Le développeur de logiciels espions israélien NSO Group a choqué la communauté mondiale de la sécurité pendant des années avec des outils de piratage agressifs et efficaces qui peuvent cibler à la fois les appareils Android et iOS. Les produits de la société ont été tellement maltraités par ses clients du monde entier que NSO Group fait maintenant face à des sanctions, à des poursuites judiciaires très médiatisées et à un avenir incertain. Mais une nouvelle analyse de l’exploit ForcedEntry iOS du fabricant de logiciels espions — déployé dans un certain nombre d’attaques ciblées contre des militants, des dissidents et des journalistes cette année — vient avec un avertissement encore plus fondamental : les entreprises privées peuvent produire des outils de piratage qui ont l’ingéniosité technique et la sophistication des groupes de développement les plus élitistes soutenus par le gouvernement.
Le groupe de chasse aux bogues Project Zero de Google a analysé ForcedEntry à l’aide d’un échantillon fourni par des chercheurs du Citizen Lab de l’Université de Toronto, qui a publié de nombreux articles cette année sur les attaques ciblées utilisant l’exploit. Des chercheurs d’Amnesty International ont également mené d’importantes recherches sur l’outil de piratage cette année. L’exploit monte une attaque sans clic, ou sans interaction, ce qui signifie que les victimes n’ont pas besoin de cliquer sur un lien ou d’accorder une autorisation pour que le piratage avance. Project Zero a découvert que ForcedEntry utilisait une série de tactiques astucieuses pour cibler la plate-forme iMessage d’Apple, contournait les protections ajoutées par la société ces dernières années pour rendre de telles attaques plus difficiles et s’emparait adroitement des appareils pour installer l’implant phare de NSO, Pegasus.
Apple a publié une série de correctifs en septembre et octobre qui atténuent l’attaque ForcedEntry et renforcent iMessage contre de futures attaques similaires. Mais les chercheurs du Project Zero écrivent dans leur analyse que ForcedEntry est toujours « l’un des exploits les plus techniquement sophistiqués que nous ayons jamais vus ». NSO Group a atteint un niveau d’innovation et de raffinement, disent-ils, qui est généralement supposé être réservé à un petit groupe de pirates informatiques d’États-nations.
« Nous n’avons pas vu un exploit dans la nature construire une capacité équivalente à partir d’un point de départ aussi limité, aucune interaction possible avec le serveur de l’attaquant, aucun moteur de script JavaScript ou similaire chargé, etc. », Ian Beer et Samuel de Project Zero Groß a écrit dans un e-mail à WIRED. « Nombreux sont ceux au sein de la communauté de la sécurité qui considèrent ce type d’exploitation, l’exécution de code à distance en une seule fois, comme un problème résolu. Ils pensent que le poids des mesures d’atténuation fournies par les appareils mobiles est trop élevé pour qu’un exploit fiable à un seul coup soit construit. Cela démontre que non seulement c’est possible, mais qu’il est utilisé dans la nature de manière fiable contre les gens.
Apple a ajouté une protection iMessage appelée BlastDoor dans l’iOS 14 de 2020 dans la foulée des recherches de Project Zero sur la menace d’attaques sans clic. Beer et Groß disent que BlastDoor semble avoir réussi à rendre les attaques iMessage sans interaction beaucoup plus difficiles à livrer. « Faire travailler les attaquants plus dur et prendre plus de risques fait partie du plan pour aider à rendre le jour zéro difficile », ont-ils déclaré à WIRED. Mais NSO Group a finalement trouvé un moyen de s’en sortir.
ForcedEntry tire parti des faiblesses dans la façon dont iMessage accepte et interprète les fichiers comme les GIF pour inciter la plate-forme à ouvrir un PDF malveillant sans qu’une victime ne fasse quoi que ce soit. L’attaque a exploité une vulnérabilité dans un outil de compression hérité utilisé pour traiter le texte dans les images à partir d’un scanner physique, permettant aux clients du groupe NSO de prendre complètement en charge un iPhone. Essentiellement, les algorithmes des années 1990 utilisés dans la photocopie et la compression de numérisation se cachent toujours dans les logiciels de communication modernes, avec tous les défauts et les bagages qui les accompagnent.
La sophistication ne s’arrête pas là. Alors que de nombreuses attaques nécessitent un serveur dit de commande et de contrôle pour envoyer des instructions aux logiciels malveillants placés avec succès, ForcedEntry met en place son propre environnement virtualisé. L’ensemble de l’infrastructure de l’attaque peut s’établir et s’exécuter dans un étrange remous d’iMessage, ce qui rend l’attaque encore plus difficile à détecter. « C’est assez incroyable et, en même temps, assez terrifiant », ont conclu les chercheurs de Project Zero dans leur analyse.
L’approfondissement technique de Project Zero est important non seulement parce qu’il explique les détails du fonctionnement de ForcedEntry, mais parce qu’il révèle à quel point les logiciels malveillants développés en privé peuvent être impressionnants et dangereux, déclare John Scott-Railton, chercheur principal au Citizen Lab.
« Cela est comparable aux capacités sérieuses des États-nations », dit-il. «C’est vraiment un truc sophistiqué, et quand il est manié par un autocrate tout gaz et sans freins, c’est totalement terrifiant. Et cela vous fait juste vous demander ce qui est utilisé en ce moment et qui n’attend qu’à être découvert. Si c’est le genre de menace à laquelle la société civile est confrontée, c’est vraiment une urgence. »
Après des années de controverse, il se peut qu’il y ait une volonté politique croissante d’appeler les développeurs de logiciels espions privés. Par exemple, un groupe de 18 membres du Congrès américain a envoyé mardi une lettre au Trésor et aux départements d’État appelant les agences à sanctionner NSO Group et trois autres sociétés de surveillance internationales, comme l’a rapporté pour la première fois Reuters.
« Ce n’est pas de l’« exceptionnalisme de l’ONS ». Il existe de nombreuses entreprises qui fournissent des services similaires et qui font probablement des choses similaires », ont déclaré Beer et Groß à WIRED. « C’était juste, cette fois, NSO était l’entreprise qui a été prise en flagrant délit. »