1 points par GN⁺ 2024-04-12 | 1 commentaires | Partager sur WhatsApp
  • La menace des logiciels espions mercenaires visant des personnes à haut risque est de nouveau confirmée, et Apple a averti des utilisateurs d’iPhone dans 92 pays d’une possible attaque ciblée
  • Cette alerte indique qu’Apple a détecté une tentative de compromission à distance d’iPhone liés à des identifiants Apple, mais l’identité des attaquants et les pays visés n’ont pas été révélés
  • Apple précise qu’il n’existe pas de certitude absolue dans la détection, mais indique que cette alerte est émise avec un haut niveau de confiance et doit être prise au sérieux
  • Depuis 2021, Apple a envoyé des alertes similaires à des utilisateurs dans plus de 150 pays, et a également adressé le même type d’avertissement en octobre dernier à des journalistes et responsables politiques en Inde
  • Apple a remplacé l’expression « state-sponsored » par « mercenary spyware attacks », distinguant des attaques comme Pegasus, bien plus sophistiquées et rares que les logiciels malveillants ordinaires

Alerte de menace envoyée à des utilisateurs d’iPhone dans 92 pays

  • Apple a envoyé mercredi à midi (heure du Pacifique) une alerte de menace à des utilisateurs individuels dans 92 pays
  • L’alerte avertissait que des iPhone liés à leur identifiant Apple pouvaient être compromis à distance par une attaque de logiciel espion mercenaire
  • L’alerte consultée par TechCrunch ne révélait ni l’identité des attaquants ni le pays dans lequel se trouvaient les utilisateurs ayant reçu la notification
  • Le message essentiel transmis aux utilisateurs était le suivant
    • L’attaque a pu les viser individuellement en raison de leur identité ou de leurs activités
    • Ce type d’attaque ne permet pas de garantir une certitude absolue lors de la détection
    • Apple accorde un niveau de confiance élevé à cet avertissement, et les utilisateurs doivent le prendre au sérieux
  • Apple indique ne pas pouvoir fournir davantage de détails sur la raison de l’envoi de cette alerte, car les attaquants pourraient modifier leur méthode afin d’échapper à de futures détections

Alertes répétées et évolution de la terminologie

  • Apple envoie ce type d’alerte plusieurs fois par an et précise sur une page d’assistance qu’elle a signalé des menaces similaires à des utilisateurs dans plus de 150 pays depuis 2021
  • En octobre dernier, le même avertissement a également été envoyé à plusieurs journalistes et responsables politiques en Inde
    • Par la suite, Amnesty International a rapporté avoir découvert Pegasus, le logiciel espion intrusif de l’entreprise israélienne de spyware NSO Group, sur les iPhone de grands journalistes indiens
    • Selon des personnes au fait du dossier, les utilisateurs ayant reçu la plus récente alerte de menace comprenaient aussi des utilisateurs en Inde
  • Cette alerte intervient alors que plusieurs pays se préparent à des élections
    • Ces derniers temps, plusieurs entreprises technologiques ont mis en garde contre une hausse des activités soutenues par des États visant à influencer l’issue de certaines élections
    • L’alerte d’Apple elle-même ne mentionne pas le moment de son envoi
  • Apple qualifiait auparavant les attaquants de « state-sponsored », mais a désormais remplacé toutes les formulations associées par « mercenary spyware attacks »
  • Les attaques de logiciels espions mercenaires comme Pegasus sont classées comme des menaces bien plus sophistiquées et exceptionnellement rares que la cybercriminalité ordinaire ou les malwares destinés au grand public
  • Apple affirme n’utiliser que des renseignements internes sur les menaces et ses propres investigations pour détecter ce type d’attaque
  • Ressource associée : Outil pour vérifier si le spyware Pegasus de NSO a ciblé votre téléphone

1 commentaires

 
GN⁺ 2024-04-12
Avis sur Hacker News
  • Il existe un fil Reddit publié par quelqu’un qui a reçu ce genre d’alerte : https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    Ce qui est intéressant, c’est que la personne affirme être simplement un étudiant ordinaire ; et si c’était vraiment une sorte d’agent secret, elle ne serait probablement pas allée poser la question sur Reddit, donc ça paraît assez plausible.
    Je me demande si les hackers choisissent leurs cibles selon des critères comme le numéro de téléphone. On peut imaginer qu’un étudiant ait récemment obtenu un nouveau numéro, et que ce numéro ait auparavant été lié à une cible. Cela dit, on pourrait penser qu’il devrait exister un moyen de retirer de la circulation les numéros connus comme étant ciblés.

