Apple a alerté un développeur d’exploits dont l’iPhone a été ciblé par un spyware gouvernemental

 (techcrunch.com)
2 points par GN⁺ 2025-10-23 | 1 commentaires | Partager sur WhatsApp
  • Apple a envoyé une alerte à un développeur d’exploits lui signalant que son iPhone avait été visé par un spyware gouvernemental.
  • Le développeur était auparavant un spécialiste qui développa des vulnérabilités zero-day iOS et des outils chez Trenchant.
  • D’autres développeurs de spyware et d’exploits ayant reçu récemment des alertes de spyware similaires d’Apple ont été identifiés au cours des derniers mois.
  • La diffusion du spyware et des outils d’attaque zero-day montre que les victimes incluent de plus en plus d’experts en sécurité.
  • La conjonction entre les soupçons de fuite d’outils de hacking au sein de l’entreprise et la procédure de licenciement a fait naître l’hypothèse qu’il aurait pu devenir une victime désignée.

Aperçu de l’affaire

  • Au début de cette année, un développeur d’outils de piratage a reçu sur son iPhone personnel un message indiquant : « Nous avons détecté que votre iPhone est devenu la cible d’une attaque de spyware mercenaire ciblée. » et a été choqué.
  • Pour éviter des risques de représailles, il a utilisé le pseudonyme Jay Gibson sans révéler son nom réel.
  • Jusqu’à récemment, Gibson travaillait chez Trenchant, une entreprise qui développe des outils destinés à des gouvernements occidentaux, sur les vulnérabilités zero-day iOS et le développement d’exploits.
  • Il est le premier personnage documenté du secteur à être lui-même visé en tant que développeur de spyware et d’exploits.

Évolutions après l’incident

  • Gibson a expliqué qu’il avait été saisi d’une immense confusion, sans comprendre ce qui se passait, et d’une peur extrême, puis qu’il avait immédiatement éteint son téléphone, l’a rangé et a acheté un nouveau téléphone.
  • Il dit avoir eu des réactions paniquées, comme appeler son père, et qu’il y avait alors un profond chaos.
  • Dans une interview avec TechCrunch, Gibson a fait part de ses inquiétudes : « Quand on en arrive à ce stade, personne ne peut savoir ce qui va se passer ensuite. »

Apparition d’autres victimes similaires dans l’industrie

  • En dehors de l’affaire Gibson, nos investigations ont également confirmé qu’il existe d’autres développeurs de spyware et d’exploits ayant reçu une alerte de spyware d’Apple ces derniers mois.
  • Apple n’a pas répondu à la demande de commentaires de TechCrunch.

Effets de la diffusion des outils de spyware et zero-day

  • Le cas de Gibson illustre la diversification des cibles d’attaque alors que les outils zero-day et spyware se diffusent plus largement.
  • Les éditeurs de spyware et de zero-day ont officiellement affirmé que leurs outils ne sont utilisés que par des autorités gouvernementales de confiance pour cibler des criminels ou des terroristes.
  • Toutefois, Citizen Lab (université de Toronto), Amnesty International et plusieurs autres groupes de recherche ont documenté, au cours des dix dernières années, des dizaines de cas où des gouvernements utilisaient régulièrement ces outils contre des dissidents, des journalistes, des défenseurs des droits de l’homme, des rivaux politiques, entre autres.
  • Bien qu’il ait déjà existé des cas où des chercheurs en sécurité étaient ciblés par des groupes de hackers (notamment pour des cas impliquant la Corée du Nord), il reste rare qu’un développeur de spyware lui-même soit ciblé.

Enquête sur les soupçons de fuite et l’instruction interne

Après l’alerte Apple

  • Après l’alerte, Gibson a pris contact avec un expert ayant une grande expérience de l’analyse forensique des attaques par spyware.
  • Les premières analyses n’ont pas révélé de traces d’infection claires, mais l’expert a recommandé une analyse forensique plus précise.
  • Une analyse fiable nécessitait une sauvegarde complète de l’appareil de Gibson ; toutefois, il a refusé des investigations supplémentaires en raison de préoccupations de confidentialité et de sécurité.
  • On observe également une hausse des cas où certaines attaques par spyware ne laissent pas de traces facilement détectables lors de l’analyse forensique.

Licenciement et tensions internes

  • Environ un mois avant l’alerte d’Apple, Gibson avait visité le bureau de Trenchant London pour participer à un événement de team building interne.
  • Dès son arrivée, il a été informé par un manager de l’entreprise qu’il était suspendu et que tous ses équipements de l’entreprise seraient saisis et analysés, pour soupçon de double emploi.
  • Deux semaines plus tard, Gibson a reçu une notification officielle de licenciement et une offre de transaction.
  • Gibson affirme que l’entreprise l’a désigné comme bouc émissaire dans l’affaire de fuite d’outils de hacking.
  • Gibson et ses trois collègues ont déclaré qu’ils n’étaient pas impliqués dans le développement de zero-days liés à Chrome, et les équipes internes sont strictement séparées par plateforme.
  • Le licenciement de Gibson, le motif invoqué ainsi que les soupçons et rumeurs au sein des équipes ont été confirmés comme vrais de manière indépendante par trois anciens collègues de Trenchant.

