Le renseignement russe a accusé Apple et la NSA d'avoir lancé une campagne d'espionnage sur des milliers d'iPhone, dont une partie en Russie. Parallèlement, Kaspersky indique que plusieurs dizaines d'iPhone d'employés ont été touchés par une attaque très sophistiquée, sans faire de lien direct avec l'annonce du FSB.
Le Service fédéral de sécurité russe accuse dans un communiqué (le site n'est d'ailleurs pas en HTTPS) Apple et la NSA d’espionner des milliers d’iPhone, avec la participation active du constructeur. Le FSB affirme avoir découvert une vaste campagne d’espionnage, via des malwares installés sur les téléphones. Le tout grâce à une faille de sécurité non documentée, selon le ministère russe des Affaires étrangères.
Le FSB accuse en particulier Apple de donner son concours et trouve en conséquence la communication de l’entreprise trompeuse. La société offrirait ainsi « aux services de renseignement américain un large éventail d’opportunités pour contrôler à la fois toute personne digne d’intérêt pour la Maison-Blanche, y compris leurs partenaires dans les activités anti-russes », et même « leurs propres citoyens ».
La campagne ne serait pas dirigée uniquement contre des Russes. Les anciennes républiques soviétiques, l’Asie du Sud, la Chine, Israël, la Syrie et même des pays membres de l’OTAN seraient ciblés.
Selon le ministère des Affaires étrangères encore, « le renseignement américain utilise les entreprises tech depuis des années dans l’objectif de collecter de larges quantités de données des internautes sans qu’ils le sachent ».
Le porte-parole du Kremlin, Dmitry Peskov, a précisé à Reuters que l’utilisation des iPhone dans l’administration est « inacceptable et interdit ». En revanche, les fonctionnaires sont libres de les utiliser « pour des communications privées et non officielles ».
Des dizaines d’iPhone infectés chez Kaspersky
Quelques heures plus tard, Eugene Kaspersky a publié un billet dans lequel il explique que plusieurs de ses employés ont été visés par une attaque « extrêmement complexe » sur leurs iPhone, via un iMessage invisible. De là, un logiciel espion était installé de manière silencieuse et sans intervention de l’utilisateur. Il a été nommé Triangulation, car il utilise la technique du Canvas Fingerprinting en dessinant un triangle jaune dans la mémoire de l’appareil.
Selon le PDG, ce logiciel a ensuite envoyé des données privées à des serveurs distants : « enregistrements du microphone, photos des messageries instantanées, géolocalisation et données relatives à un certain nombre d’autres activités du propriétaire de l’appareil infecté ». Ces serveurs (Command & Control) envoyaient également la marche à suivre pour exploiter d’autres failles, menant à une escalade des privilèges. Après quoi, l’iMessage et sa pièce jointe étaient supprimés.
Kaspersky insiste sur le niveau très élevé de discrétion de l’attaque. Elle a fini par être détectée par Kaspersky Unified Monitoring and Analysis Platform (KUMA), sous la forme d’anomalies émises par des appareils Apple. « Une enquête plus approfondie de notre équipe a montré que plusieurs dizaines d’iPhone de nos employés étaient infectés », précise-t-il. L’un des rares éléments « visibles » était l’incapacité de ces appareils à être mis à jour.
Puisque Apple ne fournit pas d’outils pour analyser directement le comportement de ses téléphones, la société de sécurité est passée par des moyens détournés. Elle a par exemple réalisé des copies de sauvegarde des iPhone contaminés, avant d’en analyser le contenu via des outils externes. Kaspersky indique à ce sujet être en plein développement d’un outil gratuit qu’elle mettra bientôt à disposition, quand les tests seront terminés.
Pas encore de moyen de désinfecter proprement les appareils
Selon Kaspersky, il n’existe pour l’instant aucun moyen de nettoyer les iPhone contaminés. Redémarrer l’appareil permettait momentanément de supprimer Triangulation de la mémoire, le logiciel malveillant ne supportant pas la persistance (Kaspersky émet l’hypothèse qu’il s’agit d’une limitation du système). Mais il finissait toujours par revenir en réexploitant la même faille.
Seule solution, le retour aux paramètres d’usine, qui efface toutes les données, puis la mise à jour immédiate vers la dernière révision d’iOS. L’entreprise ne le dit pas clairement, mais laisse entendre que la faille initialement exploitée est corrigée par une version récente du système d’exploitation. En effet, la mouture la plus récente présente sur un iPhone piraté était la 15.7 (nous en sommes à la 16.5).
