Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

iPhones piratés - commentaire de McAfee

septembre 2019 par McAfee

Il a été découvert la semaine dernière que des sites Web piratés libéraient discrètement des logiciels malveillants sur des iPhones depuis des années. Voici l’analyse de Steve Povolny, Head of Advanced Threat Research chez McAfee, Philippe Laulheret, Senior Security Researcher chez McAfee et Thomas Roccia, Security Researcher chez McAfee :

« Cette attaque est unique car elle n’opérait pas de manière furtive, les données étaient envoyées sans chiffrement. Cela signifie qu’un utilisateur surveillant le trafic de son réseau pouvait constater une activité quand ses données étaient envoyées en clair sur le serveur de l’attaquant. De plus, il semblerait que des messages de débogage aient été laissés dans le code, de sorte qu’un utilisateur connectant son smartphone à son ordinateur et examinant les journaux de la console, pouvait également constater une activité. Cependant, étant donné la « fermeture » du système d’exploitation de l’iPhone, pour constater une attaque l’utilisateur devait effectuer une étape supplémentaire en connectant son téléphone à son ordinateur. Ainsi, même un utilisateur expérimenté pouvait tout à fait passer à côté. Apple a pris la décision de fournir un système d’exploitation "fermé" aux utilisateurs d’iPhone. Mais ce scénario illustre un inconvénient, car les utilisateurs finaux peuvent ne pas être conscients du risque d’une telle compromission, » commente Philippe Laulheret, Senior Security Researcher chez McAfee.

« La découverte de cette chaine d’exploitation dans les systèmes iOS est sans précédent et nous montre bien que les attaquants investissent de plus en plus d’effort et d’argent dans la découverte de vulnérabilités permettant l’espionnage et la surveillance. Si celle-ci a été découverte il est fort probable que des attaques similaires soient en cours ou en préparation. L’exploitation d’un système iOS représente un réel challenge du fait des protections strictes et de l’opacité du code, voilà pourquoi certaines de ces vulnérabilités peuvent se marchander plusieurs millions d’euros. Mais ce prix reste relativement faible s’il on considère qu’une telle vulnérabilité peut potentiellement servir à espionner une population toute entière.

Ce cas soulève une problématique beaucoup plus complexe : quel était le but de cette campagne ? S’agit-il d’une attaque offensive d’un État nation ou d’un groupe de criminels organisés ? Quoi qu’il en soit, cette histoire tire une fois de plus la sonnette d’alarme quant à l’utilisation de la technologie comme outil de surveillance de masse ! » commente Thomas Roccia, Security Researcher chez McAfee.

« La récente découverte de chaînes d’exploits ciblant iOS est le tout dernier exemple de la façon dont les cybercriminels peuvent mener avec succès des campagnes malveillantes, non détectées, grâce à l’utilisation de vulnérabilités Zero-Day. Dans ce scénario, un ou plusieurs acteurs malveillants ont exploité des sites Web compromis, en utilisant une ou plusieurs vulnérabilités Zero-Day, de nombreuses chaînes d’exploits uniques, et d’autre vulnérabilités reconnues pour la compromission d’iPhones, dernières versions du système d’exploitation incluses, depuis plus de deux ans. Il faut un talent et des ressources remarquables pour exploiter ce type d’infrastructure sans être détecté, car des milliers d’utilisateurs ont pu être compromis sans que la campagne ne soit identifiée.

La découverte d’exploits iOS est généralement un véritable challenge, en raison du code propriétaire opaque et des mesures d’atténuation actuelles. Les exploits qui ne nécessitent aucune action de l’utilisateur et qui aboutissent à l’exécution complète du code à distance sont les plus rares, les plus onéreux et les plus difficiles à découvrir. Cette attaque est d’autant plus complexe qu’aujourd’hui de nombreux exploits de smartphones nécessitent plus d’une seule vulnérabilité pour fonctionner. Dans de nombreux cas, 3 à 4 bogues sont nécessaires pour obtenir une exécution de code à distance sur un système cible. Cela est généralement dû aux mesures d’atténuation telles que les sandboxes, les restrictions sur l’exécution du code et à la réduction des privilèges utilisateurs, ce qui rend nécessaire une chaîne de vulnérabilités. Cette complexité réduit le taux de réussite d’une attaque.

Apple est un acteur fort dans le domaine de la divulgation responsable, ayant récemment élargi son offre à 1 million de dollars pour certaines vulnérabilités. Les courtiers en vulnérabilité, spécialisés dans la revente de vulnérabilités, peuvent débourser jusqu’à 3 millions de dollars pour les vulnérabilités d’exécution de code à distance sans interaction sur iOS. Il est aisé de comprendre la valeur intrinsèque des bogues qui ne nécessitent pas d’interaction de la part de la victime et aboutissent à une exécution complète du code à distance. Avec la popularité des systèmes d’exploitation d’Apple sur les smartphones et les ordinateurs, même ces prix peuvent ne pas être suffisants pour encourager les attaquants à choisir de divulguer de manière responsable leurs découvertes plutôt qu’à des fins malveillantes, et plus rentables.

Cette découverte soulève deux questions importantes : comment cet acteur malveillant a-t-il été capable d’opérer pendant si longtemps, principalement en utilisant des exploits connus, et qu’a-t-il réussi à faire ? Ces questions nous ramènent à la valeur de la divulgation des vulnérabilités. Seule la force de frappe d’une communauté mondiale de chercheurs travaillant collectivement pour identifier et divulguer les vulnérabilités critiques pourra permettre de faire des progrès significatifs en vue de l’élimination de ce type de campagnes malveillantes, » commente Steve Povolny, Head of McAfee Advanced Threat Research.




Voir les articles précédents

    

Voir les articles suivants