Conclusions et informations complémentaires

  • Cette affaire sert de signal fort montrant que l’essor des technologies de spyware expose même les propres experts de la sécurité à des menaces d’attaque.
  • Elle met en lumière l’armement de vulnérabilités de sécurité par les gouvernements et institutions, les risques de sécurité internes et les enjeux de protection des développeurs.
  • Le porte-parole de L3Harris (la société mère de Trenchant) a refusé de commenter officiellement.
  • Gibson et ses anciens collègues soutiennent qu’il n’est pas responsable de l’incident de fuite et que l’évaluation de l’entreprise était erronée.

À lire aussi

1 commentaires

 
GN⁺ 2025-10-23
Commentaires Hacker News

  • J’ai déjà passé des entretiens avec des entreprises de ce genre (pas celle citée dans l’article). J’ai même constaté, après avoir reçu une offre, qu’elles utilisaient des vulnérabilités contre moi; je pense donc que cette situation va dans le même sens. Je ne peux pas imaginer développer ces vulnérabilités avec l’idée de les revendre ensuite. Si ces entreprises n’ont pas de scrupules à utiliser des outils offensifs contre leurs propres employés, elles n’auront aucune retenue à les utiliser contre des acteurs de puissance réelle comme le Congrès, les tribunaux, les banques d’investissement ou les responsables IT. En pratique, elles obtiendraient la capacité de faire chanter les personnes les plus influentes au monde. Au passage, elles n’ont pas non plus mentionné le fait qu’elles envisageaient de cibler des opposants politiques ou des journalistes.

    • Ces entreprises filtrent naturellement les personnes dotées de fortes valeurs éthiques, et, dans le pire des cas, elles recrutent des personnes qui pensent “je veux surveiller quelqu’un en secret”. Cette réalité est inquiétante.
    • Si l’on demande s’il est possible de développer cela de manière éthique, la vérité est que des activités de CNE (Computer Network Exploitation) se feront d’une manière ou d’une autre, et que la CNE coûte moins cher et cause moins de dommages que le HUMINT. Bien sûr, l’usage abusif de cette technologie contre des opposants politiques et des journalistes est un problème grave à l’échelle mondiale. Moi non plus, je ne veux pas travailler dans ce domaine (et je n’ai plus non plus cette capacité). Mais ceux qui travaillent dans ce secteur au service des États membres de l’OTAN ont une logique. Rejeter fondamentalement la justice et les services de renseignement est l’apanage d’une minorité, et beaucoup de familles sont fières d’avoir un proche qui y travaille. Le point vraiment crucial ici, c’est “notre avis ne compte pas”. Au prix de marché actuel, pratiquement tous les États peuvent acheter des technologies CNE, et des acteurs hors OTAN alimentent déjà suffisamment ce marché.
    • Que ces sociétés aient réellement tenté une attaque est vraiment choquant. J’aimerais savoir précisément comment l’attaque s’est produite: ont-ils envoyé un lien par SMS, ou utilisé une autre méthode?
    • C’est peut-être juste une étape du processus de recrutement.
    • Pour cette raison, je ne veux pas travailler dans la cybersécurité. C’est un secteur trop dangereux, une vraie zone sans règles.

  • J’ai vu la phrase selon laquelle ce pourrait être le premier cas documenté d’un développeur, Gibson, qui développe des vulnérabilités et du spyware et qui serait devenu lui-même victime d’une attaque de spyware. Or, ces derniers mois, il semble qu’il y ait eu d’autres développeurs de spyware et de vulnérabilités, Gibson compris, qui ont été attaqués.

  • Je m’intéresse davantage à la façon dont Apple a pris cette décision que au drame entre le développeur et son ancien employeur.

    • L’ancien employeur pourrait avoir utilisé une Wi‑Fi sandbox ou des dispositifs de type Stingray, mais avec Apple, on voit que ce trafic passait par les canaux officiels iMessage/PushNotification.

  • En lisant la citation de Gibson: “j’étais en état de panique”, j’ai eu une idée amusante: et si son vrai nom était Jay Gibson et que le journaliste ne l’a pas su?

  • Il a fallu relire plusieurs fois l’article “Apple notifies exploits developer” pour en saisir le sens. Au début, je l’ai compris comme “la notification d’Apple qui attaque d’une manière ou d’une autre le développeur”; plus tard, j’ai compris que cela signifiait “Apple envoie une notification au développeur qui crée des vulnérabilités”.