Kaspersky estime que cette attaque n’était pas dirigée directement contre son entreprise, mais qu’elle a été prise dans la nasse : « Nous sommes convaincus que Kaspersky n’était pas la cible principale de cette cyberattaque. Les jours à venir apporteront plus de clarté et de détails sur la prolifération mondiale du logiciel espion ».
Le PDG en profite pour critiquer la fermeture d’iOS : « Ce système d’exploitation est une « boîte noire » dans laquelle des logiciels espions comme Triangulation peuvent se cacher pendant des années. La détection et l’analyse de telles menaces sont rendues plus difficiles par le monopole d’Apple sur les outils de recherche, ce qui en fait le refuge idéal pour les logiciels espions ». Conséquence, selon lui, « les utilisateurs ont l’illusion d’une sécurité associée à l’opacité totale du système ».
Y a-t-il un lien ?
Eugene Kaspersky ne fait aucune mention du communiqué émis par le Kremlin. Deux éléments vont dans le sens d’un lien : la chronologie des communications et la mention, par le PDG, que l’attaque n’était pas directement conçue contre sa structure.
Du côté américain, si la NSA n’a pas réagi, Apple a pour une fois brisé sa loi du silence. La société l’affirme : « Nous n’avons jamais travaillé avec un gouvernement pour insérer une porte dérobée et ne le ferons jamais ».
On se souvient du massacre de San Bernardino et de l’iPhone 5c retrouvé sur le tueur. Il avait donné lieu à une passe d’armes tendue entre Apple et le FBI, qui s’acheminait vers les tribunaux. Avant que le Bureau renonce finalement à exiger la participation d’Apple. Il avait acquis entre temps une faille auprès d’une entreprise et comptait bien s’en servir pour récupérer les données chiffrées sur le téléphone.
Depuis, c’est le calme plat, tout du moins de ce que l’on en sait. L’image de « chevalier blanc » d’Apple a été préservée et sa communication sur le respect de la vie privée s’en est trouvée renforcée. Avec iOS 16, l’entreprise a depuis ajouté un mode Isolement, qui apporte un niveau plus élevé de sécurité via des mesures plus radicales, comme le blocage quasi-total des pièces jointes dans Messages (seules les images passent), les refus des appels FaceTime entrants depuis des numéros qui n’ont jamais été appelés précédemment, le blocage de certaines fonctions dans Safari comme la compilation JIT pour JavaScript, ou encore l’impossibilité de se servir de la connexion filaire avec un autre appareil, ordinateur ou accessoire.
Il faudra donc attendre pour en savoir plus.
Commentaires (30)
#1
Ce serait étonnant que ce soit volontaire de la part d’Apple.
Ils ont beaucoup à y perdre car ils vendent en partie leur protection des données (comparé à Android).
Par contre ce ne sont pas les seuls à critiquer la fermeture d’iOS, même dans le milieu de la sécurité. De mémoire il y a une division chez google qui a pour mission de trouver des failles dans les systèmes d’exploitation et ils s’étaient déjà plaint de la fermeture qui limitait leur efficacité.
Et
On sait, ils le font même ouvertement (et légalement je crois)
The government can’t seize your data — but it can buy it
(bon, c’est yahoo finance, peut être pas la meilleure source, mais il y a un lien vers un article plus complet de worldprivacyforum.org).
Bref, je ne serai pas surpris que les USA fassent de l’espionnage à grande échelle, ce ne serait pas une première, mais j’ai un gros doute qu’Apple (ou d’autres entreprises tech) ouvrent des accès pour cela.
Ils ont révélé comment la faille est utilisée pour qu’elle puisse être résolue ?
#2
Il n’y a pas que la NSA qui espionnait les iPhone (voir le scandale Pegasus de NSO).
#3
Kaspersky est une boite russe stratégique en cyber sécurité depuis longtemps. Leur probabilité de ne pas être contrôlés par le FSB est d’à peu près 0%.
#3.1
contrôlée?
franchement à mon avis c’est beaucoup plus bête.
Kaspersky a trouvé une faille 0day assez vilaine, et comme n’importe quelle boite de sécu en France (ou aux US), a prévenu les autorités.
les autorités en question ont juste sauté sur l’occasion pour raconter des conneries.
il est même possible que ça soit Kaspersky qui ait signalé la faille à Apple.
edit: la 15.7 est toujours d’actualité puisque la dernière MAJ, 15.7.6, date du mois de mai 2023, quand bien même la 16 date de septembre 2022.
