Un fabricant de portefeuille cryptographique a affirmé cette semaine que les pirates informatiques pourraient cibler les personnes avec un exploit « jour zéro » sur iMessage – mais tous les signes indiquent une menace exagérée, voire une véritable arnaque.
Compte officiel X (anciennement Twitter) de Trust Wallet a écrit que « nous disposons d’informations crédibles concernant un exploit zero-day à haut risque ciblant iMessage sur le Dark Web. Cela peut infiltrer votre iPhone sans cliquer sur aucun lien. Des cibles de grande valeur sont probables. Chaque utilisation augmente le risque de détection.
Le fabricant de portefeuille a recommandé aux utilisateurs d’iPhone de désactiver complètement iMessage « jusqu’à ce qu’Apple corrige ce problème », même si aucune preuve ne montre que « ceci » existe.
Le tweet est devenu viral et a été vu plus de 3,6 millions de fois au moment de notre publication. En raison de l’attention que le message a reçue, Trust Wallet quelques heures plus tard a écrit un article de suivi. Le fabricant de portefeuilles a redoublé sa décision de rendre publique sa décision, affirmant qu’il « communique activement toutes les menaces et risques potentiels pour la communauté ».
Trust Wallet, qui appartient à l’échange cryptographique Binance, n’a pas répondu à la demande de commentaires de TechCrunch. Le porte-parole d’Apple, Scott Radcliffe, a refusé de commenter lorsqu’il a été contacté mardi.
Comme il s’avère, selon le PDG de Trust Wallet, Eowyn Chen, le « Intel » est une publicité sur un site Web sombre appelé CodeBreach Lab, où quelqu’un propose ledit exploit présumé pour 2 millions de dollars en crypto-monnaie Bitcoin. L’annonce intitulée « iMessage Exploit » affirme que la vulnérabilité est un exploit d’exécution de code à distance (ou RCE) qui ne nécessite aucune interaction de la part de la cible – communément appelé exploit « zéro clic » – et fonctionne sur la dernière version d’iOS. Certains bogues sont appelés zéro jour car le fournisseur n’a pas le temps, ou zéro jour, pour corriger la vulnérabilité. Dans ce cas, il n’y a aucune preuve d’un exploit.
Une capture d’écran de la publicité sur le Dark Web prétendant vendre un prétendu exploit iMessage. Crédits image : TechCrunch
Les RCE font partie des exploits les plus puissants car ils permettent aux pirates de prendre le contrôle à distance de leurs appareils cibles via Internet. Un exploit tel qu’un RCE associé à une capacité sans clic est incroyablement précieux car ces attaques peuvent être menées de manière invisible à l’insu du propriétaire de l’appareil. En fait, une entreprise qui acquiert et revend des Zero Days propose actuellement entre 3 et 5 millions de dollars pour ce type de Zero Day sans clic, ce qui montre également à quel point il est difficile de trouver et de développer ce type d’exploits.
Contactez-nous
Avez-vous des informations sur les zero-days réels ? Ou des fournisseurs de logiciels espions ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
Compte tenu des circonstances dans lesquelles et du lieu où ce zero-day est vendu, il est très probable qu’il ne s’agisse que d’une arnaque et que Trust Wallet soit tombé dans le piège, propageant ce que les gens du secteur de la cybersécurité appelleraient FUD, ou « la peur de l’incertitude et de l’incertitude ». doute. »
Les jours zéro existent et sont utilisés par les unités de piratage gouvernementales depuis des années. Mais en réalité, vous n’avez probablement pas besoin de désactiver iMessage, sauf si vous êtes un utilisateur à haut risque, comme un journaliste ou un dissident sous un gouvernement oppressif, par exemple.
Il est préférable de suggérer aux gens d’activer le mode de verrouillage, un mode spécial qui désactive certaines caractéristiques et fonctionnalités des appareils Apple dans le but de réduire les moyens que les pirates peuvent utiliser pour attaquer les iPhones et les Mac.
Selon Apple, rien ne prouve que quelqu’un ait réussi à pirater l’appareil Apple de quelqu’un en utilisant le mode de verrouillage. Plusieurs experts en cybersécurité comme Runa Sandvik et le des chercheurs qui travaillent au Citizen Lab, qui ont enquêté sur des dizaines de cas de piratage d’iPhone, recommandent d’utiliser le mode verrouillage.
Pour sa part, CodeBreach Lab semble être un nouveau site Web sans historique. Lorsque nous avons vérifié, une recherche sur Google n’a renvoyé que sept résultats, dont un message sur un forum de piratage bien connu demandant si quelqu’un avait déjà entendu parler de CodeBreach Lab.
Sur sa page d’accueil – avec des fautes de frappe – CodeBreach Lab prétend proposer plusieurs types d’exploits autres que pour iMessage, mais ne fournit aucune autre preuve.
Les propriétaires décrivent CodeBreach Lab comme « le nœud de la cyber-perturbation ». Mais il serait probablement plus approprié de l’appeler le lien entre vantardise et naïveté.
TechCrunch n’a pas pu contacter CodeBreach Lab pour commenter car il n’y a aucun moyen de contacter la société présumée. Lorsque nous avons tenté d’acheter l’exploit présumé – pourquoi pas – le site Web a demandé le nom et l’adresse e-mail de l’acheteur, puis d’envoyer 2 millions de dollars en bitcoins à une adresse de portefeuille spécifique sur la blockchain publique. Quand nous avons vérifié, personne ne l’a encore fait.
En d’autres termes, si quelqu’un veut obtenir ce prétendu jour zéro, il doit envoyer 2 millions de dollars dans un portefeuille auquel, à ce stade, il n’y a aucun moyen de savoir à qui il appartient, ni – encore une fois – aucun moyen de contacter.
Et il y a de très fortes chances que cela reste ainsi.