Nettoyé : Une faille 0 click utilisée pour compromettre des iPhone, Réactions à la publication du 22/12/2020

[Lionel]

Comme vous le savez, les failles de sécurité sur les appareils électroniques, en particulier les smartphones et plus encore les iPhone, sont très recherchées. Parmi ces failles, le Saint Graal est celle qui permettrait de compromettre un appareil sans aucune intervention de son utilisateur.

Le Monde rapporte (Merci Christophe) qu'un logiciel espion appelé Pegasus (développé par la société NSO) et capable de s'installer sur un iPhone sans aucun clic de la part de l'utilisateur a été installé sur 36 iPhone de journalistes du média d'information Al-Jazeera.

Les iPhone touchés étaient des modèles XS Max et 11 sous iOS 13. On ignore si cette faille critique a depuis été comblée par Apple, mais elle fait de nos iPhone de potentielles passoires alors que l'on leur confie toujours plus de nos données personnelles et d'accès à des services sensibles.

Lien vers le billet original

[makmic]

L'équipe qui a dévoilé l'utilisation de la faille ne pense pas que cette dernière fonctionne encore sous iOS14:

https://citizenlab.ca/2020/12/the-great-ipw...-click-exploit/

[JayTouCon]

l'obsolescence sécuritaire
'he had never clicked on any suspicious links, his phone had connected to an NSO server after it was infected with an apparent malicious code delivered through Apple’s servers'

ce n'est pas vraiment les téléphones qui sont en cause puisque le XII vient juste de sortir et qu'à l'époque c'étaient les derniers modèles mais bien un certain 'laisser aller' à combler la faille. depuis 2018 quand même.

toujours pareil c'est pour lutter contre le terro bla bla bla etc. résultat : des journalistes et militants des droits de l'homme. dans 45 pays. youpi.

[iAPX]

L'équipe qui a dévoilé l'utilisation de la faille ne pense pas que cette dernière fonctionne encore sous iOS14:

https://citizenlab.ca/2020/12/the-great-ipw...-click-exploit/

Oui et plus important, comme je l'ai maintes fois signalé, iMessage sous iOS est un vecteur bien trop courant, qui a trop de droits et peu de sandboxing.
À chaque fois, exécution de code à distance sans interaction de l'utilisateur avec des droits root, on ne peut pas faire pire!
Ça serait gênant une fois ou deux, là ça dénote clairement la volonté d'un acteur très puissant.

Évidemment ces backdoors sont trouvés par les meilleurs société de sécurité, ou rachetées quand trouvées par des indépendants, transformant de fait nos iPhone en passoires mais heureusement c'est utilisé de manière ciblée et non massive, ce qui risque d'arriver un jour!!!

C'est pour une raison similaire que les smartphone Huawei a été banni de certains contrats Américains, et de fait de la vente aux USA.

PS: je recommande la lecture (en anglais) de l'article de TheCitizenLab, il est techniquement très intéressant si on s'intéresse à la sécurité, notamment l'évasion de DNS très intéressante qui pourrait être du DoH (DNS over Https), un casse-tête en terme de sécurité!
Je d'ailleurs suis en train de préparer un pti bout de soft pour prévenir du DoH ou des IP hard-codées dans des logiciels malveillants, incluant les cas où ils utilisent du Certificate pre-pinning qui interdit tout MITM.

Ce message a été modifié par iAPX - 22 Dec 2020, 15:21.

[graxous]

Ce que je ne comprends pas, c'est que la société NSO puisse exercer librement son activité puisqu'elle permet l'installation de spyware. Cette société participe donc à des escroqueries à grande échelle, voire à éliminer les opposants politiques ou les adversaires.
D'après Wikipedia, Facebook les aurait attaqués en justice fin 2019, mais l'affaire doit certainement être en cours. Parmi les clients de cette société, les cartels de la drogue au Mexique.
Le pays dont elle est originaire trouve donc normal qu'une société commerciale vende ce type de produits, qui est plutôt de l'apanage des services secrets. De toute façon, ils n'extradent jamais les escrocs ou tueurs qui passent là-bas des retraites dorées.

