iPhone : Apple corrige trois failles critiques qui permettaient d’espionner les téléphones

Sur le web

Par Gaël Weiss le

Depuis hier soir, une nouvelle mise à jour pour iOS est disponible pour les iPhone. Et on vous conseille très fortement de la télécharger puisqu’elle corrige trois failles critiques qui permettaient à des sociétés peu scrupuleuses d’espionner absolument toutes les communications des téléphones.

vente_iphone_iran_légale

Les propriétaires d’un iPhone ont sûrement remarqué qu’une mise à jour inattendue était apparue sur leur appareil ce matin. Il s’agit de la version 9.3.5 et c’est une mise à jour très importante puisqu’elle corrige trois failles, détectées il y a une dizaine de jours par Apple et des sociétés de cyber-sécurité, qui permettaient de prendre purement et simplement le contrôle d’un iPhone à distance. Une faille utilisée par des sociétés peu scrupuleuses, qui les vendent à des gouvernements qui désirent espionner des activistes ou citoyens un peu trop partisans des Droits de l’Homme.

Les SMS reçus par Ahmed Mansoor.
Les SMS reçus par Ahmed Mansoor.

Un militant des Droits de l’Homme ciblé par un SMS suspect

L’histoire derrière cette mise à jour est d’ailleurs tout simplement rocambolesque. Tout commence par la réception de SMS sur l’iPhone de d’Ahmed Mansoor, un défenseur des Droits de l’Homme qui vit aux Émirats Arabes Unis. Ces messages, reçus les 10 et 11 août dernier indiquaient : « De nouveaux secrets à propos de l’utilisation de la torture dans les prisons des Émirats » suivi d’un mystérieux lien. Déjà visé par des tentatives de piratages de son téléphone, Ahmed Mansoor a immédiatement envoyé le message à un chercheur du Citizen Lab, spécialisé dans la cyber-sécurité.

Toutes les données que Pegasus peut voler sur un iPhone.
Toutes les données que Pegasus peut voler sur un iPhone.

Cet organisme, accompagné du cabinet de sécurité Lookout, a découvert que ce lien menait à un site web infecté qui téléchargeait instantanément un malware sur l’iPhone. Ce malware, qui exploitait les trois failles en questions, jailbreakait alors silencieusement le téléphone et permettait aux hackers d’en prendre le contrôle. Libre à eux d’espionner en toute tranquillité absolument tout ce qui se trouvait sur le téléphone : contacts, photos, historique des appels, SMS, messageries instantanées ou email pouvaient être épluchés en toute discrétion.

Une faille inédite et inquiétante

Le plus surprenant dans cette histoire, c’est que Pegasus, le nom du malware en question, ainsi que Trident, le nom des failles exploitées, étaient totalement inconnues d’Apple et des divers cabinets de sécurité. « Nous avons réalisé que ce que nous étions en train de découvrir n’avait encore jamais été repéré auparavant » explique un analyste de Lookout au site Motherboard. « Il s’agit d’un malware de cyberespionnage les plus sophistiqués que l’on a jamais vus » rajoute-t-il.

Mais qui est derrière ce malware ? Les recherches des cabinets de sécurité les ont rapidement liés à la société israélienne NSO Group. Une société spécialisée dans le cyber-espionnage, particulièrement discrète (elle n’a même pas de site web) et particulièrement connue des agences et gouvernements qui veulent espionner les PC et téléphones de citoyens un peu trop remuants.

Les gouvernements, meilleurs clients du business des malwares

La spécialité de NSO, à l’instar d’autres sociétés du même genre comme Hacking Team, est de trouver des failles dans les OS ou les appareils, puis de les exploiter sous forme de malware et les vendre au plus offrant. Et dans le cas qui nous intéresse, celui d’Ahmed Mansoor, il semble que ce soient les Émirats Arabes Unis qui aient acheté des licences de leur malware. D’autres attaques similaires visant des opposants de gouvernements souvent véreux ont également été repérées par un journaliste mexicain ou au Kenya.

Quoi qu’il en soit, il est conseillé de mettre rapidement son iPhone à jour. Maintenant que les failles ont été découvertes et publiquement révélées, elles risquent d’être utilisées par plusieurs hackers. Apple de son côté, a lancé au début du mois d’août un programme de chasse aux bugs ouvert à tous pour trouver des failles dans ses divers produits. Les récompenses, qui s’échelonnent de 45 000 à 180 000 euros, sont souvent bien moins rémunératrices que la création et la vente de malware qui exploitent les failles.

Source: Source