La mise à jour iOS 26 supprime des IOC clés des spywares Pegasus et Predator

 (iverify.io)
1 points par GN⁺ 2025-10-27 | 1 commentaires | Partager sur WhatsApp
  • Dans la dernière mise à jour d’iOS 26, la manière de traiter le fichier shutdown.log a été modifiée, ce qui entraîne la suppression des traces d’infection de Pegasus et Predator
  • Jusqu’ici, shutdown.log était utilisé comme preuve forensique essentielle pour détecter les malwares iOS, mais dans la nouvelle version, le journal est écrasé au redémarrage
  • Par le passé, Pegasus a continuellement fait évoluer ses techniques d’effacement et de dissimulation des logs, et Predator semble lui aussi avoir laissé des traces similaires
  • Ce changement soulève des difficultés accrues pour les chercheurs en sécurité et les enquêteurs forensiques qui veulent vérifier une infection
  • Alors que les attaques par spyware augmentent, l’attention se porte sur l’impact de la politique de gestion des logs d’Apple sur la transparence en matière de sécurité

Rôle et importance de shutdown.log

  • Le fichier shutdown.log enregistre les événements survenant lors de l’arrêt d’un appareil iOS et fournit des indices importants pour détecter un malware
    • Il se trouve dans le dossier Sysdiagnose, au chemin system_logs.logarchive → Extra → shutdown.log
    • Longtemps négligé dans l’analyse des malwares iOS, il a en réalité joué le rôle de « témoin silencieux » en conservant des traces d’infection
  • Une version du spyware Pegasus révélée en 2021 a laissé dans ce log des traces d’infection explicites (Indicator of Compromise, IOC)
    • Cela a permis aux chercheurs en sécurité d’identifier les appareils infectés
    • Par la suite, NSO Group, l’éditeur de Pegasus, a continuellement amélioré ses techniques pour échapper à la détection

La stratégie d’évasion renforcée de Pegasus

  • Vers 2022, Pegasus a commencé à masquer ses traces en supprimant complètement shutdown.log lui-même
    • Mais même ce processus de suppression laissait de légères traces, si bien qu’un « log anormalement propre » est devenu un indice d’infection
    • Ce schéma a été observé dans plusieurs cas, au point que la suppression du log elle-même a été considérée comme un indicateur d’infection
  • Pegasus aurait ensuite introduit un mécanisme de surveillance en temps réel de l’arrêt de l’appareil pour effacer totalement les logs
    • Les chercheurs ont confirmé de nombreux cas où, sur des appareils connus pour être infectés, shutdown.log était vide ou supprimé en même temps que d’autres IOC
    • En conséquence, un fichier de log anormalement réinitialisé est devenu un indicateur heuristique pour identifier les appareils suspects

Des traces similaires pour le spyware Predator

  • Le spyware Predator, observé en 2023, semble lui aussi avoir tiré des enseignements du cas Pegasus
    • Predator surveille shutdown.log et adopte un comportement laissant ses propres traces
    • Des schémas de logs similaires à ceux de Pegasus ont été découverts, ce qui a mis en évidence des similitudes techniques entre les deux spywares

Les changements d’iOS 26 et leurs effets

  • Dans iOS 26, shutdown.log est désormais écrasé (overwrite) à chaque redémarrage
    • Dans les versions précédentes, les logs de chaque arrêt étaient ajoutés (append), ce qui permettait de conserver l’historique
    • Désormais, chaque redémarrage de l’appareil efface entièrement l’ancien log et le remplace par un nouveau
  • Ce changement a pour effet de supprimer automatiquement les preuves d’infection existantes liées à Pegasus et Predator
    • On ne sait pas clairement s’il s’agit d’un choix de conception intentionnel d’Apple ou d’un bug
    • Cela peut viser l’hygiène du système ou des gains de performance, mais l’impact sur l’analyse forensique est critique
  • Alors que des hauts dirigeants, des célébrités et d’autres profils sont récemment devenus des cibles de spyware, cet effacement des logs à ce moment précis suscite de fortes inquiétudes dans la communauté sécurité

IOC Pegasus 2022 dans les versions antérieures à iOS 26

  • Dans les versions antérieures à iOS 26, un IOC spécifique lié à une infection Pegasus 2022 pouvait être identifié
    • La présence du chemin /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking dans shutdown.log indiquait une forte probabilité d’infection
    • NSO Group utilisait une stratégie de camouflage sous des noms de processus système ordinaires pour éviter la détection
    • Cela rendait plus difficile la détection explicite fondée sur les noms de processus