[Lionel]

Ce que je ne comprends pas, c'est que la société NSO puisse exercer librement son activité puisqu'elle permet l'installation de spyware. Cette société participe donc à des escroqueries à grande échelle, voire à éliminer les opposants politiques ou les adversaires.
D'après Wikipedia, Facebook les aurait attaqués en justice fin 2019, mais l'affaire doit certainement être en cours. Parmi les clients de cette société, les cartels de la drogue au Mexique.
Le pays dont elle est originaire trouve donc normal qu'une société commerciale vende ce type de produits, qui est plutôt de l'apanage des services secrets. De toute façon, ils n'extradent jamais les escrocs ou tueurs qui passent là-bas des retraites dorées.

Je ne connais pas tous les tenants et aboutissants de cette société mais elle fournit aussi les services secrets de par le monde et à mon avis c'est l'un d'entre eux qui l'a commandité pour cette attaque. Maintenant au niveau légal on est certainement à la même échelle que ceux qui fabriquent des armes. Seul l'usage décide de l'illégalité.

[iAPX]

Ce que je ne comprends pas, c'est que la société NSO puisse exercer librement son activité puisqu'elle permet l'installation de spyware. Cette société participe donc à des escroqueries à grande échelle, voire à éliminer les opposants politiques ou les adversaires.
D'après Wikipedia, Facebook les aurait attaqués en justice fin 2019, mais l'affaire doit certainement être en cours. Parmi les clients de cette société, les cartels de la drogue au Mexique.
Le pays dont elle est originaire trouve donc normal qu'une société commerciale vende ce type de produits, qui est plutôt de l'apanage des services secrets. De toute façon, ils n'extradent jamais les escrocs ou tueurs qui passent là-bas des retraites dorées.

Je ne connais pas tous les tenants et aboutissants de cette société mais elle fournit aussi les services secrets de par le monde et à mon avis c'est l'un d'entre eux qui l'a commandité pour cette attaque. Maintenant au niveau légal on est certainement à la même échelle que ceux qui fabriquent des armes. Seul l'usage décide de l'illégalité.

Effectivement seul l'usage décide de l'illégalité, et c'est très subjectif!

Il y a le pendant de NSO Group en Europe qui est le très connu Hacking Team en Italie, fournissant des services similaires aux mêmes clients, de manière toute aussi discutable d'ailleurs.
Autant la cible et l'attaquant sont important, autant le fournisseur des technologies utilisées eu pu tout aussi bien être sur le sol Européen et n'est pas vraiment important pour l'histoire elle-même, à part pour noter un excellent pragmatisme opérationnel car faisant appels aux meilleurs.

Ce message a été modifié par iAPX - 22 Dec 2020, 17:42.

[JayTouCon]

Ce que je ne comprends pas, c'est que la société NSO puisse exercer librement son activité

ben disons que le client final c'est pas l'épicier du coin et que ça ne coute pas 1000 mac pro même toutes options. officiellement elle ne le vend qu'a des Etats pour lutter contre le terro.

je suis étonné que ce soit encore Pegasus par ce que ça fait belle lurette qu'on connait le machin. c'est quand même bien vieillot. les Etats ont du passer à autre chose et si ce sont aujourd'hui des organisations infra étatiques qui s'en servent il est temps de couper le robinet.

ce qui est remarquable ici (si je ne me suis pas trompé) c'est que ca passe par les serveurs de la pomme ou le truc est 'téléchargé' donc peu importe le modèle. s'il a fallu ios14 elle a vraiment pris son temps (ou peut être qu'elle à été amicalement poussée à le prendre) jusqu'à ce qu'une nouvelle techno existe.

[iAPX]

...
ce qui est remarquable ici (si je ne me suis pas trompé) c'est que ca passe par les serveurs de la pomme ou le truc est 'téléchargé' donc peu importe le modèle. s'il a fallu ios14 elle a vraiment pris son temps (ou peut être qu'elle à été amicalement poussée à le prendre) jusqu'à ce qu'une nouvelle techno existe.

Tout est dit!

[zero]

Oui et plus important, comme je l'ai maintes fois signalé, iMessage sous iOS est un vecteur bien trop courant, qui a trop de droits et peu de sandboxing.

Pas grave, personne utilise imessage.

[mobydivingdick]

En clair, quand les américains se foutent de la gueule du monde en criant au scandale avec les chinois ( Huawei and co ) ou les russes , ils font exactement pareil avec Apple, Cisco, Google etc.... et la NSA qui, contrairement à une opinion répandue, n'est pas une école de patisserie.

