Le renseignement russe a accusé Apple et la NSA d'avoir lancé une campagne d'espionnage sur des milliers d'iPhone, dont une partie en Russie. Parallèlement, Kaspersky indique que plusieurs dizaines d'iPhone d'employés ont été touchés par une attaque très sophistiquée, sans faire de lien direct avec l'annonce du FSB.
Le Service fédéral de sécurité russe accuse dans un communiqué (le site n'est d'ailleurs pas en HTTPS) Apple et la NSA d’espionner des milliers d’iPhone, avec la participation active du constructeur. Le FSB affirme avoir découvert une vaste campagne d’espionnage, via des malwares installés sur les téléphones. Le tout grâce à une faille de sécurité non documentée, selon le ministère russe des Affaires étrangères.
Le FSB accuse en particulier Apple de donner son concours et trouve en conséquence la communication de l’entreprise trompeuse. La société offrirait ainsi « aux services de renseignement américain un large éventail d’opportunités pour contrôler à la fois toute personne digne d’intérêt pour la Maison-Blanche, y compris leurs partenaires dans les activités anti-russes », et même « leurs propres citoyens ».
La campagne ne serait pas dirigée uniquement contre des Russes. Les anciennes républiques soviétiques, l’Asie du Sud, la Chine, Israël, la Syrie et même des pays membres de l’OTAN seraient ciblés.
Selon le ministère des Affaires étrangères encore, « le renseignement américain utilise les entreprises tech depuis des années dans l’objectif de collecter de larges quantités de données des internautes sans qu’ils le sachent ».
Le porte-parole du Kremlin, Dmitry Peskov, a précisé à Reuters que l’utilisation des iPhone dans l’administration est « inacceptable et interdit ». En revanche, les fonctionnaires sont libres de les utiliser « pour des communications privées et non officielles ».
Des dizaines d’iPhone infectés chez Kaspersky
Quelques heures plus tard, Eugene Kaspersky a publié un billet dans lequel il explique que plusieurs de ses employés ont été visés par une attaque « extrêmement complexe » sur leurs iPhone, via un iMessage invisible. De là, un logiciel espion était installé de manière silencieuse et sans intervention de l’utilisateur. Il a été nommé Triangulation, car il utilise la technique du Canvas Fingerprinting en dessinant un triangle jaune dans la mémoire de l’appareil.
Selon le PDG, ce logiciel a ensuite envoyé des données privées à des serveurs distants : « enregistrements du microphone, photos des messageries instantanées, géolocalisation et données relatives à un certain nombre d’autres activités du propriétaire de l’appareil infecté ». Ces serveurs (Command & Control) envoyaient également la marche à suivre pour exploiter d’autres failles, menant à une escalade des privilèges. Après quoi, l’iMessage et sa pièce jointe étaient supprimés.
Kaspersky insiste sur le niveau très élevé de discrétion de l’attaque. Elle a fini par être détectée par Kaspersky Unified Monitoring and Analysis Platform (KUMA), sous la forme d’anomalies émises par des appareils Apple. « Une enquête plus approfondie de notre équipe a montré que plusieurs dizaines d’iPhone de nos employés étaient infectés », précise-t-il. L’un des rares éléments « visibles » était l’incapacité de ces appareils à être mis à jour.
Puisque Apple ne fournit pas d’outils pour analyser directement le comportement de ses téléphones, la société de sécurité est passée par des moyens détournés. Elle a par exemple réalisé des copies de sauvegarde des iPhone contaminés, avant d’en analyser le contenu via des outils externes. Kaspersky indique à ce sujet être en plein développement d’un outil gratuit qu’elle mettra bientôt à disposition, quand les tests seront terminés.
Pas encore de moyen de désinfecter proprement les appareils
Selon Kaspersky, il n’existe pour l’instant aucun moyen de nettoyer les iPhone contaminés. Redémarrer l’appareil permettait momentanément de supprimer Triangulation de la mémoire, le logiciel malveillant ne supportant pas la persistance (Kaspersky émet l’hypothèse qu’il s’agit d’une limitation du système). Mais il finissait toujours par revenir en réexploitant la même faille.
Seule solution, le retour aux paramètres d’usine, qui efface toutes les données, puis la mise à jour immédiate vers la dernière révision d’iOS. L’entreprise ne le dit pas clairement, mais laisse entendre que la faille initialement exploitée est corrigée par une version récente du système d’exploitation. En effet, la mouture la plus récente présente sur un iPhone piraté était la 15.7 (nous en sommes à la 16.5).
Kaspersky estime que cette attaque n’était pas dirigée directement contre son entreprise, mais qu’elle a été prise dans la nasse : « Nous sommes convaincus que Kaspersky n’était pas la cible principale de cette cyberattaque. Les jours à venir apporteront plus de clarté et de détails sur la prolifération mondiale du logiciel espion ».
Le PDG en profite pour critiquer la fermeture d’iOS : « Ce système d’exploitation est une « boîte noire » dans laquelle des logiciels espions comme Triangulation peuvent se cacher pendant des années. La détection et l’analyse de telles menaces sont rendues plus difficiles par le monopole d’Apple sur les outils de recherche, ce qui en fait le refuge idéal pour les logiciels espions ». Conséquence, selon lui, « les utilisateurs ont l’illusion d’une sécurité associée à l’opacité totale du système ».
Y a-t-il un lien ?
Eugene Kaspersky ne fait aucune mention du communiqué émis par le Kremlin. Deux éléments vont dans le sens d’un lien : la chronologie des communications et la mention, par le PDG, que l’attaque n’était pas directement conçue contre sa structure.
Du côté américain, si la NSA n’a pas réagi, Apple a pour une fois brisé sa loi du silence. La société l’affirme : « Nous n’avons jamais travaillé avec un gouvernement pour insérer une porte dérobée et ne le ferons jamais ».
On se souvient du massacre de San Bernardino et de l’iPhone 5c retrouvé sur le tueur. Il avait donné lieu à une passe d’armes tendue entre Apple et le FBI, qui s’acheminait vers les tribunaux. Avant que le Bureau renonce finalement à exiger la participation d’Apple. Il avait acquis entre temps une faille auprès d’une entreprise et comptait bien s’en servir pour récupérer les données chiffrées sur le téléphone.
Depuis, c’est le calme plat, tout du moins de ce que l’on en sait. L’image de « chevalier blanc » d’Apple a été préservée et sa communication sur le respect de la vie privée s’en est trouvée renforcée. Avec iOS 16, l’entreprise a depuis ajouté un mode Isolement, qui apporte un niveau plus élevé de sécurité via des mesures plus radicales, comme le blocage quasi-total des pièces jointes dans Messages (seules les images passent), les refus des appels FaceTime entrants depuis des numéros qui n’ont jamais été appelés précédemment, le blocage de certaines fonctions dans Safari comme la compilation JIT pour JavaScript, ou encore l’impossibilité de se servir de la connexion filaire avec un autre appareil, ordinateur ou accessoire.
Il faudra donc attendre pour en savoir plus.