    • Il semble y avoir une incompréhension de ce qui constitue une cible valable ou idéale pour des attaquants soutenus par un État ou de type mercenaire. Le simple fait de travailler dans un laboratoire, chez un fabricant industriel, dans une centrale électrique, dans une entreprise tech, ou de connaître un professeur particulier peut suffire à vous faire figurer sur une liste de cibles.
    • Cette personne est peut-être simplement étudiante, mais elle peut être liée d’une manière ou d’une autre à une cible réelle. Si cela fait partie d’une opération complexe, ils essaient peut-être un accès indirect.
    • Tout le monde pense aux secrets académiques, mais il faudrait aussi voir si cette personne a été impliquée, sous une forme ou une autre, dans des activités militantes.
      Si l’on peut prendre le contrôle d’un militant afin de détruire la confiance autour de lui, c’est une capacité énorme. Je ne serais pas du tout surpris si la porte dérobée dans xz compression avait été une tentative d’un gouvernement donné d’obtenir la capacité de faire tomber ou de discréditer toute personne qui s’oppose à lui.
    • Cette personne avait déjà été ciblée l’été dernier. Il est très probable qu’elle ne soit pas aussi inintéressante qu’elle le croit ou l’affirme.
    • Il peut aussi s’agir d’un membre de la famille ou d’une connaissance de la cible. J’ai fait pas mal de renseignement d’origine sources ouvertes (OSINT) comme hobby, et quand on cherche une cible, il arrive qu’on procède par triangulation ou par pivot via des personnes légèrement périphériques.
  • Entre le Metaverse, les spywares mercenaires, la désignation de cibles par l’IA en temps de guerre et les drones tueurs, je me demande sans cesse qui a lu Neuromancer en se disant : « Quel avenir radieux ! Comment concrétiser cette merveilleuse vision du futur ? »

    • Auteur de science-fiction : dans mon livre, j’ai inventé le Torment Nexus comme récit d’avertissement.
      Entreprise tech : nous avons enfin créé le Torment Nexus du classique de la SF « Ne créez pas le Torment Nexus ».
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • Les gens qui ont lu Neuromancer et pensé ça sont probablement les mêmes qui ont lu 1984 et pensé la même chose.
      Ou alors ce sont des gens qui n’ont pas lu 1984 et n’en ont donc pas compris l’avertissement.
    • Ce sont les gens qui ont dit « Ne t’inquiète pas de le faire correctement, fais-le vite d’abord, on corrigera plus tard » qui ont créé cet avenir.
      Et au final, rien n’a été corrigé. On dirait que nous continuons simplement à pousser toujours plus vite et toujours moins cher. À force d’alléger, il faudra bientôt couper des bras et des jambes. Si un bureaucrate ou un manager compétent avant vous a déjà supprimé la graisse, il n’en reste plus beaucoup à couper pour le suivant. En plus, une certaine quantité de graisse est en réalité utile.
    • Pas d’inquiétude. La réalité et le temps trouveront des moyens de rendre le monde pire que ce que les romanciers du passé pouvaient imaginer. Même Le Meilleur des mondes paraît désormais naïf.
    • Il ne manquera jamais de gens pour lire une dystopie et se dire : « C’est horrible. Je devrais opprimer le monde entier en tant que dieu-roi juste et vertueux, afin que tout fonctionne correctement selon le bien et le mal tels que les comprend ma vision extrêmement étroite. »
      Même ici, beaucoup de gens pensent que « la technologie pour la technologie » est une bonne chose, ou que toute technologie est intrinsèquement un progrès social et que progrès === bien.
  • Si je recevais un message du type « Apple a détecté que l’iPhone associé à votre Apple ID -xxx- est la cible d’une attaque de spyware mercenaire visant à le compromettre à distance », je penserais que cela fait partie d’une tentative de phishing.
    Comment savoir que c’est authentique ? Si cela ressemble différemment aux autres messages que je reçois d’habitude, je risque d’autant plus de penser que c’est faux.
    Apparemment, comme indiqué dans un commentaire plus bas, on peut le vérifier en se connectant à appleid.apple.com. Là, ça devient crédible.