La réalité est simple : les Etats se serviront par tous les moyens possibles pour contrôler / espionner le plus de gens possibles, quelque soient les états, quelque soient les cibles.

Il n'y a pas de bons et de méchants.

[chartz]

Oui et plus important, comme je l'ai maintes fois signalé, iMessage sous iOS est un vecteur bien trop courant, qui a trop de droits et peu de sandboxing.

Pas grave, personne utilise imessage.

Pardon ? Vous utilisez quoi alors ?

[zero]

J'utilise quelque chose qui est développé pour plusieurs OS. Mes connaissances n'ont pas tous un Mac ou un iPhone, loin de là.

[iAPX]

J'utilise quelque chose qui est développé pour plusieurs OS. Mes connaissances n'ont pas tous un Mac ou un iPhone, loin de là.

iMessage est le client pour les SMS et MMS, et en tant que tel dans cette attaque sa présence suffit et il est toujours présent sous iOS.

Comme c'est une attaque distante, le véritable utilisateur de iMessage est dans ce cas l'attaquant.
C'est la beauté des attaques de ce type: le vecteur est toujours présent et ne peut être enlevé, il a bien trop de droits sans sandboxing réel, toute connexion à un réseau (cellulaire mais aussi WiFi) suffit pour délivrer l'attaque, même si cette connexion est largement postérieure au lancement de l'attaque elle-même.

Imparable.

[Cubytus64]

Ce qui est dingue est cette course à l'armement. Même avec un iPhone parfaitement fonctionnel et occasionnelelment mis à jour, le point commun de ces failles est qu¡elles me sont comblées que dans les toutes dernières versions de iOS, celles qui ne fonctionnement que sur les appareils de 2 ans gros max. Et on en fait quoi de tous les iPhones qui ne peuvent faire tourner "que" iOS 12 ou 13?

Un conspirationniste dirait que Apple a partie liée avec ces compagnies pour vendre toujours + de téléphones.

[iAPX]

Ce qui est dingue est cette course à l'armement. Même avec un iPhone parfaitement fonctionnel et occasionnelelment mis à jour, le point commun de ces failles est qu¡elles me sont comblées que dans les toutes dernières versions de iOS, celles qui ne fonctionnement que sur les appareils de 2 ans gros max. Et on en fait quoi de tous les iPhones qui ne peuvent faire tourner "que" iOS 12 ou 13?

Un conspirationniste dirait que Apple a partie liée avec ces compagnies pour vendre toujours + de téléphones.

C'est un problème fondamental du logiciel, il n'a pas de cadre légal réel alors qu'il dirige notre monde et nos vies!

Il devrait pourtant être évident que toute faille de sécurité établie dans n'importe quel logiciel utilisé doive être corrigée gratuitement par la société qui l'a créé, à ses frais et dans des délais acceptables après la découverte et avant la publication, ou pour le moins offrir (oui, offrir, gratos) la mise à jours vers une version ultérieure sans cette faille.

Pourtant et depuis les débuts, le logiciel qui fait maintenant tourner le monde est traité comme un livre de recettes ou la dernière chanson à la mode.
La recette est immangeable? dommage.
La chanson pourrie? arrête de l'écouter.
Trop de bugs ou de failles de sécurité? jette l'appareil qui va avec.

Absolument aucune responsabilité ni obligation.
Et pendant ce temps, la guerre s'intensifie, à nos dépends, et on jette des appareils pleinement fonctionnels.

Ce message a été modifié par iAPX - 23 Dec 2020, 16:52.

[sguitton]

Je recommande (parmi d’autres) cette interview

https://www.thinkerview.com/tariq-krim-et-b...-douche-froide/

[fced]

En clair, quand les américains se foutent de la gueule du monde en criant au scandale avec les chinois ( Huawei and co ) ou les russes , ils font exactement pareil avec Apple, Cisco, Google etc.... et la NSA qui, contrairement à une opinion répandue, n'est pas une école de patisserie.

La réalité est simple : les Etats se serviront par tous les moyens possibles pour contrôler / espionner le plus de gens possibles, quelque soient les états, quelque soient les cibles.

Il n'y a pas de bons et de méchants.

