Cette semaine, Apple a corrigé une faille de sécurité majeure qui permettait à des logiciels espions de s’introduire dans les iPhone et les iPad, en utilisant des attaques « zéro-clic ».
Celles-ci se déploient dans les appareils sans même que leur propriétaire ait à cliquer sur un lien. Comment fonctionnent-elles et que peut-on faire pour les stopper?
Qu’est-ce qu’une attaque « zéro-clic » ?
« Les attaques zéro-clic sont une menace d’un niveau supérieur » aux attaques traditionnelles, explique John Scott-Railton, chercheur au Citizen Lab, le centre de cybersécurité de l’Université de Toronto qui a découvert la faille chez Apple.
Les logiciels espions classiques nécessitent en effet que la personne visée par l’attaque clique sur un lien ou un fichier piégé pour installer le programme sur leur téléphone, tablette ou ordinateur. Au contraire, lors d’une attaque zéro-clic, le logiciel se faufile dans l’appareil sans que la personne visée n’ait à cliquer sur un quelconque lien.
Une technique cruciale pour les potentiels espions, à l’heure où les utilisateurs sont de plus en plus méfiants à l’égard des messages qu’ils reçoivent.
Les attaques zéro-clic exploitaient une faille dans le service de messagerie Apple iMessage afin d’installer discrètement Pegasus, un logiciel invasif capable de transformer un téléphone en un mini mouchard.
En juillet, certains gouvernements ont été accusés d’avoir utilisé le logiciel pour espionner des défenseurs des droits de l’homme, des hommes d’affaires et des responsables politiques, déclenchant un scandale planétaire.
Puis-je savoir si mon téléphone est infecté ?
La réponse est simple: « Non », assène Scott-Railton. « Les utilisateurs ne peuvent rien faire pour se protéger contre ces attaques et aucun élément ne vous signalera que vous êtes infecté. »
C’est pour cette raison qu’Apple a pris la menace très au sérieux, explique le chercheur.
Le groupe a d’ailleurs annoncé la résolution du problème une semaine seulement après les révélations de Citizen Lab le 7 septembre.
Une réactivité « très rare, même pour une grande entreprise », précise Scott-Railton, qui conseille vivement aux utilisateurs Apple d’installer la mise à jour logicielle sortie par le géant de la tech lundi.
Pourquoi les applications de messageries sont si vulnérables ?
En 2019 déjà, Pegasus s’était servi de failles dans la messagerie WhatsApp pour réaliser des attaques zéro-clic.
Pour Scott-Railton, l’omniprésence de ces applications en fait des cibles tentantes pour la société israélienne NSO, à l’origine de Pegasus.
« Dans n’importe quel téléphone, il y a de fortes chances qu’une application de messagerie soit installée », explique-t-il. « Infecter les téléphones via la messagerie est donc un moyen simple et efficace de parvenir à vos fins. »
Les applications de messagerie sont « une cible très importante pour des opérations de piratage, qu’elles soient menées par des Etats ou par des acteurs privés comme NSO », ajoute Scott-Railton.
Ces attaques peuvent-elles être stoppées ?
Pour Vivien Raoul, directeur technique de l’entreprise de cybersécurité Pradeo, la découverte de la faille iMessage est « un bon début pour réduire les portes d’entrées de Pegasus, mais cela ne suffira pas à l’arrêter. »
Les concepteurs de logiciels malveillants vont rechercher les faiblesses potentielles d’autres applications populaires, impliquant inévitablement la découverte de failles de temps à autre, liées à leur grande complexité, avertissent les experts.
Néanmoins, les systèmes d’exploitation Android de Google et iOS d’Apple « corrigent régulièrement un grand nombre de vulnérabilités », tempère Vivien Raoul.
NSO, qui compte dans ses rangs d’anciens hauts officiers du renseignement militaire israélien, dispose de ressources considérables pour rechercher ces faiblesses, tandis que des pirates lui vendent aussi des accès au dark web.
