Apple a des problèmes de sécurité « majeurs » avec iMessage, selon un expert en logiciels espions de Pegasus

Selon un expert en sécurité qui a passé des années à étudier les piratages de l’entreprise israélienne NSO, dont le chiffre d’affaires s’élève à un milliard de dollars, le logiciel espion pour iPhone fabriqué par la société de surveillance a révélé des problèmes « majeurs » dans la sécurité d’iMessage d’Apple.

Des rapports d’Amnesty International et de Citizen Lab, faisant suite à une fuite présumée de données sur 50 000 cibles potentielles de l’outil d’espionnage Pegasus de NSO, ont affirmé qu’ils avaient tous deux vu une soi-disant attaque « zéro clic » exploitant de nombreuses vulnérabilités dans un iPhone entièrement corrigé 12 Pro Max exécutant iOS 14.6 en juillet 2021. Cela comprenait notamment des hacks d’iMessage.

Bill Marczak, chercheur chez Citizen Lab, a déclaré à Forbes que, dans certains cas, l’iOS d’Apple exécutera automatiquement les données contenues dans les iMessages et les pièces jointes, même lorsqu’elles proviennent d’inconnus, ce qui pourrait mettre les utilisateurs en danger.

« C’est une recette pour un désastre », a-t-il déclaré. « Apple devrait envisager de mettre en œuvre quelque chose de similaire à ce que Twitter ou Facebook ont pour leurs DM, où les messages provenant d’inconnus sont quelque peu cachés, et filtrés dans un volet séparé par défaut ».

Pour l’instant, ajoute Bill Marczak, ce n’est pas un problème pour l’utilisateur moyen de l’iPhone, car la liste de cibles acquise par l’organisation à but non lucratif Forbidden Stories se concentrait principalement sur les personnes à haut risque de surveillance gouvernementale, des journalistes comme la rédactrice en chef du Financial Times Roula Khalaf aux proches du journaliste assassiné Jamal Khashogghi. Des chefs d’État figureraient également sur la liste des cibles potentielles. NSO a été interpellée à plusieurs reprises au cours des cinq dernières années après que ses outils ont été vus en train de cibler des avocats mexicains, des militants saoudiens et des journalistes à travers le monde, bien que la société affirme que son logiciel est utilisé pour aider les gouvernements à attraper des criminels comme les terroristes et les pédophiles.

« Mais si Apple n’étouffe pas ce problème dans l’œuf, ce genre d’attaques par iMessage en zéro clic proliférera inévitablement chez les pirates informatiques moins sophistiqués, comme les cybercriminels », a averti Bill Marczak. Il avait précédemment indiqué sur Twitter qu’un mécanisme de sécurité d’Apple appelé BlastDoor, conçu pour segmenter le contenu dans iMessage au cas où il contiendrait des liens ou des codes malveillants, ne protégeait pas les utilisateurs de ces dangereux exploits. Il a noté que certains de ces exploits utilisaient ImageIO et ses fonctionnalités d’analyse d’images JPEG et GIF. « Plus d’une douzaine de bugs de haute gravité ont été signalés contre ImageIO en 2021 », a-t-il tweeté.

Apple, cependant, estime que sa technologie protège bien les utilisateurs contre les attaques basées sur du texte. Par exemple, le géant de la technologie a déclaré que si un lien vers un site web est envoyé à un utilisateur via iMessage, il n’atteindra pas une page web pour obtenir un aperçu du site et n’acceptera qu’une image d’aperçu statique de l’expéditeur. BlastDoor les traitera comme des sites non fiables et tout code provenant de ces sites qui sera lancé ne devra s’exécuter que dans une partie séparée et protégée du système d’exploitation. Cela devrait bloquer tout piratage lancé par un lien vers un site web.

« Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits humains et les autres personnes qui cherchent à rendre le monde meilleur. Depuis plus de dix ans, Apple est à la pointe de l’innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité s’accordent à dire que l’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé du marché », a déclaré un porte-parole du géant technologique de Cupertino.

« Les attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu’elles ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données ».

La prochaine itération du système d’exploitation d’Apple devrait s’accompagner de nouvelles améliorations destinées à contrer les exploits sophistiqués, a ajouté le porte-parole, sans donner plus de détails.

NSO, quant à elle, a déclaré que les rapports faisant état d’une fuite de 50 000 cibles de son logiciel espion étaient « faux », suggérant au Guardian qu’ils étaient basés sur « des théories non corroborées qui soulèvent de sérieux doutes sur la fiabilité de vos sources, ainsi que sur la base de votre histoire ». Des publications, dont le Washington Post et The Guardian, ont fait remarquer que le fait que l’appareil d’une personne figure sur la liste des téléphones potentiellement ciblés ne signifie pas que son téléphone a été infecté par le logiciel espion Pegasus.

La société a nié que ses outils aient été utilisés pour cibler des membres de la famille de Jamal Khashogghi, après que des rapports aient suggéré que son ancienne épouse, Hanan Elatr, et sa fiancée Hatice Cengiz ont été ciblées avant et après sa mort. (Jamal Khashogghi aurait eu une relation avec les deux femmes au moment de sa mort). « Comme NSO l’a précédemment déclaré, notre technologie n’a été associée en aucune façon au meurtre odieux de Jamal Khashoggi. Nous pouvons confirmer que notre technologie n’a pas été utilisée pour écouter, surveiller, suivre ou collecter des informations le concernant ou concernant les membres de sa famille mentionnés dans votre demande. Nous avons déjà enquêté sur cette allégation, qui, une fois encore, est faite sans validation ».

Elle s’est engagée à continuer à « enquêter sur toutes les allégations crédibles d’utilisation abusive et à prendre les mesures appropriées en fonction des résultats de ces enquêtes ».

Article traduit de Forbes US – Auteur : Thomas Brewster

<<< À lire également : Apple améliore AppleCare+ avant le lancement de l’iPhone 13 >>>