, si tout le monde l’utilisait, cela désactiverait beaucoup de fonctions sans bénéfice pour l’utilisateur, économiserait de la batterie, et plus l’usage serait répandu, plus il serait difficile de s’en servir pour identifier des utilisateurs précis.
Apple veut probablement éviter qu’iOS paraisse plus lent ou moins réactif qu’Android. Par ailleurs, les spywares zero-day visent généralement des personnes importantes plutôt qu’une surveillance de masse, donc le risque réel pour un individu reste faible.
Ce serait bien d’avoir un mode intermédiaire entre les deux. Par exemple, pouvoir abaisser la sécurité pendant quelques minutes quand on a besoin d’une fonction. Si Safari détecte que JavaScript est lent, il pourrait demander si l’on veut réactiver le JIT.
Du point de vue de la realpolitik, il est possible que des régimes répressifs aient autorisé Apple à commercialiser des appareils avec cette fonction à condition de ne pas en faire la promotion active ni d’en faire le réglage par défaut. Si, en Chine, Lockdown Mode était activé par défaut et utilisé par la majorité, Apple serait rapidement expulsée du pays.
Je n’ai pas non plus remarqué de différence sur le contenu web, mais c’est peut-être parce que j’utilise Firefox/Chrome au lieu de Safari. Ce que je veux vraiment, ce sont des options. Par exemple, sur iOS, j’utilise les albums photo partagés, donc j’aimerais pouvoir conserver cette fonction et désactiver seulement le reste.
D’abord, Continuity semble presque cassé, alors que c’est une fonction dont je dépends pas mal. AirPlay devient aussi assez capricieux.
Tout cela pouvait être dû à des problèmes réseau, mais ce n’est arrivé qu’après le passage à Lockdown Mode. Et le fait que les demandes de Temps d’écran ne fonctionnent plus est aussi assez pénible.
Combien de vulnérabilités iMessage a-t-il eues jusqu’ici ?
N’est-il pas temps de n’autoriser que du texte brut pour le premier message d’un nouveau contact, et pour les autres messages seulement un sous-ensemble très limité, au lieu d’un système d’extensions délirant qui n’est pas si différent d’ActiveX ?
On pourrait aussi envisager de faire tourner toute l’app dans une sandbox, et de tout traiter via une webview comme couche de protection supplémentaire.
iMessage devrait avoir exactement le même comportement pour les mêmes raisons. C’est frustrant de voir des chefs de produit cupides, travaillant dans le même bâtiment, réapprendre les leçons que la génération précédente a apprises dans la douleur.
La réponse ne devrait pas être « ne rendons pas les images ». On devrait pouvoir faire confiance aux composants qui analysent des données externes comme les images pour ne pas pouvoir adopter un comportement malveillant, quelle que soit l’entrée.
S’il faut du sandboxing, qu’on le fasse ; s’il faut réécrire tous les parseurs d’images dans un langage sûr depuis zéro, ou prouver formellement leur correction, qu’on le fasse. Apple a assez d’argent pour financer dix programmes spatiaux maison ; elle devrait donc pouvoir construire une bibliothèque d’images prouvable.
iMessage a connu une poignée d’exploits, licenciés à des prix extrêmement élevés par des entités comme NSO à un très petit nombre d’acteurs étatiques peu recommandables, pour des attaques ciblées à très haut risque.
J’ai trouvé. Pour ceux que ça intéresse : sur iPhone, allez dans Settings, touchez Messages, puis passez iMessage sur Off.
Encore un buffer overflow dans le décodage d’images ; ça ressemble à la vulnérabilité de 2021 [1].
Celle-là était vraiment impressionnante. Ils avaient construit un CPU à partir des opérations primitives fournies par un obscur format de compression d’image inclus dans un PDF, puis effectué suffisamment d’opérations arithmétiques pour obtenir une élévation supplémentaire vers l’exécution de code arbitraire.
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
Qu’on ne se méprenne pas : je pense que JPEG-XL est une bonne idée, mais à ceux qui demandent « quel mal y a-t-il à prendre en charge un format d’image de plus ? », voilà la réponse.
Ce correctif est sorti aujourd’hui et semble synchronisé avec l’annonce ; il faut donc vérifier que vous-même et les personnes autour de vous avez bien fait la mise à jour.
https://support.apple.com/en-us/HT201222
À ma connaissance, tout le code de parsing d’iMessage devrait s’exécuter dans la sandbox BlastDoor ; y a-t-il donc une autre vulnérabilité de chaîne non divulguée ici ?
Mettre NSO Group sur la liste noire du département du Commerce n’était manifestement pas suffisant. Ces ordures devraient finir, au moins métaphoriquement, à La Haye.
Si NSO Group, Pegasus et Citizen Lab vous intéressent, l’épisode 100 du podcast Darknet Diaries retrace bien l’historique.
Lien pour les curieux : https://darknetdiaries.com/episode/100/
Il faudrait un Lockdown Mode plus granulaire. Par exemple, désactiver l’automatisation et les éléments à risque d’iMessage et de Safari, tout en laissant les accessoires de l’appareil fonctionner.
Ce n’est pas idéal de perdre jusqu’à ses accessoires Bluetooth pour se protéger des exploits zéro clic d’iMessage. iMessage est la surface d’attaque la plus largement exposée.
Par exemple, Settings > Messages > iMessage est un interrupteur que l’on peut désactiver si l’on estime qu’iMessage est le problème.
Settings > Safari > Privacy and security contient aussi plusieurs réglages permettant de configurer un verrouillage plus fin pour Safari.
Je me demande si le mode Lockdown aurait bloqué cette attaque
Jusqu’à présent, un iPhone en mode Lockdown a-t-il déjà été piraté au moyen d’une vulnérabilité zero-day ? En excluant les cas où l’on trompe l’utilisateur pour lui faire installer un programme malveillant
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
Lien CL : https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
Fil connexe en cours :
iOS 16.6.1 corrige deux vulnérabilités connues comme étant activement exploitées dans la nature - https://news.ycombinator.com/item?id=37423506 - septembre 2023, 7 commentaires