Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?

Publié le 22 juillet 2021 à 17h25

Depuis quelques jours, l’affaire Pegasus soulève de très nombreuses questions, aussi bien politiques que techniques. Le mode opératoire du virus « sans clic » inquiète tout particulièrement. D’autant plus que ce logiciel malveillant, développé par la société israélienne NSO, agit aussi bien sur des smartphones Android que sur des iPhone, pourtant réputés pour leur haut niveau de sécurité.

Comment se fait-il que la marque à la pomme se retrouve impuissante face à ce logiciel, qui sévit depuis déjà plusieurs années ?

Des iPhone tout particulièrement ciblés

Cela fait maintenant plusieurs jours que l’affaire Pegasus a été révélée par Forbidden Stories et les 17 médias associés à cet organisme. Leur enquête a révélé que de nombreuses personnalités ont été espionnées directement sur leur téléphone, que ce dernier tourne sous Android ou sous iOS. Parmi les cibles, on compte des personnalités politiques, de hauts fonctionnaires, des hommes d’affaires ou encore des journalistes. Autrement dit des acteurs habitués à utiliser les produits d’Apple, réputés pour offrir un haut niveau de sécurité.

Pour le groupe NSO, qui a commercialisé Pegasus, il était donc indispensable de pouvoir offrir une capacité d’espionnage sur iPhone, son « cœur de cible » en quelque sorte. À la décharge de la firme de Cupertino, il est essentiel de rappeler qu’aucun système informatique grand public n’est 100 % à l’abri d’une attaque informatique malveillante. Mais d’après The Guardian, qui a participé à révéler l’affaire Pegasus, NSO a su spécifiquement se jouer des systèmes de sécurité mis en place par Apple.

La sécurité « by Apple » remise en cause

Par défaut, l’architecture offerte par Apple se révèle extrêmement fiable. Les applications ne peuvent être téléchargées que depuis l’App Store, où le contrôle qualité est incomparablement meilleur que sur Android. Pour chaque application, l’accès aux données est également très contrôlé et compartimenté. Ces garanties de sécurité font que la quasi-totalité des utilisateurs d’iPhone fait confiance à Apple pour gérer la sécurité de leur téléphone.

Le problème, avec Pegasus, c’est que le logiciel malveillant agit sans clic. Il n’y a pas besoin de télécharger une application ou d’ouvrir une pièce jointe pour l’installer. Recevoir un message est suffisant pour compromettre son téléphone, d’autant plus que les logiciels antivirus tiers sont particulièrement rares sur iPhone. La faute à une sécurité gérée exclusivement par Apple. Cette gestion de la sécurité en tâche de fond fait qu’il est également impossible, pour un utilisateur d’iPhone, de contrôler manuellement les différentes tâches en cours d’exécution.

De sorte qu’une personne qui soupçonne une infection par Pegasus n’a aucun moyen de s’en assurer directement. Pire encore, Pegasus est connu depuis 2016, au moins. Si des correctifs de sécurité sont régulièrement apportés par Apple, il semble que le fonctionnement même du malware lui confère toujours une longueur d'avance. À tel point que la dernière version mise à jour par NSO tourne parfaitement sur des iPhone 12 équipés d'iOS 14.6…

Un logiciel malveillant qui passe (presque) entre les mailles du filet

Enfin, si Pegasus a pu agir aussi longuement sous iOS, c’est peut-être aussi à cause du manque d’investissement d’Apple dans la recherche de vulnérabilités. Les primes offertes par la firme de Cupertino aux entreprises capables d’identifier une faille de sécurité permettent rarement de couvrir les frais d’une équipe de hackers professionnels. De quoi décourager les plus méritants, et encourager au contraire les firmes « mercenaires » comme NSO.

Seul lot de consolation : si l’opacité d’Apple autour de la sécurité informatique a pu permettre à Pegasus d’opérer si longtemps dans l’ombre, elle a également empêché le logiciel d’effacer ses traces. Contrairement à Android, qui a été tout aussi facilement infecté, le fonctionnement même d’iOS permet de conserver une trace des activités de Pegasus sur un iPhone, même s’il faut connecter le téléphone à un ordinateur pour les révéler.

Source : The Guardian

Par Yannick Smaldore

Aucun résumé disponible

Articles d'Yannick Smaldore

Piratage / Cybercriminalité

Malware / Ransomware

Apple

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

bennukem

Bug bounty. Vaut mieux aller fourguer les failles à NSO, ça semble plus numérateur

Iceslash

« où le contrôle qualité est incomparablement meilleur que sur Android. »

C’est d’autant plus grave pour Apple qui lui verrouille toute la chaine de distribution d’une application !.

La faille sur iPhone est peut être structurellement liée au système même d’iOS. L’iPhone sera-t-il toujours et éternellement vulnérable aux attaques de type Pegasus ?

Faut vraiment être naïf de croire qu’un smartphone grand public soit à l’abri d’un hack de haut vol.

tfpsly

Contrairement à Android, qui a été tout aussi facilement infecté

De ce que j’ai lu, seulement pour les téléphones pouvant être rooté depuis Android en local, sans passer par un PC. Des failles de rootage, comme Framaroot, peuvent être utilisées pour installer Pegasus. Mais pas sur les téls qui nécessite un ordinateur branché par USB pour les rooter (ou alors il faut un accès physique au tél pendant plusieurs minutes).
Quand le tél n’est pas rootable « en local », Pegasus demande alors à l’utilisateur de donner des permissions à l’app infectée.