Analyse de corrélation des logs dans iOS 18 et versions antérieures

  • Dans iOS 18 et les versions antérieures, il était possible d’évaluer une infection en comparant les logs de containermanagerd avec shutdown.log
    • Les logs de containermanagerd enregistrent les événements de démarrage et conservent les données pendant plusieurs semaines
    • Des incohérences entre les deux logs, par exemple davantage d’événements de démarrage que de logs d’arrêt, suggèrent une possible dissimulation intentionnelle
    • Cela permettait de suivre indirectement les traces d’activité du spyware

Mesures recommandées avant la mise à jour

  • Avant de passer à iOS 26, il est recommandé de prendre les mesures suivantes
    • Générer et sauvegarder immédiatement un Sysdiagnose afin de préserver le shutdown.log actuel et les preuves associées
    • Il est préférable de reporter la mise à jour jusqu’à ce qu’Apple corrige le problème d’écrasement des logs
  • Ces mesures sont essentielles pour éviter la perte définitive des preuves d’infection et pour conserver des données utiles à de futures analyses forensiques

À lire aussi

1 commentaires

 
GN⁺ 2025-10-27
Avis Hacker News

  • J’ai été dérouté parce que l’article ne définissait pas ce que signifie IOC
    IOC est l’abréviation de Indicators Of Compromise. L’article l’écrivait en toutes lettres une fois, mais sans parenthèses. Je le partage au cas où d’autres, comme moi, ne le sauraient pas

    • Merci. Le seul IOC que je connaissais, c’était le Comité international olympique
    • Dans l’armée américaine, IOC signifie Initial Operational Capability. C’est distinct de FOC (Full Operational Capability). Voir cette explication du terme
    • Les sigles et acronymes sont inefficaces s’ils ne sont pas clairement définis, et ils créent une barrière entre ceux qui savent et ceux qui ne savent pas
      J’ai vraiment détesté quand, sur Facebook, “ISO” a commencé à être utilisé au sens de “in search of”. Cela prêtait à confusion avec l’ISO, l’Organisation internationale de normalisation.
      Dans notre entreprise, nous avons pour règle de n’utiliser que des abréviations dont le sens peut être deviné par le grand public et qui ne risquent pas d’être mal comprises avec une autre signification
    • La plaisanterie “Help stamp out TLAs” fait référence à l’idée d’éliminer l’abus des TLA (three-letter acronym). Un lien vers ASS.md a aussi été partagé
    • Les acronymes de trois lettres (TLA) n’offrent que 17 576 combinaisons possibles

  • Le positionnement d’Apple comme entreprise de la vie privée n’était au final qu’un simple marketing de marque
    Pendant que l’ICE passe contrat avec Paragon pour utiliser un spyware zero-click, Apple efface des traces forensiques essentielles permettant de détecter une surveillance étatique. En ajoutant le lobbying en or et en cash de Cook, ils sont engagés dans une course vers le bas, même parmi les big tech

    • Quand je travaillais chez Apple il y a 10 ans, l’ambiance en interne n’était pas comme ça. Si un tel changement a eu lieu, il est probablement récent.
      C’est très probablement un bug, et presque certainement pas une fonctionnalité ajoutée tardivement à la demande d’un gouvernement. Même dans l’affaire de San Bernardino avec le FBI, Apple n’a pas coopéré
    • Je pense qu’Apple va continuer à échouer à renforcer la sécurité de l’iPhone face aux entreprises de spyware
    • Apple a bien un programme de bug bounty et le programme SDR, mais on peut douter qu’il s’agisse d’une véritable conviction plutôt que d’une simple volonté d’éviter d’abîmer la marque.
      Ils pourraient faire davantage, mais aucune entreprise ne peut totalement résister à la pression politique
    • Apple a toujours été doué pour le marketing trompeur dès le départ. Faux discours écologique, politique anti-réparabilité, promesses mensongères sur la vie privée, etc.
      Si vous avez vraiment besoin de sécurité, GrapheneOS est bien plus digne de confiance