    • Donc ça voulait dire qu’Apple a notifié une “vulnérabilité” au développeur? :)

  • En fin de compte, on dirait que quelqu’un dans cette organisation a divulgué une vulnérabilité Chrome, et que cette personne a été choisie comme bouc émissaire. Cela dit, toute la situation peut aussi sembler inventée plutôt qu’authentique.

  • Cette personne pense que, même si elle dispose d’outils pour vérifier qu’elle (ou des clients de plus haut niveau) a bien divulgué quelque chose, l’entreprise ne va pas vérifier sérieusement si “c’était vraiment le cas”. C’est une attitude vraiment naïve. J’imagine qu’il y a peut-être aussi eu un geste symbolique pour montrer une mise en garde.

  • En lisant la citation de Gibson “j’étais en état de panique”, puis, plus tard, “sans analyse médico-légale précise il est impossible de savoir pourquoi j’ai été attaqué”, “la personne croit que l’alerte de menace d’Apple est liée à sa sortie de Trenchant”, le narratif de l’article se dessine. Ce qui est intéressant: (1) le fait qu’il n’ait jamais imaginé qu’il puisse lui arriver; (2) il fait une interview avec la presse tout en craignant les représailles. Honnêtement, à ce stade, ceux qui veulent vraiment le savoir ont sûrement déjà son vrai nom.

    • Cette histoire dégage franchement une forte odeur de fiction, sauf si cette personne est une victime connue du milieu. Quelqu’un qui fait du bug-hunting doit connaître clairement tous les vecteurs d’attaque, et si on travaille chez Trenchant, une entreprise sensible, on n’utiliserait pas d’iPhone pour le travail (ou du moins pas de façon complète). En général, j’ai un téléphone grand public pour l’usage public et un téléphone privé, très durci, séparé. Quand j’attache un iPhone au routeur, on voit énormément de trafic qui part vers Apple, en dehors de mon contrôle. En revanche, avec le téléphone Android custom rooté et dégooglisé que j’emporte à l’étranger, quand je refais la même expérience, il ne reste pratiquement que du trafic NTP, uniquement pour éviter l’écart d’heure des certificats.

    • Dans ce contexte, sortir dans les médias peut aussi être un choix stratégique pour éviter de disparaître.

  • En lisant le passage “la première documentation d’un cas où Gibson, qui a créé des outils de surveillance, est lui-même devenu la cible documentée d’un spyware”, le mème “leopardes ont mangé mon visage” (leopards ate my face) me vient à l’esprit: ces outils sont, en fin de compte, développés pour être réellement utilisés.

    • Depuis une vingtaine d’années, le fait que les développeurs de vulnérabilités soient les principales cibles des spyware est une connaissance bien ancrée dans l’industrie; le journaliste ne semble pas bien connaître ce milieu.

    • Si vous voulez voir le mème “leopardes ont mangé mon visage”, vous pouvez le voir ici

    • L’ensemble de l’article donne l’impression d’une controverse du type “toi, ma version, moi, la tienne” après le licenciement de Gibson par Trenchant/L3Harris.

  • J’ai aussi connu, autrefois, une situation similaire en tant que contractuel dans l’industrie de la défense, donc je comprends un peu Gibson. Ces entreprises attirent les gens avec des salaires alléchants et la promesse de “faire du bon travail”, puis finissent par extraire toute leur énergie pour générer du profit, et si problème: transfèrent toute la responsabilité sur eux (surtout si quelqu’un signale de bonne foi une fraude interne ou une erreur, il est aussitôt remercié et complètement brûlé dans le secteur). Le meilleur choix est de ne pas travailler pour ce genre d’organisations, mais des gens, avec la naïveté de “faire le bien” ou “attraper le méchant”, continuent d’entrer dans ces boîtes, et finissent par devenir le mème “leopardes ont mangé mon visage”.

    • J’ai commencé en pensant: “si je m’engage, obtiens un top-secret clearance, et enseigne la gestion de LAN ainsi que la manière d’insérer des images dans PowerPoint à des officiers, je ne serai jamais au chômage.” Mais en réalité, le travail n’a consisté qu’à être une pièce aisément remplaçable dans la guerre PowerPoint de quelqu’un d’autre. Toutes les réunions avaient l’air d’un théâtre à haut risque, une répétition de “oui, compris”; la prise de responsabilité est optionnelle, et si vous prenez la parole, vous êtes immédiatement coupé. Même des erreurs de plusieurs milliards de dollars sont passées pour une “leçon apprise”, tandis que l’honnêteté m’est apparue comme une posture. C’est comme le jeu de l’“empereur nu”: tout le monde a une corde au cou et tremble de l’inquiétude liée aux secrets.