Les chercheurs affirment que des pirates informatiques présumés d'États-nations ont infecté les iPhones d'Apple avec des logiciels espions pendant deux ans dans ce que les experts en sécurité ont qualifié vendredi de défaillance de sécurité alarmante pour une entreprise dont la carte de visite est la confidentialité.

Une simple visite sur l'un des quelques sites Web contaminés pourrait infecter un iPhone avec un implant capable d'envoyer les messages texte du propriétaire du smartphone, e-mail, des photos et des données de localisation en temps réel aux cyberespions à l'origine de l'opération.

"C'est certainement l'incident de piratage d'iPhone le plus grave qui ait jamais été porté à l'attention du public, à la fois en raison du ciblage aveugle et de la quantité de données compromises par l'implant, " a déclaré l'ancien hacker du gouvernement américain Jake Williams, le président de Rendition Security.

Annoncé jeudi soir par les chercheurs de Google, la dernière des vulnérabilités a été discrètement corrigée par Apple en février, mais seulement après que des milliers d'utilisateurs d'iPhone aient été exposés pendant plus de deux ans.

Les chercheurs n'ont pas identifié les sites Web utilisés pour semer le logiciel espion ni leur emplacement. Ils n'ont pas non plus dit qui était derrière le cyberespionnage ou quelle population était ciblée, mais les experts ont déclaré que l'opération avait les caractéristiques d'un effort d'État-nation.

Williams a déclaré que l'implant de logiciel espion n'a pas été écrit pour transmettre des données volées en toute sécurité, indiquant que les pirates ne craignaient pas de se faire prendre. Cela suggère qu'un État autoritaire était derrière cela. Il a émis l'hypothèse qu'il était probablement utilisé pour cibler des dissidents politiques.

Les données sensibles accessibles par le logiciel espion comprenaient WhatsApp, SMS iMessage et Telegram, Gmail, Photos, contacts et localisation en temps réel—essentiellement toutes les bases de données sur le téléphone de la victime. Alors que les applications de messagerie peuvent crypter les données en transit, il est lisible au repos sur les iPhones.

Le chercheur de Google, Ian Beer, a déclaré dans un blog publié jeudi soir que la découverte devrait dissiper toute idée selon laquelle il en coûte un million de dollars pour réussir à pirater un iPhone. C'est une référence au cas d'un dissident des Émirats arabes unis dont l'iPhone a été infecté en 2016 par des exploits dits zero-day, qui sont connus pour atteindre des prix aussi élevés.

"Zero day" fait référence au fait que de tels exploits sont inconnus des développeurs du logiciel concerné, et donc ils n'ont pas eu le temps de développer des correctifs pour le réparer.

La découverte, impliquant 14 de ces vulnérabilités, a été réalisé par les chercheurs de Google à Project Zero, qui traque les failles de sécurité dans les logiciels et firmware des microprocesseurs, indépendant de leur fabricant, que les criminels, les pirates informatiques et les agences de renseignement parrainés par l'État utilisent.

"Cela devrait servir de signal d'alarme aux gens, " dit Will Strafach, un expert en sécurité mobile avec Sudo Security. "N'importe qui sur n'importe quelle plate-forme pourrait potentiellement être infecté par des logiciels malveillants."

Beer a déclaré que son équipe estimait que les sites Web infectés utilisés dans les "attaques aveugles de points d'eau" recevaient des milliers de visiteurs par semaine. Il a déclaré que l'équipe avait collecté cinq chaînes distinctes d'exploits couvrant le système iOS d'Apple dès la version 10, sorti en 2016.

Apple n'a pas répondu aux demandes de commentaires sur les raisons pour lesquelles il n'a pas détecté les vulnérabilités par lui-même et s'il peut assurer aux utilisateurs qu'une telle attaque générale ne pourrait plus se reproduire. La protection de la vie privée est au cœur de la marque Apple.

Ni Google ni Beer n'ont répondu aux questions sur les attaquants ou les cibles, bien que Beer ait fourni un indice dans son article de blog :"Être ciblé peut signifier simplement être né dans une certaine région géographique ou faire partie d'un certain groupe ethnique."

Le responsable de la sécurité Matt Lourens chez Check Point Software Technologies a qualifié le développement de changement alarmant. Il a déclaré que si les propriétaires d'iPhone précédemment compromis par zéro jour étaient des cibles de grande valeur, un ensemencement plus répandu de logiciels espions à un coût inférieur par infection s'est maintenant avéré possible.

« Cela devrait absolument remodeler la façon dont les entreprises voient l'utilisation des appareils mobiles pour les applications d'entreprise, et le risque de sécurité qu'il présente pour l'individu et/ou l'organisation, " Lourens a déclaré dans un e-mail.

Dans son article de blog, le chercheur de Google Beer a averti que la sécurité numérique absolue ne peut être garantie.

Les utilisateurs de smartphones doivent finalement « être conscients du fait que l'exploitation de masse existe toujours et se comporter en conséquence »; il a écrit, « traiter leurs appareils mobiles comme faisant partie intégrante de leur vie moderne, mais aussi comme des appareils qui, lorsqu'ils sont compromis, peuvent télécharger chacune de leurs actions dans une base de données pour potentiellement être utilisées contre eux."

© 2019 La Presse Associée. Tous les droits sont réservés.