Une faille majeure d'iOS 14.6 a permis d'espionner journalistes, avocats et ONG, Réactions à la publication du 19/07/2021

[Lionel]

La société israélienne NSO est spécialisée dans le développement d'outils de piratage destinés aux forces de l'ordre et gouvernements légitimes.
Un des exploits du logiciel qu'elle vend à ces autorités permet de prendre le contrôle d'un appareil sous iOS 14.6. L'attaque n'est évidemment pas détaillée mais elle serait liée à un message spécialement formaté. Le simple fait de le recevoir, sans même cliquer sur un quelconque lien permettrait d'installer un cheval de Troie capable de récupérer le contenu de l'appareil mais aussi d'allumer à distance son micro et transmettre les conversations alentours.

Il semble que des journalistes, avocats et employés d'ONG aient été ainsi espionnés. Si NSO se défend d'avoir commercialisé son logiciel à des personnes malveillantes, il est aussi possible que ce produit ait été sorti de son contexte par des personnes habilitées à l'utiliser.

Il n'en demeure pas moins qu'une faille majeure de plus existe toujours sous iOS et son module iMessage et permet la prise de contrôle d'un appareil avec une facilité déconcertante. Espérons que la prochaine mise à jour comble cette faille, ce qui nous laissera un peu de répit en attendant la suivante.

Lien vers le billet original

[JayTouCon]

Euh tu n’as toujours pas compris a priori. Le lossless ne fonctionnera pas avec les AirPod max. consulte tes donneurs d’ordre.

C’est peut être compliqué de l’annoncer à ceux qui ont déboursé 600€. Il faudra attendre la V2. Je te rappelle que ce sont des gens qui bossent pour la pomme qui l’ont annoncé, pas moi. Mais ce sera avec plaisir que je ressortirai tes messages ou tu le niais. De mémoire @lionel te l’avait rappelé

Mais plutôt que de faire diversion, et revenir au sujet, il me semble que c’est via iOS et pégasus que le journaliste a été démembré en Turquie. Cela aurait pu être évidemment avec un androïd vérolé mais comme Tim Cook nous bassine avec la vie privée, il serait souhaitable qu’il comble les failles de sécurité plutôt que de faire la morale à FB.

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

[downanotch]

Euh tu n’as toujours pas compris a priori.

Sérieux, apprend à lire ou à comprendre…

Mais plutôt que de faire diversion

C'est toi qui a dévié sur le lossless, hein…

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

Dans l'évaluation du rapport d'Amnesty par Citizen Lab ont peut lire :

The mechanics of the zero-click exploit for iOS 14.x appear to be substantially different than the KISMET exploit for iOS 13.5.1 and iOS 13.7, suggesting that it is in fact a different zero-click iMessage exploit.

Il s'agirait donc de nouvelles failles, ce qui suggère que les anciennes ont bien été comblées.

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Ce message a été modifié par downanotch - 20 Jul 2021, 11:45.

[Lionel]

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Donc toi aussi dans ce cas tu penches pour des failles volontaires ? On ferme la porte à double tour mais on laisse une lucarne ouverte. C'est ça ?

[downanotch]

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Donc toi aussi dans ce cas tu penches pour des failles volontaires ?

Absolument pas, des failles de sécurité — et plus généralement, des bugs — on en découvre régulièrement et dans tous les OS, c'est juste que la complexité et la vitesse d'évolution des logiciels aujourd'hui sont telles que c'est très difficile à éviter, et qu'en face il y a des ressources énormes qui sont mises pour trouver les bugs qui peuvent compromettre la sécurité et les exploiter.

[Lionel]

Donc toi aussi dans ce cas tu penches pour des failles volontaires ?

Absolument pas, des failles de sécurité — et plus généralement, des bugs — on en découvre régulièrement et dans tous les OS, c'est juste que la complexité et la vitesse d'évolution des logiciels aujourd'hui sont telles que c'est très difficile à éviter, et qu'en face il y a des ressources énormes qui sont mises pour trouver les bugs qui peuvent compromettre la sécurité et les exploiter.

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.
Laisse tomber tu es coincé.

Bonjour,
En pratique, un journaliste, un membre d'une ONG, il fait comment pour pouvoir téléphoner, envoyer un e-mail, sans être espionné ?
Le chiffrement semble être dans ce cas inefficace !
Merci de laisser le pigeon voyageur de côté.

En pratique il n'y a pas de solution absolument sûre, et certainement aucune contre des acteurs de niveau gouvernemental comme l'a découvert Jeff Bezos à ses dépends...

C'est pour ça que je ne recommande pas de messagerie chiffrée de bout-en-bout, dont Signal est le meilleur exemple, car ce sont des fausses sécurités.
Je préfère partir de l'idée que mes communication électroniques étaient, sont ou seront interceptés d'une manière ou d'une autre, et j'ai des preuves qu'elles l'ont été, il est quasi impossible d'avoir des preuves de l'absence d'interception, ad contrario.

Une possibilité serait d'avoir un appareil Android dédié à Signal, non-connecté à aucun réseau mobile après les setup initial pour bloquer naturellement les attaques réseau, et avec un pare-feu qui limiterait les échanges à Signal et son protocole (ses ports), en entrée et en sortie aussi, en se connectant en WiFi (peering avec son smartphone principal si nécessaire).

• Attaque réseau cellulaire: Non
• Attaque au travers de TCP/IP: Non, bloqué par le Pare-Feu
• Exploitation d'une faille 0-day dans Signal: Possible et Signal devient trop complexe pour être sûr
• Exploitation d'une faille 0-day dans son DNS local: Possible, mais extrêmement peu probable

En revanche, de manière irréaliste pour nombre de personnes, on peut avoir un matériel de chiffrement/déchiffrement GPG/PGP isolé, sans ports USB ouvert, et communiquant uniquement au travers d'un protocole série simple via un port série RS232C physique (USB <-> RS232C <-> USB).
Dans ce cadre-là on peut s'assurer de la sécurisation des échanges, et de la quasi-impossibilité d'attaques distantes.

En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

[downanotch]

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

[Lionel]

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

Tu dois être aux abois pour en arriver à ce genre de comparaison.
Il y a une différence énorme. Le chirurgien a une obligation de moyen. Apple a une obligation de résultat.
C'est du légal, donc essaye de trouver une parade.

[joe75]

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

Tu dois être aux abois pour en arriver à ce genre de comparaison.
Il y a une différence énorme. Le chirurgien a une obligation de moyen. Apple a une obligation de résultat.
C'est du légal, donc essaye de trouver une parade.

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.
C'est la première fois que j'entend parler d'une obligation contractuelle sur une plateforme pour des failles de sécurité.

Si la faille ne peut être comblée c'est à l'acheteur de migrer vers un système plus sécurisé ou de changer ses habitudes.

[baron]

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

Tu dois être aux abois pour en arriver à ce genre de comparaison.
Il y a une différence énorme. Le chirurgien a une obligation de moyen. Apple a une obligation de résultat.
C'est du légal, donc essaye de trouver une parade.

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.
C'est la première fois que j'entend parler d'une obligation contractuelle sur une plateforme pour des failles de sécurité.

Si la faille ne peut être comblée c'est à l'acheteur de migrer vers un système plus sécurisé ou de changer ses habitudes.

J'imagine qu'il s'agit d'une obligation de résultat par rapport aux allégations de la marque (application de la garantie de conformité voire risque de poursuites pour publicité mensongère).