Getty Images
Apple a corrigé une puissante chaîne de failles Zero-Day iOS qui ont été utilisées pour infecter l’iPhone d’un candidat à la présidentielle égyptienne avec un logiciel espion sophistiqué développé par un vendeur d’exploits commerciaux, ont annoncé vendredi Google et des chercheurs du Citizen Lab.
Les vulnérabilités jusqu’alors inconnues, qu’Apple a corrigées jeudi, ont été exploitées dans des attaques sans clic, ce qui signifie qu’elles n’ont pas nécessité que la cible prenne d’autres mesures que de visiter un site Web utilisant le protocole HTTP plutôt que l’alternative plus sûre HTTPS. Un dispositif d’inspection de paquets installé sur un réseau cellulaire en Égypte surveillait les connexions du téléphone du candidat ciblé et, une fois repéré, le redirigeait vers un site qui fournissait la chaîne d’exploit, selon Citizen Lab, un groupe de recherche du École Munk de l’Université de Toronto.
Un casting de méchants, 3 0 jours et un réseau cellulaire compromis
Citizen Lab a déclaré que l’attaque avait été rendue possible grâce à la participation du gouvernement égyptien, au logiciel espion connu sous le nom de Predator vendu par une société connue sous le nom de Cytrox et au matériel vendu par la société égyptienne Sandvine. La campagne visait Ahmed Eltantawy, un ancien membre du Parlement égyptien qui a annoncé sa candidature à la présidence en mars. Citizen Lab a déclaré que les récentes attaques étaient au moins la troisième fois que l’iPhone d’Eltantawy était attaqué. L’un d’eux, en 2021, a réussi et a également installé Predator.
« L’utilisation de logiciels espions mercenaires pour cibler un haut responsable de l’opposition démocratique d’un pays après que celui-ci a annoncé son intention de se présenter à la présidence constitue une ingérence manifeste dans des élections libres et équitables et viole les droits à la liberté d’expression, de réunion et à la vie privée. » Les chercheurs du Citizen Lab, Bill Marczak, John Scott-Railton, Daniel Roethlisberger, Bahr Abdul Razzak, Siena Anstis et Ron Deibert, ont écrit dans un rapport de 4 200 mots. «Cela contredit également directement la façon dont les sociétés mercenaires de logiciels espions justifient publiquement leurs ventes.»
Les vulnérabilités, qui sont corrigées dans les versions iOS 16.7 et iOS 17.0.1, sont suivies comme suit :
- CVE-2023-41993 : exécution initiale du code à distance dans Safari
- CVE-2023-41991 : contournement du PAC
- CVE-2023-41992 : élévation de privilèges locaux dans le noyau XNU
Selon une étude publiée vendredi par des membres du groupe d’analyse des menaces de Google, les attaquants qui ont exploité les vulnérabilités iOS disposaient également d’un exploit distinct en installant le même logiciel espion Predator sur les appareils Android. Google a corrigé les failles le 5 septembre après avoir reçu un rapport d’un groupe de recherche se faisant appeler DarkNavy.
« TAG a observé ces exploits diffusés de deux manières différentes : par injection MITM et via des liens uniques envoyés directement à la cible », a écrit Maddie Stone, chercheuse au sein du Google Threat Analysis Group. « Nous n’avons pu obtenir que la vulnérabilité initiale d’exécution de code à distance du moteur de rendu pour Chrome, qui exploitait CVE-2023-4762. »
L’attaque était complexe. En plus d’exploiter trois vulnérabilités iOS distinctes, il s’appuyait également sur du matériel fabriqué par un fabricant connu sous le nom de Sandvine. Vendu sous la marque PacketLogic, le matériel était installé sur le réseau cellulaire auquel l’iPhone ciblé accédait et surveillait le trafic qui y transitait pour son téléphone. Malgré la précision, Citizen Lab a déclaré que l’attaque est bloquée lorsque les utilisateurs activent une fonctionnalité connue sous le nom de Lockdown, qu’Apple a ajoutée à iOS l’année dernière. Nous en reparlerons plus tard.
Il existe peu d’informations sur la chaîne d’exploitation iOS, à part celle qui se déclenche automatiquement lorsqu’une cible visite un site hébergeant le code malveillant. Une fois sur place, les exploits ont installé Predator sans aucune autre action de l’utilisateur requise.
Pour diriger subrepticement l’iPhone vers le site d’attaque, il lui suffisait de visiter n’importe quel site HTTP. Au cours des cinq dernières années, HTTPS est devenu le moyen dominant de connexion aux sites Web, car le cryptage qu’il utilise empêche les attaquants du milieu de surveiller ou de manipuler les données envoyées entre le site et le visiteur. Les sites HTTP existent toujours et parfois les connexions HTTPS peuvent être rétrogradées vers des connexions HTTP non cryptées.
Une fois qu’Eltantawy a visité un site HTTP, l’appareil PacketLogic a injecté des données dans le trafic qui a subrepticement connecté l’appareil Apple à un site qui a déclenché la chaîne d’exploitation.
Predator, la charge utile installée lors de l’attaque, est vendue à un large éventail de gouvernements, notamment ceux d’Arménie, d’Égypte, de Grèce, d’Indonésie, de Madagascar, d’Oman, d’Arabie saoudite et de Serbie. Citizen Lab a déclaré que Predator avait été utilisé pour cibler Ayman Nour, un membre de l’opposition politique égyptienne vivant en exil en Turquie, et un journaliste égyptien exilé qui anime une émission d’information populaire et souhaite rester anonyme. L’année dernière, des chercheurs de l’équipe de sécurité Talos de Cisco ont exposé le fonctionnement interne du malware après en avoir obtenu un binaire.