Apple alerte des utilisateurs dans 92 pays d’attaques de logiciels espions mercenaires
(techcrunch.com)- La menace des logiciels espions mercenaires visant des personnes à haut risque est de nouveau confirmée, et Apple a averti des utilisateurs d’iPhone dans 92 pays d’une possible attaque ciblée
- Cette alerte indique qu’Apple a détecté une tentative de compromission à distance d’iPhone liés à des identifiants Apple, mais l’identité des attaquants et les pays visés n’ont pas été révélés
- Apple précise qu’il n’existe pas de certitude absolue dans la détection, mais indique que cette alerte est émise avec un haut niveau de confiance et doit être prise au sérieux
- Depuis 2021, Apple a envoyé des alertes similaires à des utilisateurs dans plus de 150 pays, et a également adressé le même type d’avertissement en octobre dernier à des journalistes et responsables politiques en Inde
- Apple a remplacé l’expression « state-sponsored » par « mercenary spyware attacks », distinguant des attaques comme Pegasus, bien plus sophistiquées et rares que les logiciels malveillants ordinaires
Alerte de menace envoyée à des utilisateurs d’iPhone dans 92 pays
- Apple a envoyé mercredi à midi (heure du Pacifique) une alerte de menace à des utilisateurs individuels dans 92 pays
- L’alerte avertissait que des iPhone liés à leur identifiant Apple pouvaient être compromis à distance par une attaque de logiciel espion mercenaire
- L’alerte consultée par TechCrunch ne révélait ni l’identité des attaquants ni le pays dans lequel se trouvaient les utilisateurs ayant reçu la notification
- Le message essentiel transmis aux utilisateurs était le suivant
- L’attaque a pu les viser individuellement en raison de leur identité ou de leurs activités
- Ce type d’attaque ne permet pas de garantir une certitude absolue lors de la détection
- Apple accorde un niveau de confiance élevé à cet avertissement, et les utilisateurs doivent le prendre au sérieux
- Apple indique ne pas pouvoir fournir davantage de détails sur la raison de l’envoi de cette alerte, car les attaquants pourraient modifier leur méthode afin d’échapper à de futures détections
Alertes répétées et évolution de la terminologie
- Apple envoie ce type d’alerte plusieurs fois par an et précise sur une page d’assistance qu’elle a signalé des menaces similaires à des utilisateurs dans plus de 150 pays depuis 2021
- En octobre dernier, le même avertissement a également été envoyé à plusieurs journalistes et responsables politiques en Inde
- Par la suite, Amnesty International a rapporté avoir découvert Pegasus, le logiciel espion intrusif de l’entreprise israélienne de spyware NSO Group, sur les iPhone de grands journalistes indiens
- Selon des personnes au fait du dossier, les utilisateurs ayant reçu la plus récente alerte de menace comprenaient aussi des utilisateurs en Inde
- Cette alerte intervient alors que plusieurs pays se préparent à des élections
- Ces derniers temps, plusieurs entreprises technologiques ont mis en garde contre une hausse des activités soutenues par des États visant à influencer l’issue de certaines élections
- L’alerte d’Apple elle-même ne mentionne pas le moment de son envoi
- Apple qualifiait auparavant les attaquants de « state-sponsored », mais a désormais remplacé toutes les formulations associées par « mercenary spyware attacks »
- Les attaques de logiciels espions mercenaires comme Pegasus sont classées comme des menaces bien plus sophistiquées et exceptionnellement rares que la cybercriminalité ordinaire ou les malwares destinés au grand public
- Apple affirme n’utiliser que des renseignements internes sur les menaces et ses propres investigations pour détecter ce type d’attaque
- Ressource associée : Outil pour vérifier si le spyware Pegasus de NSO a ciblé votre téléphone
1 commentaires
Avis sur Hacker News
Il existe un fil Reddit publié par quelqu’un qui a reçu ce genre d’alerte : https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Ce qui est intéressant, c’est que la personne affirme être simplement un étudiant ordinaire ; et si c’était vraiment une sorte d’agent secret, elle ne serait probablement pas allée poser la question sur Reddit, donc ça paraît assez plausible.
Je me demande si les hackers choisissent leurs cibles selon des critères comme le numéro de téléphone. On peut imaginer qu’un étudiant ait récemment obtenu un nouveau numéro, et que ce numéro ait auparavant été lié à une cible. Cela dit, on pourrait penser qu’il devrait exister un moyen de retirer de la circulation les numéros connus comme étant ciblés.
Si l’on peut prendre le contrôle d’un militant afin de détruire la confiance autour de lui, c’est une capacité énorme. Je ne serais pas du tout surpris si la porte dérobée dans xz compression avait été une tentative d’un gouvernement donné d’obtenir la capacité de faire tomber ou de discréditer toute personne qui s’oppose à lui.
Entre le Metaverse, les spywares mercenaires, la désignation de cibles par l’IA en temps de guerre et les drones tueurs, je me demande sans cesse qui a lu Neuromancer en se disant : « Quel avenir radieux ! Comment concrétiser cette merveilleuse vision du futur ? »
Entreprise tech : nous avons enfin créé le Torment Nexus du classique de la SF « Ne créez pas le Torment Nexus ».
https://twitter.com/AlexBlechman/status/1457842724128833538
Ou alors ce sont des gens qui n’ont pas lu 1984 et n’en ont donc pas compris l’avertissement.
