La technique « Masque Attack » permet sur iOS de faire installer par l’utilisateur une application malveillante se faisant passer pour légitime. Comme pour Wirelurker la semaine dernière, ces fausses applications utilisent un certificat spécial pour les entreprises. Mais selon Apple, aucun utilisateur n’a été touché par cette menace pour l’instant.
La semaine dernière, le malware Wirelurker avait fait parler de lui à cause de la capacité qu’il avait de se glisser sur des appareils iOS non-jailbreakés. Pour ce faire, une application vérolée téléchargée sur OS X utilisait le câble USB pour envoyer une fausse application. Pour les appareils classiques, il n’y avait a priori pas de danger car l’application envoyée ne faisait rien de particulier. Par contre, en cas de jailbreak, le malware ne se privait pas de récolter de nombreuses données. Apple invitait alors les utilisateurs à ne récupérer leurs logiciels pour OS X que depuis le Mac App Store ou depuis des sources de confiance.
Il suffit d'accepter une invitation à installer une application
Et voilà qu’une autre menace fait son apparition. Nommée « Masque Attack », elle exploite un vecteur un peu différent car elle ne passe pas cette fois par le Mac, mais par un simple lien dans un navigateur. Depuis un appareil iOS, cliquer sur le lien propose de télécharger une application ou un jeu, mais l’utilisateur récupère en fait sans le savoir une fausse version d’une application réelle, comme Gmail. Elle se comporte pratiquement comme la vraie et est de fait difficile à détecter, mais elle récupère évidemment des informations personnelles sur les échanges.
Le problème a été découvert par la société de sécurité FireEye qui explique que pour s’installer, la fausse application s’appuie sur un certificat fourni aux entreprises pour pouvoir déployer en interne leurs propres créations. Une méthode déjà utilisée par Wirelurker, sauf que cette fois, la « Masque Attack » n’a pas besoin d’une connexion USB ni d’un logiciel vérolé pour OS X. Puisque la méthode est exploitable dans tous les pays, l’US-CERT a émis un bulletin d’alerte.
Pour Apple, il n'y a pas de quoi paniquer
Il y a plusieurs fausses applications et elles appliquent toutes le même stratagème. À chaque fois, le but est de récupérer les identifiants de l’utilisateur et de se servir des API à disposition pour effectuer certaines tâches, notamment surveiller certaines activités. Toutes les données qui peuvent être captées le seront et FireEye précise que l’application pourra aller fouiller dans certains caches.
Pour Apple cependant, il n’y a pas urgence, même si FireEye indique avoir prévu Cupertino dès le 26 juillet du problème. D’ailleurs, l’efficacité de l’attaque a été testée sur les versions 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 bêta d’iOS, avec succès. Mais la firme indique : « Nous avons conçu OS X et iOS avec des protections intégrées qui aident à protéger les clients et à les avertir avant qu’ils n’installent des applications potentiellement dangereuses. Nous ne sommes au courant d’aucun utilisateur affecté par cette attaque. Nous encourageons les clients à ne télécharger des applications que depuis des sources de confiance telles que l’App Store et à faire attention à tout avertissement quand ils en téléchargent. Les clients professionnels installant des applications personnalisées devraient en installer depuis le site sécurité de leur entreprise ».
N'installer rien qui ne provienne de l'App Store
En fait, pour un utilisateur classique, la seule source possible d’installation est l’App Store. De fait, il devrait se méfier immédiatement de toute proposition de téléchargement qui ne renverrait pas directement vers une fiche de la boutique mobile. Par ailleurs, un avertissement peut apparaître pour signaler que le développeur n’est pas connu et qu’il y a un problème de confiance : mieux vaut dans ce cas refuser et désinstaller l’application. Il n’est d’ailleurs pas impossible que vous soyez confronté au problème, le vecteur d’attaque pouvant toujours être utilisé.
Le souci réside dans la manière dont Apple fournit des certificats spéciaux aux entreprises en cas de déploiement interne. Certaines grosses structures disposent en effet d’applications spécifiques pour lesquelles la firme propose une installation sur des appareils sans passer par l’App Store et ses étapes de validation. Le certificat permet alors auxdites applications d’être reconnues comme authentiques. Un seul certificat est nécessaire pour toutes les créations d’une entreprise. Apple pourrait donc révoquer un ou plusieurs certificats, mais en attendant, la consigne est simple : il n’y a pas de raison de paniquer, mais il faudra faire quand même attention à ce qui vous est proposé.