#3.2
Contrôlé ou pas, j’ai désinstallé Kaspersky du poste de ma femme (malheureusement sous Windows) peu après le début de la guerre…
#3.3
on n’est jamais trop prudent, surtout avec des régimes comme celui-là.
et puis windows defender c’est très bien.
#3.4
Statistiques selon ton petit doigt.
#3.5
Probabilité que la loi russe s’applique en Russie?
#3.6
Code source auditable officiellement pour Kaspersky contre pas d’accès code source chez les autres éditeurs ? Quelle législation Russe s’appliquerait ? La partie chiffrement est gérée par une succursale justement pour que ça n’emporte pas toute la pile sur des questions de lois, et certaines solutions ne sont disponible qu’en Russie car ils doivent se plier à la législation pour ceux-ci et ne souhaitent pas générer de risques.
Faut arrêter de fantasmer sur un gouvernement russe méchant comme dans les films américains…
#4
Mais en le redémarrant, vu que le logiciel disparait, ils ne peuvent pas faire la màj justement ?! Si non, c’est qu’il ne disparait pas réellement alors
#5
donc on a une réelle exploitation de faille 0day, encore du bon taf de Kaspersky, et le Kremlin qui se base sur un fait réel pour monter ça en sauce complot.
le B.A BA de la fake news russe efficace: toujours avoir un peu de réel dans le délire, ça permet de se raccrocher à quelque chose de solide en cas de doute.
évidemment, demander à Gégène de différer sa communication pour que ça soit la fake qui soit reprise.
kaspersky: eh les gars on a trouvé une grosse 0day de derrière les fagots!
kremlin: wow wow wow attendez les mecs faut qu’on en profite pour taper sur ces tarlouzes occidentales violeurs d’enfants! on reste dans le classique: c’est la méchante NSA qui espionne les gentils russes!
FSB: attendez! on peut aussi en profiter pour utiliser nos teubés idiots utiles en occident. suffit de dire que la NSA les espionne aussi! pile poil dans leur biais de confirmation anti-US! hahaha!
merci au FSB, défenseur de la veuve et l’orphelin sur internet.
#6
Sacré argumentaire. J’y ai travaillé (c’est plus le cas) en R&D et j’ai jamais vu quoi que ce soit de louche. Tu peux demander à auditer le code source et à la compiler dans leur Transparency Center pour le comparer aux binaires publiquement disponibles.
#6.1
Tout leur business est fondé sur la confiance donc c’est clair qu’ils ne vont pas l’annoncer au monde entier.
#7
tu y as travaille et? Tu crois etre au courant de tout chez ton employeur dans une boite internationale de plusieurs milliers d’employes?
Kaspersky, c’est plus de 4000 employes dans 31 pays. Tu n’etais au courant de pas grand chose.
#8
D’accord Jean Kévin.
#9
Désolé je n’ai pas compris cette phrase « en dessinant un triangle jaune dans la mémoire de l’appareil », c’est une expression imagée ou ça fait référence à quelque chose de plus concret ?
#9.1
Comme ça m’intriguait aussi, en cherchant un peu, il s’agit d’une méthode de tracking utilisant l’élément HTML5
canvaspour dessiner une figure qui sera conservée dans la mémoire du navigateur si j’ai bien compris. Méthode de fingerprinting assez violente car elle est déconnectée des cookies, et très précise en matière d’unicité car elle dépend sur la façon dont le navigateur dessine et stocke l’objet selon le navigateur lui-même, l’OS, la carte graphique, etc. A partir de là, le script de tracking génère une sorte de “signature” de la façon dont le canevas a été généré pour garder une trace du visiteur.Je connaissais pas, c’est vicieux.
#10
J’ai trouvé son commentaire naïf en effet.
Ben non, il a raison.
J’ai aussi travaillé dans une grosse boîte internationale pendant 5 ans, je n’en voyais qu’un tout petit bout.
Quant à savoir ce qu’on veut dire par “Kaspersky est contrôlé par le FSB”, pour ma part je pense qu’ils doivent être obligés de fournir toutes les découvertes qu’ils font au FSB (et ça ne me choque pas, une boîte française de cybersécurité peut avoir envie de communiquer avec DGSE/DGSI sans même y être obligée).
#10.1
Si on pouvait éviter les débats méchants VS gentils, ce serait sympa. La géopolitique et la diplomatie actuelle est suffisamment difficile à appréhender sans faire des procès en naïveté ou autre selon le cas. Pas la peine d’en rajouter, pour reprendre une réf. publicitaire. Merci.
