Passer au contenu

iPhone : Kaspersky explique comment le malware Triangulation a piraté iOS

Kaspersky a enquêté sur les failles de sécurité à l’origine de l’attaque « Triangulation ». Cette cyberattaque, décrite comme très sophistiquée, a permis à des pirates d’espionner des utilisateurs pendant des années à l’aide de leur iPhone. Apparemment, un total de quatre vulnérabilités a été exploité…

Entre 2019 et 2022, un mystérieux attaquant s’est servi d’une faille de sécurité dans iMessage pour espionner Kaspersky, la célèbre société de cybersécurité russe qui édite l’antivirus du même nom. Plusieurs employés de l’entreprise, basée à Moscou, ont été visés par la cyberattaque. Des données sensibles, comme des photos et des enregistrements audio, ont été collectées par les pirates durant des années. Kaspersky a intitulé l’attaque « Triangulation ».

Six mois après la découverte initiale de l’attaque, Kaspersky publie les résultats de son enquête. D’après les chercheurs russes, il s’agit de la chaîne d’attaque, c’est-à-dire la séquence d’étapes ou d’événements qu’un attaquant suit pour accomplir une cyberattaque, « la plus sophistiquée » jamais vue. Les découvertes des experts ont également fait l’objet d’une conférence organisée lors du 37ᵉ Chaos Communication Congress à Hambourg, un grand rassemblement annuel de hackers et d’experts en sécurité.

À lire aussi : La détection automatique des mouchards Bluetooth sur iOS et Android est en bonne voie

Le déroulement de l’attaque

Dans le détail, les pirates ont en fait exploité un total de quatre failles de sécurité différentes dans le code d’iOS. Grâce à ces brèches zéro-day, donc inconnues jusqu’ici, les attaquants peuvent contourner les mécanismes de sécurité d’Apple pour obtenir un accès administrateur au système. Dès lors, ils peuvent déployer des commandes malveillantes. Kaspersky rappelle que l’attaque repose sur des brèches zéro click. En fait, la victime n’a même pas besoin de faire quoi que ce soit pour que le malware débarque sur l’iPhone. Les pirates n’ont pas besoin de manipuler la cible pour arriver à leurs fins.

Dans un premier temps, une pièce jointe est transférée sur iMessage. La messagerie traite celle-ci en arrière-plan sans en informer l’utilisateur. La pièce jointe va alors exploiter une vulnérabilité d’exécution de code à distance dans un fichier de police TrueType, un format développé par Apple et Microsoft. Deux autres vulnérabilités sont ensuite exploitées tout à tour. Enfin, une faille de Safari permet aux hackers de boucler la cyberattaque en effaçant leurs traces. C’est à ce moment-là que le malware espion fait son entrée à l’insu de l’usager.

Des zones d’ombre qui persistent

Comme l’indique Kaspersky dans le rapport, « ce n’est pas une vulnérabilité ordinaire, et nous avons beaucoup de questions sans réponses ». Plusieurs pans du déroulement de l’offensive sont encore un mystère. La société russe encourage « d’autres chercheurs en sécurité iOS » à « confirmer nos conclusions et trouver des explications possibles sur la façon dont les attaquants ont découvert » la faille de la couche de protection de la page (PPL), une mesure de sécurité qui restreint l’accès à certaines parties de la mémoire.

Ces vulnérabilités étaient présentes dans le code d’iOS jusqu’à la sortie d’iOS 16.2 en décembre 2022. Pour vous protéger d’une éventuelle attaque, il suffit donc d’installer une version plus récente du système d’exploitation sur votre iPhone.

Fidèles aux conclusions d’Eugene Kaspersky, le fondateur de l’entreprise, en marge de l’attaque, les enquêteurs de Kaspersky estiment que c’est l’approche fermée d’Apple qui a permis à l’opération d’être menée à terme. Les chercheurs pointent du doigt la « sécurité par l’obscurité », qui consiste à garder secret le fonctionnement d’un système. Ils assurent que cette solution est imparfaite, car « tôt ou tard, tous les secrets sont révélés ». De facto, « les systèmes qui s’appuient sur la “sécurité par l’obscurité” ne peuvent jamais être vraiment sécurisés », met en garde Kaspersky.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Kaspersky


Florian Bayard