De votre source :

Pegasus for Android does not rely on zero-day vulnerabilities. Instead it uses a well-known rooting method called Framaroot. Another difference: If iOS version fails to jailbreak the device, the whole attack fails, but with the Android version, even if the malware fails to obtain the necessary root access to install surveillance software, it will still try directly asking the user for the permissions it needs to exfiltrate at least some data.

Google semble penser que l’installation n’est pas zéro-clic (lien pris dans votre article source du Guardian) :

How does Chrysaor work?
To install Chrysaor, we believe an attacker coaxed specifically targeted individuals to download the malicious software onto their device. Once Chrysaor is installed, a remote operator is able to surveil the victim’s activities on the device and within the vicinity, leveraging microphone, camera, data collection, and logging and tracking application activities on communication apps such as phone and SMS.
…
Upon installation, the app uses known framaroot exploits to escalate privileges and break Android’s application sandbox. If the targeted device is not vulnerable to these exploits, then the app attempts to use a superuser binary pre-positioned at /system/csk to elevate privileges.

Apparemment Google n’a pas trouvé d’app vérolée par Pegasus/Chrysaor sur le PlayStore.

Mais il est possible que d’autres versions de Pegasus,plus efficaces contre les téls Android récents, ne soient pas encore connues. Rien ne permet d’affirmer que NSO n’a pas trouvé des failles root non connues des gens développant les outils de rootage…

Par contre une fois installé (ou avec suffisamment de permissions reçues), oui plus facile d’effacer ses traces sur Android.

Pegasus n’est pas un seul type d’attaque, il y a plusieurs versions de Pegasus ciblant différentes versions d’iOs et d’Android, utilisant de nouvelles failles quand les anciennes sont comblées.

jedi1973

Si un logiciel s’installe tout seule sans aucune intervention de l’utilisateur, c’est quand meme bien flippant et inquietant. Apres tout se sait un jour ( ecoutes de la cia divulgé par snowden, aujourdhui pegasus), quelque soit le degré de secret… On nous vante des logiciels securisé (surtout chez Apple) , mais les vrais attaques passent inaperçu… Apres je comprend que les pays n’ai pas interet a divulgé cette possibilité, afin de pouvoir ecouter qui ils veulent… Pour resumer des annees d’informatique: si tu as un smartphone, pc, tablette, ecouteur bluetooth, enceintes avec alexa et compagnie, etc… bref tout appareil connecté a internet, ben tu es ecouté, point barre…

Oldtimer

le fonctionnement même d’iOS permet de conserver une trace des activités de Pegasus sur un iPhone, même s’il faut connecter le téléphone à un ordinateur pour les révéler.

Une fois mon ailphone connecter à l’ordinateur, comment qu’on fait pour savoir si on est sous surveillance ?

Infinity205

Je ne vois pas ce que le « grand public » as, a voir avec les téléphones car il existent pas vraiment de téléphones professionnel et si oui, ils sont aussi vulnérables comme tout appareil électroniques connecté as internet…

Wen84

« L’iPhone sera-t-il toujours et éternellement vulnérable au attaque de type Pegasus ? » => J’en doute. Par contre, je suis sur qu’ils trouveront toujours une autre façon de contourner la sécu.

juju251

Il me semblait (c’est ce que j’avais lu sur un autre article) que l’infection par Pegasus sur Android provoquait l’affichage d’une demande de permission pour la caméra et autres fonctions (sur smartphone non rooté) ?

Par contre, si un simple message peut entrainer le téléchargement et l’installation d’un malware (enfin plus globalement d’une application), il serait peut-être temps pour les développeurs d’imaginer des applications / systèmes qui cloisonnent de manière définitive les données (non exécutables) et les programmes (qui par définitions sont exécutables).
Si mes souvenirs sont bons ce genre de segmentation existe sur certains systèmes de type mainframe IBM (mais je ne retrouve pas l’info).

jedi1973

et les boites qui developpent ces outils devraient aussi etre porté responsable… ( on peut pas developper une arme ultra efficace et s’en laver les mains une fois que quelqu’un l’utilise… surtout si l’utilisation reste dans ce qu’a prevu le developpeur, ici c’est pas une utilisation detournée; le logiciel a ete fait pour ca… !!!) On decouvre Pegasus, 100% de chance qu’'il y en ai d’autres ( c’est comme trouver une souris chez soit, quand il y en a une, tu es sur qu’il y en a d’autres…). Apres l’article dit qu’il faudrait une suite de securité sur les telephones, mais si c’est pas connu par les entreprises de securité, ils peuvent pas etre detecté !! On protege pas d’une chose qui nous est inconnu… Je me demande des fois pourquoi certaines faille de securité mettent 10 ans a ete bouché, on comprend mieux avec cette histoire, affaire de pognon…

chapelle18

Bein moi je dois pasavoir pegasus car j’ai écrit plusieurs foisque j’allait poser une bombexen israel dans les locaux de l’entreprise Pega Suce et personne n’a reagi lol. Je déconne bien sur !