#11
J’ai juste dit que son commentaire était naïf, ça n’a rien de méchant. J’ai répondu de façon très tranquille, relis mon commentaire (et à l’inverse, sa réponse “D’accord Jean Kévin” était moins sympa).
Par ailleurs je ne vois pas où j’ai parlé de gentils et de méchants.
#12
“triangle jaune”
Nintendo ?
#13
Quand on n’a aucun argument, reste l’attaque perso…
#14
“il utilise la technique du Canvas Fingerprinting en dessinant un triangle jaune dans la mémoire de l’appareil.”
Gné ??
#15
Pour avoir lu le billet de Kaspersky, l’article pêche d’un sous-entendu trompeur. En lisant l’article sur NextINpact, on a l’impression que le logiciel utilise canvas et le fingerprinting pour procéder à l’infection.
En réalité, le fingerprinting est “juste” utilisé pour détecter les spécifications matérielles et logicielles du téléphone. Et pour cela, il dessine un… triangle jaune.
Si on reprend le paragraphe d’origine :
Ce qui est trompeur ici, c’est que la phrase sur le nom triangulation suit une phrase sur l’installation via une faille permettant l’installation du logiciel sans intervention de l’utilisateur. Du coup, on créé un lien implicite entre installation du logiciel et dessin du triangle jaune, alors que ce n’est pas le cas (le dessin du triangle jaune est réalisé a posteriori de l’infection).
Je me suis fait avoir aussi.
@Vincent : du coup, il serait peut être bien de mettre l’origine du nom dans un paragraphe à part, histoire d’éviter cette ambiguïté non ? Peut être aussi rajouter simplement que cette utilisation du fingerprinting est utilisé pour détecter les spécifications de l’appareil, aussi bien matériel que logiciel ?
#15.1
Merci pour cette explication
#16
iOS 15.7 est sorti en septembre 2022 et Kaspersky s’étonne qu’il y est des failles exploitées 9 mois plus tard. Est-ce bien nécessaire de s’inquiéter de débattre et de spéculer sur le fait qu’une faille ai été identifié 9 mois après la publication d’un des programmes les plus complexes qui existe à ce jour ?
#17
C’est le même Kaspersky la femme de qui disait que faut basculer sur les téléphones analogiques et courriers manuscrits car “la geurre contre la sainte Russie peut couper tout les smartphones” ?
https://www.cnews.ru/news/top/2022-08-19_vse_smartfony_v_rossii_mogut
#18
triangle jaune… mmm… bizarre…
2 triangles jaunes inversés, ça fait une étoile jaune.
Et on va dire que c’est le hasard ? Moi j’y vois plutôt un complot maçonico-juif, avec probablement l’intervention d’entités extra-terrestres : le symbole de starfleet, c’est une sorte de triangle jaune aussi. Le hasard ? je ne crois pas. Nous sachons.
PS : merci pour les explications complémentaires sur le triangle jaune, plus sérieuses que la mienne, et qui me permettent de comprendre.
#19
En quoi ma réponse est une attaque perso ? ;)
Plus sérieusement, c’est toujours facile d’accuser sans preuve. On peut toujours montrer pate blanche, il y aura toujours quelqu’un pour crier au complot, puisqu’on ne peut jamais prouver l’inverse. Comment prouver que le FSB ne contrôle pas une entreprise russe ?
A partir du moment où tu peux venir auditer le code source, compiler le code et comparer la somme de contrôle du fichier généré à la build disponible publiquement sur le site Internet, et à partir du moment où des membres de la R&D, dont ceux qui participent au code, sont également dans d’autres pays que la Russie, je vois pas comment un méchant FSB pourrait par un moyen ou un autre “contrôler” (à définir) cette entreprise.
Bien entendu, comme une boîte française aurait des obligations à suivre par rapport à la loi de notre pays, ils ont la même chose, mais ça veut pas dire que c’est sous contrôle et qu’ils tirent les ficelles.
#20
Si, c’est exactement ce que ça veut dire. Et les lois et les pratiques en Russie ne sont pas les mêmes qu’en France.
Ça n’est pas une question de complot. Il faut juste savoir sans paranoïa ni naïveté que c’est comme ça que ça se passe là bas.
Pour le FSB, c’est probablement avant tout une mine pour trouver de nouvelles failles 0-day, pour avoir une vue en temps réel de l’infrastructure réseau mondiale etc. Pour agir ils passent probablement par d’autres canaux.