    • D’après le site d’Apple, pour vérifier qu’une notification de menace Apple est authentique, il faut se connecter à appleid.apple.com. Si Apple a envoyé une notification de menace, elle apparaît clairement en haut de la page après connexion.
      https://support.apple.com/en-lamr/102174
    • S’il n’y a aucun lien à cliquer et qu’on ne vous pousse pas à vous connecter quelque part, cela ressemble simplement à une information.
      Si ma banque me contactait au sujet d’une fraude à la carte bancaire avec un gros bouton « cliquez ici pour vous connecter », je serais très méfiant. À l’inverse, s’il n’y a que l’information et que cela se termine par quelque chose comme « pour en savoir plus, contactez votre agence la plus proche », sans lien ni numéro de téléphone, ce serait moins suspect.
    • Si une arnaque de phishing a réussi à afficher ce genre de message sur le téléphone d’une autre manière, alors ce téléphone est probablement déjà compromis et n’est plus fiable.
    • À la fin, il est indiqué qu’on peut vérifier la validité en se connectant à iCloud, où une bannière d’alerte s’affiche.
    • J’ai entendu dire que cela apparaît sous forme de badge ou de bannière en haut du panneau web iCloud dans le navigateur. Il semble que cela apparaisse aussi au-dessus du message reçu.
  • Je ne comprends pas que Pegasus et NSO soient encore autorisés à exister. Je sais que c’est une entreprise israélienne, mais le gouvernement israélien a-t-il déjà pris des mesures contre eux ? Cela ressemble en pratique au comportement d’un État voyou.

    • PBS Frontline propose un bon documentaire sur NSO Group. Ils ont reçu l’approbation du gouvernement, et sont même utilisés comme levier politique : https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • La raison pour laquelle Pegasus et NSO sont encore autorisés, c’est que les entités qui ont le pouvoir de les interdire sont précisément leurs plus gros clients.
    • Il existe beaucoup d’entreprises de ce type, simplement moins connues. Je ne pense pas que cette situation ait grand-chose à voir avec Israël.
    • L’hypothèse est-elle que le gouvernement israélien n’approuve pas ce qu’ils font ?
  • Les utilisateurs d’Android risquent d’être dans une situation bien plus grave, c’est juste que Google ne le rend pas public.
    En voyant cette affaire, j’envisage sérieusement de passer chez Apple. Pas parce qu’Apple serait sûre, mais parce qu’elle montre à ce point une volonté d’informer les utilisateurs.

    • Ironiquement, ça pourrait être encore pire. iMessage est probablement une étape clé dans plus de 60 % de ce type d’exploits, et plusieurs moteurs de rendu Unicode/PDF sont aussi à l’origine de nombreuses attaques.
      La nature open source d’Android augmente les chances que ce genre de choses soit découvert d’abord par des chercheurs en sécurité. Il ne faut pas oublier non plus que Zerodium paie toujours davantage pour un 0-day Android que pour un 0-day iOS.
      En plus, les différences entre appareils Samsung, Google, Moto, Huawei, etc. sont si importantes qu’un exploit unique a au moins trois fois plus de mal à réussir.
    • En lisant entre les lignes, on peut penser qu’Apple dispose, après infection, d’une capacité à reproduire la cause racine sur tous les appareils Apple, mais qu’elle ne le dit simplement pas publiquement.
      Cela veut dire que, si une infection finit par être découverte, Apple peut isoler le point d’entrée de la faille, puis rescanner tous les appareils afin de détecter ceux qui ont pu être ciblés par la même attaque.
      À l’échelle d’un groupe, il est logique de hacher les données pouvant servir d’empreinte. Dans un cas extrême, quelque chose d’aussi simple que la pile d’appels après réception d’un iMessage pourrait suffire.
    • L’affirmation « les utilisateurs d’Android risquent d’être dans une situation bien plus grave » demande des preuves.
    • Google fait ce genre de chose depuis longtemps. J’ai déjà reçu un e-mail de ce type vers 2010.
    • Les utilisateurs d’Android sont-ils généralement dans une situation bien plus grave ? C’est possible. Mais aujourd’hui, les Google Pixel sont comparables à Apple en matière de sécurité, et certains les considèrent même comme plus sûrs. Comme d’autres l’ont dit, Google a déjà envoyé des notifications similaires par le passé.
      Par ailleurs, je ne pense pas que Google soit responsable de surveiller et d’avertir aussi les utilisateurs de téléphones d’autres fabricants comme Samsung ou Motorola.
  • « Les attaques par logiciels espions mercenaires, comme celles qui semblent utiliser Pegasus de NSO Group, sont extrêmement rares et bien plus sophistiquées que la cybercriminalité ordinaire ou les malwares grand public. »
    Dans ce cas, le fait même de déclencher une alerte Apple chez la cible pourrait faire partie d’une opération sophistiquée.
    Ces cibles réagiront, ou seront contraintes de réagir, d’une certaine manière. On les incite à sortir de leur cachette et à réagir, ne serait-ce qu’en observant leur comportement.
    Que feront-elles ensuite ? Changer de téléphone ? Se connecter à certains services numériques ? Avertir leur réseau via des moyens de communication ordinaires ? Du point de vue d’un observateur, c’est assez passionnant.