Et au final, rien n’a été corrigé. On dirait que nous continuons simplement à pousser toujours plus vite et toujours moins cher. À force d’alléger, il faudra bientôt couper des bras et des jambes. Si un bureaucrate ou un manager compétent avant vous a déjà supprimé la graisse, il n’en reste plus beaucoup à couper pour le suivant. En plus, une certaine quantité de graisse est en réalité utile.
Même ici, beaucoup de gens pensent que « la technologie pour la technologie » est une bonne chose, ou que toute technologie est intrinsèquement un progrès social et que progrès === bien.
Si je recevais un message du type « Apple a détecté que l’iPhone associé à votre Apple ID -xxx- est la cible d’une attaque de spyware mercenaire visant à le compromettre à distance », je penserais que cela fait partie d’une tentative de phishing.
Comment savoir que c’est authentique ? Si cela ressemble différemment aux autres messages que je reçois d’habitude, je risque d’autant plus de penser que c’est faux.
Apparemment, comme indiqué dans un commentaire plus bas, on peut le vérifier en se connectant à appleid.apple.com. Là, ça devient crédible.
https://support.apple.com/en-lamr/102174
Si ma banque me contactait au sujet d’une fraude à la carte bancaire avec un gros bouton « cliquez ici pour vous connecter », je serais très méfiant. À l’inverse, s’il n’y a que l’information et que cela se termine par quelque chose comme « pour en savoir plus, contactez votre agence la plus proche », sans lien ni numéro de téléphone, ce serait moins suspect.
Je ne comprends pas que Pegasus et NSO soient encore autorisés à exister. Je sais que c’est une entreprise israélienne, mais le gouvernement israélien a-t-il déjà pris des mesures contre eux ? Cela ressemble en pratique au comportement d’un État voyou.
Les utilisateurs d’Android risquent d’être dans une situation bien plus grave, c’est juste que Google ne le rend pas public.
En voyant cette affaire, j’envisage sérieusement de passer chez Apple. Pas parce qu’Apple serait sûre, mais parce qu’elle montre à ce point une volonté d’informer les utilisateurs.
La nature open source d’Android augmente les chances que ce genre de choses soit découvert d’abord par des chercheurs en sécurité. Il ne faut pas oublier non plus que Zerodium paie toujours davantage pour un 0-day Android que pour un 0-day iOS.
En plus, les différences entre appareils Samsung, Google, Moto, Huawei, etc. sont si importantes qu’un exploit unique a au moins trois fois plus de mal à réussir.
Cela veut dire que, si une infection finit par être découverte, Apple peut isoler le point d’entrée de la faille, puis rescanner tous les appareils afin de détecter ceux qui ont pu être ciblés par la même attaque.
À l’échelle d’un groupe, il est logique de hacher les données pouvant servir d’empreinte. Dans un cas extrême, quelque chose d’aussi simple que la pile d’appels après réception d’un iMessage pourrait suffire.
Par ailleurs, je ne pense pas que Google soit responsable de surveiller et d’avertir aussi les utilisateurs de téléphones d’autres fabricants comme Samsung ou Motorola.
« Les attaques par logiciels espions mercenaires, comme celles qui semblent utiliser Pegasus de NSO Group, sont extrêmement rares et bien plus sophistiquées que la cybercriminalité ordinaire ou les malwares grand public. »
Dans ce cas, le fait même de déclencher une alerte Apple chez la cible pourrait faire partie d’une opération sophistiquée.
Ces cibles réagiront, ou seront contraintes de réagir, d’une certaine manière. On les incite à sortir de leur cachette et à réagir, ne serait-ce qu’en observant leur comportement.
Que feront-elles ensuite ? Changer de téléphone ? Se connecter à certains services numériques ? Avertir leur réseau via des moyens de communication ordinaires ? Du point de vue d’un observateur, c’est assez passionnant.
Apple : « Si vous avez reçu une notification de menace Apple, nous vous recommandons vivement de solliciter l’aide d’experts, comme l’assistance de sécurité d’urgence à réponse rapide fournie par la Digital Security Helpline, à but non lucratif, d’Access Now. Les destinataires des notifications de menace Apple peuvent contacter la Digital Security Helpline via son site web, 24 h/24 et 7 j/7. Les organisations externes ne disposent pas d’informations sur ce qui a conduit Apple à envoyer une notification de menace, mais elles peuvent aider à fournir des conseils de sécurité personnalisés aux utilisateurs ciblés. »
https://support.apple.com/en-lamr/102174
Amnesty International : « L’Access Now Helpline et les autres partenaires de la société civile du Security Lab sont également prêts à aider les personnes ayant reçu une notification d’Apple. »
https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
Après que le FBI a réussi à pénétrer un iPhone en 2018, je suis surpris que quelqu’un y conserve encore des secrets.
Si vous vous demandez à quoi ressemble le message réel, un utilisateur de Reddit en a publié une version précédente de 2023. Elle n’est pas complète : https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Ce spyware est-il rendu possible par des défauts d’ingénierie dans les produits Apple ?
Mais aucun logiciel significatif totalement dépourvu de ce type de défaut n’a jamais existé. Autrement dit, pour ce type d’attaques, iOS est probablement meilleur que la plupart des autres plateformes.
https://darknetdiaries.com/episode/100/
Cela devrait en fait concerner pratiquement tous les pays, donc je me demande pourquoi les notifications ne partent que dans 92 pays.
On ne sait pas de quels 92 pays il s’agit.