  • Dans les systèmes à grande échelle, même une petite modification devient un problème pour quelqu’un
    Apple pourrait rétablir la fonctionnalité pour calmer la communauté iVerify, mais à long terme les spywares finiront simplement par mieux se cacher.
    Il faut désormais une stratégie qui aille au-delà des simples artéfacts forensiques

    • Les vulnérabilités iOS comme Pegasus et Predator sont largement connues, et le fait qu’Apple ne contrôle pas ce type de détection est une vision à court terme.
      La croyance selon laquelle “l’iPhone est sûr” n’est au fond qu’une confiance en boîte noire. On continue de trouver des bugs dans iOS 26, alors pourquoi les fonctions de sécurité feraient-elles exception ?
    • En citant xkcd 1172 et xkcd 1053, certains ont évoqué la situation sur un ton satirique

  • Les IOC reposent sur les logs shutdown
    Dans iOS 26, à chaque démarrage, shutdown.log est réécrit et les anciens enregistrements disparaissent.
    Cela a pour conséquence d’effacer complètement les traces d’infection par Pegasus ou Predator

  • Le fait qu’Apple efface les logs shutdown peut être une mesure de sécurité destinée à empêcher un attaquant d’analyser des conditions de crash ou le comportement de l’appareil
    Mais si l’entreprise prend vraiment la vie privée au sérieux, l’utilisateur devrait aussi avoir le droit d’inspecter son propre appareil en profondeur

    • Un attaquant en phase de recherche pourra de toute façon rooter l’appareil et obtenir davantage d’informations.
      Au final, ce type de mesure ne fait que restreindre les utilisateurs ordinaires
    • Le fait de posséder un appareil n’implique pas que le fabricant doive forcément fournir les fonctionnalités que l’on souhaite
    • L’accès aux logs shutdown est encore moins restreint que la possibilité de voir les processus en cours d’exécution.
      Apple justifie toujours un renforcement du contrôle au nom de la vie privée

  • La bêta d’iOS 26 ne contenait pas ce changement. Espérons qu’il soit bientôt corrigé
    Comme expliqué dans cette vidéo YouTube, shutdown.log enregistrait la liste des processus en cours d’exécution et était utile pour détecter des IOC.
    Il y a aussi le conseil de redémarrer tous les jours si l’on accorde de l’importance à la sécurité

  • Je soupçonne depuis longtemps que quelqu’un chez Apple laisse volontairement certaines vulnérabilités pour les hackers israéliens

    • C’est possible, mais l’iPhone est le produit central d’Apple, donc une telle décision entraînerait des pertes catastrophiques.
      Aux États-Unis, cela serait vite oublié, mais en Asie et en Europe, cela ferait perdre la confiance du marché.
      Il est plus réaliste d’imaginer que le gouvernement ait fait pression sur des développeurs d’Apple ou les ait compromis
    • À la limite, j’aimerais mieux que ce soit fait pour préserver des vulnérabilités utiles au jailbreak
    • Il est intéressant de voir qu’à chaque fois qu’Israël est impliqué, toute organisation de R&D finit par être perçue comme une conspiration /s

  • Les auteurs de l’article eux-mêmes ne pensent pas qu’Apple ait délibérément cherché à empêcher la détection de spyware
    Ils conseillent de repousser un peu la mise à jour vers iOS 26 et d’attendre qu’Apple corrige le problème

    • Mais pour la plupart des utilisateurs, les correctifs de bugs généraux comptent bien plus que les IOC.
      Si vous n’êtes pas une cible de niveau étatique, retarder la mise à jour est irrationnel

  • Un bon article devrait fournir une liste des termes et acronymes au début du texte.
    Sinon, il ne vaut pas la peine d’être lu

  • Je trouve absurde que la forensique sur iPhone ne soit possible qu’au moyen d’archives de sauvegarde
    Il faudrait autoriser des extensions système (EL1+) comme sur macOS afin de permettre le monitoring de sécurité

    • En tant que chercheur en sécurité, une telle fonctionnalité serait au contraire un cadeau pour les entreprises de spyware.
      Un accès à privilèges élevés est dangereux
    • Si cela incluait un dump mémoire complet, il deviendrait plus facile de trouver des vulnérabilités de root, donc Apple ne l’autorisera jamais
    • Lors d’une présentation de l’équipe iVerify au CCC, il a été proposé qu’iOS expose aussi des mécanismes EDR comme macOS
    • Le simple fait d’essayer d’interagir avec des exploits en mémoire est en soi un risque inutile /s