    • Apple recommande sur son site de contacter certains services pour obtenir de l’aide, et bien sûr Apple n’est pas la seule organisation à fournir ce type de conseils.
      Apple : « Si vous avez reçu une notification de menace Apple, nous vous recommandons vivement de solliciter l’aide d’experts, comme l’assistance de sécurité d’urgence à réponse rapide fournie par la Digital Security Helpline, à but non lucratif, d’Access Now. Les destinataires des notifications de menace Apple peuvent contacter la Digital Security Helpline via son site web, 24 h/24 et 7 j/7. Les organisations externes ne disposent pas d’informations sur ce qui a conduit Apple à envoyer une notification de menace, mais elles peuvent aider à fournir des conseils de sécurité personnalisés aux utilisateurs ciblés. »
      https://support.apple.com/en-lamr/102174
      Amnesty International : « L’Access Now Helpline et les autres partenaires de la société civile du Security Lab sont également prêts à aider les personnes ayant reçu une notification d’Apple. »
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • Changer de téléphone ? Si un Motorola à 130 dollars peut offrir une meilleure sécurité, alors oui.
      Après que le FBI a réussi à pénétrer un iPhone en 2018, je suis surpris que quelqu’un y conserve encore des secrets.
  • Si vous vous demandez à quoi ressemble le message réel, un utilisateur de Reddit en a publié une version précédente de 2023. Elle n’est pas complète : https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • Le message semble recommander à l’utilisateur de « mettre à jour vers iOS 16.6, la dernière version du logiciel ». Je me demande si le message est différent pour les utilisateurs d’appareils qui ne peuvent pas passer au-delà d’iOS 15, comme l’iPhone 7, le 7 Plus ou le SE.
  • Ce spyware est-il rendu possible par des défauts d’ingénierie dans les produits Apple ?

    • Techniquement, on peut dire que oui.
      Mais aucun logiciel significatif totalement dépourvu de ce type de défaut n’a jamais existé. Autrement dit, pour ce type d’attaques, iOS est probablement meilleur que la plupart des autres plateformes.
    • À propos de NSO Group, le podcast Darknet Diaries vaut le détour. NSO Group est probablement prêt à payer plus de 100 000 dollars des hackers qui disposent d’un zero-day utilisable contre l’iPhone.
      https://darknetdiaries.com/episode/100/
    • Jusqu’à présent, presque tous les virus informatiques, vers, etc. ont été rendus possibles par des défauts d’ingénierie dans des produits logiciels. Tous les logiciels jamais créés dans le monde, y compris celui que vous utilisez actuellement, contiennent des bugs.
    • Je pense que oui. Toutes les plateformes ont des bugs et des zero-days.
  • Cela devrait en fait concerner pratiquement tous les pays, donc je me demande pourquoi les notifications ne partent que dans 92 pays.

    • Dans certains pays, il est peut-être illégal d’avertir les utilisateurs de cette manière. Je pense que le fait d’informer une personne qu’elle a été ciblée par un gouvernement peut être illégal dans certains pays.
  • On ne sait pas de quels 92 pays il s’agit.

    • J’ai trouvé étrange que ce chiffre soit explicitement mentionné dans le message destiné à l’utilisateur final. Par rapport au message de l’an dernier, on a l’impression qu’il glisse un peu vers le commentaire.