En septembre 2021, Citizen Lab, le laboratoire interdisciplinaire de la Munk School à l'Université de Toronto (Canada) a fait part de ses recherches concernant le logiciel d’espionnage controversé Pegasus. Pour rappel, ce dernier aurait infecté plusieurs milliers de téléphones d'opposants politiques. L’équipe de chercheurs a donc rendu compte dans un article de ses découvertes, pour le moins surprenantes. « En analysant le téléphone d'un opposant saoudien infecté par le logiciel espion Pegasus de NSO Group, nous avons découvert un exploit zero-day zero-click contre iMessage. L'exploit, que nous appelons Forcedentry, cible la bibliothèque de rendu d'images d'Apple et était efficace contre les terminaux sous iOS, macOS et watchOS » indiquent-ils. Il a par la suite été déterminé que la société israélienne, a utilisé cette vulnérabilité pour exploiter à distance et infecter certains terminaux Apple avec son logiciel espion. Il semblerait que Forcedentry soit exploité depuis février 2021.
Faisant suite à cette découverte, Citizen Lab a fait part de la vulnérabilité et du code à Apple, qui lui a attribué le numéro de CVE-2021-30860 décrite ainsi : « le traitement d'un PDF malveillant peut conduire à une exécution de code arbitraire ». Le 14 septembre, Apple annoncé avoir mis à jour ses systèmes d’exploitation et colmaté la faille utilisée par Pegasus. Sont concernés par cette mise à jour tous les iPhones avec des versions iOS antérieures à 14.8, tous les ordinateurs mac avec des versions antérieures à OSX Big Sur 11.6, la mise à jour de sécurité 2021-005 Catalina et toutes les montres connectées Apple antérieures à watchOS 7.6. 2.
Rebondissement dans l’affaire
Le mois dernier, Apple a annoncé avoir intenté une action en justice contre NSO Group, concernant son logiciel Pegasus. Aujourd’hui, des chercheurs du projet Zero de Google ont analysé le logiciel le qualifiant de « l'un des outils les plus sophistiqués sur le plan technique que nous ayons jamais vus ». L’équipe d'experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités zero day s’est basée sur les travaux de Citizen Lab. Le laboratoire a en effet partagé un échantillon de l’exploit Forcedentry et Project Zero s’est concentré sur celui-ci. L’équipe explique qu’il s’agit d’une série de tactiques astucieuses pour cibler iMessage sans qu’il n’y ait d’interaction avec la victime. Les deux chercheurs auteurs de l’article expliquent ainsi pas à pas le fonctionnement du logiciel espion.
« ForcedEntry tire parti des faiblesses dans la façon dont iMessage accepte et interprète les fichiers comme les GIF animés pour inciter l’application iMessage à ouvrir un PDF malveillant sans qu'une victime ne fasse quoi que ce soit. L'attaque a exploité une faille dans un ancien d'outil de compression utilisé pour traiter le texte dans les images à partir d'un scanner physique, permettant aux clients du groupe NSO de prendre complètement possession d’un iPhone » précisent Ian Beer et Samuel Groß dans un article du blog dédié aux failles zero day. D’autres chercheurs ont comparé cette faille à celles que pourraient produire certains Etats-nation, par leur « niveau d'innovation et de raffinement ».
Commentaire