Une faille majeure d'iOS 14.6 a permis d'espionner journalistes, avocats et ONG, Réactions à la publication du 19/07/2021

[Lionel]

La société israélienne NSO est spécialisée dans le développement d'outils de piratage destinés aux forces de l'ordre et gouvernements légitimes.
Un des exploits du logiciel qu'elle vend à ces autorités permet de prendre le contrôle d'un appareil sous iOS 14.6. L'attaque n'est évidemment pas détaillée mais elle serait liée à un message spécialement formaté. Le simple fait de le recevoir, sans même cliquer sur un quelconque lien permettrait d'installer un cheval de Troie capable de récupérer le contenu de l'appareil mais aussi d'allumer à distance son micro et transmettre les conversations alentours.

Il semble que des journalistes, avocats et employés d'ONG aient été ainsi espionnés. Si NSO se défend d'avoir commercialisé son logiciel à des personnes malveillantes, il est aussi possible que ce produit ait été sorti de son contexte par des personnes habilitées à l'utiliser.

Il n'en demeure pas moins qu'une faille majeure de plus existe toujours sous iOS et son module iMessage et permet la prise de contrôle d'un appareil avec une facilité déconcertante. Espérons que la prochaine mise à jour comble cette faille, ce qui nous laissera un peu de répit en attendant la suivante.

Lien vers le billet original

[keanus]

Rien ne permet de dire qu'Apple a "intentionnellement mis des BackDoors". Celui qui affirme doit prouver.

Dans le cas de Pegasus, ce sont pas moins 3 failles 0 day qui ont été exploitées et la plus importante car vecteur de l'installation est dans la librairie de WebKit.

En clair : pour éviter de voir son iPhone compromis, le 1er des réflexe est d'éviter d'utiliser SAFARI pour un autre navigateur qui n'utilise aucune des librairies WebKit.

Apple doit permettre aux autres navigateurs de se faire facilement une place au seing de son écosystème bien trop fermé qui est justement le ver dans la pomme.

Le pire c'est que cette faille de WebKit n'est certainement plus le vecteur d'infection puisque depuis 9.3.5 la CVE a été patché.

Mais faut pas prendre NSO pour des idiots, ils ont forcément trouvé d'autres failles a exploiter et ce sont toutes les "Apps made in Apple" qui sont forcément les vecteurs d'infection qui seront privilégiés puisque installées et utilisées par défaut sur tout iPhone.

La moralité de l'histoire est que SI APPLE n'est pas capable d'assurer une sécurité de ses utilisateurs avec son système fermé, alors elle doit permettre à ses Utilisateurs de l'ouvrir soit par l'utilisation d'Apps concurrentes aux siennes ou au Jailbreak permettant de surveiller les racines d'iOs et de permettre à ses utilisateurs de monitorer l'activité du processeur et les vitesses réseaux afin de détecter toute activité anormale.

Enfin d'associer une diode à la caméra et au micro quand ils sont actifs sans que la diode ne puisse être découplée autrement que par une éviction physique de celle ci.

Etre espionné par la caméra et le micro sans que l'utilisateur ne puisse s'en rendre compte est simplement une "GROTESQUE et INADMISSIBLE erreur Hardware d'Apple" qui "NE PERMET PAS A L'UTILISATEUR" de pouvoir se rendre compte qu'il est espionné.

Un diode de caméra active indécouplable est une "boucle de sécurité" qu'Apple aurait dû prévoir comme pour les webcams de Logitech qui ont le mérite d'exister même si elle peuvent être découplées.

Le Législateur devrait imposer au fabricant de mettre en place des options de sécurité incontournables que l'utilisateur pourrait masquer.
Eventuellement un bouton comme celui du "mode silencieux" qui couperait cam et micro hors appels émis.

C'est dingue comme Apple fait de plus en plus mal son travail : ils ne pensent qu'à rajouter des fonctions, toujours plus de fonctions dont tout le monde ou presque se fout, mais aucune avancée significative au niveau de la sécurité.

Et je résumerai que ce genre d'espionnage à grande échelle est le pire des dangers car "L'intimité de chacun est le dernier rempart de la Démocratie pour tous".


Hey Mister Tim COOK, si tu me lis, affiche ma maxime dans les couloirs et bureaux qu'utilisent tes Ingénieurs pour leur rappeler que le plus important c'est la sécurité des Clients et pas leur confort !

LA SECURITE toujours avant toutes les autres matières.