C'est clair que les US sont les pires des hypocrites et depuis un moment, cf les guerres qu'ils ont déclenchés pour de faux prétextes, alors espionner pourquoi se gêner Le contrôle du monde passe par le contrôle de l'information.
Par contre là ou je ne suis pas d'accord c'est quand tu dis qu'il n'y a pas de bons et de méchants. il reste des gens bien, mais ils sont rares, et c'est difficile pour eux d'arriver dans les hautes sphères du pouvoir car ils sont dépassés par des gens sans scrupules comme Trump le président actuel.

J'ajouterai pour finir, que lorsqu'on voit quelqu'un comme Trump, le pire des malades mental, le comble de la mauvaise foi, bref le père de toutes les tares on se demande comment il a pu être élu, malgré son comportement il a totalisé beaucoup de voix, ça soulève pas mal de questions, sur les Américains eux même, leur mentalité, leur naïveté peut être ?. Non ils ne sont pas naïfs, c'est juste que la plupart se disent moi d'abord et que crèvent les autres.

Bref ça fait longtemps que les USA ne sont plus l'exemple à suivre et c'est dommage.

Quand à cette faille sur les iPhones ça ne m'étonnerait pas qu'elle ait été commandité par leurs service secrets ou simplement le service marketing d'Apple pour une utilisation future.

[JayTouCon]

faut pas exagérer.

il s'agit de journalistes. c'est là que ça coince.

en matière de terro. ca ne passe pas par des téléphones pomme ou des Galaxy note . des téléphones bas de gamme à 10 euros qui servent une seule fois & quand ce sont des Etats, ils ont le choix de laisser ou non une trace qui sert d'avertissement. il y a évidemment des mélanges.

une telle faille arrange tout le monde mais pas trop la pomme qui pourtant en connait presqu'autant qu'android : ca ne lui fait pas une super pub.

ici ce sont ses serveurs qui sont 'piratés ', les téléphones importent peu puisque c'est toute la gamme et ça serait déjà plus intéressant si ses serveurs étaient situés en Europe (et ça par contre elle ne le veut pas.. et pas qu'elle) même si ca ne changerait pas totalement la donne.

[iAPX]

faut pas exagérer.

il s'agit de journalistes. c'est là que ça coince.

en matière de terro. ca ne passe pas par des téléphones pomme ou des Galaxy note . des téléphones bas de gamme à 10 euros qui servent une seule fois & quand ce sont des Etats, ils ont le choix de laisser ou non une trace qui sert d'avertissement. il y a évidemment des mélanges.

une telle faille arrange tout le monde mais pas trop la pomme qui pourtant en connait presqu'autant qu'android : ca ne lui fait pas une super pub.

ici ce sont ses serveurs qui sont 'piratés ', les téléphones importent peu puisque c'est toute la gamme et ça serait déjà plus intéressant si ses serveurs étaient situés en Europe (et ça par contre elle ne le veut pas.. et pas qu'elle) même si ca ne changerait pas totalement la donne.

Ton intervention précédente était meilleure, bien meilleure et justifiée, et je l'avais soulignée comme tel.

Là c'est du grand n'importe quoi, et je t'invite à lire cela: https://citizenlab.ca/2020/12/the-great-ipw...-click-exploit/
Ça a été écrit par des journalistes d'investigation en liaison avec de vrais experts en terme d'attaques informatiques, exploitant au maximum le peu de traces laissées.

Ce message a été modifié par iAPX - 23 Dec 2020, 19:38.

[otto87]

Je cite un ancien des services : tout les protocoles de secu hardware comme software sont caviardés de base. Il y a eu une exception avec une organisation mafieuse qui utilisait un protocole maison ... ils ont sauté en quelques jours... il suffisait juste de localiser les machines qui envoyaient les paquets que le DPI n'arrivait pas à décodé. La sécurité informatique est une vaste blague!

[iAPX]

...
La sécurité informatique est une vaste blague!

+1 on en est exactement là.

Ce message a été modifié par iAPX - 23 Dec 2020, 19:47.

[Fafnir]

attention politique
Il y a actuellement un procès contre Paul Bismuth dont un alias fut le président de l'Absurdistan où la preuve est une écoute téléphonique. Lors du procès on a cité les dialogues mais même pas l'échange lui-même dont les intonations de voix pourrait faire la différence.

[erik]

Ce qui est dingue est cette course à l'armement. Même avec un iPhone parfaitement fonctionnel et occasionnelelment mis à jour, le point commun de ces failles est qu¡elles me sont comblées que dans les toutes dernières versions de iOS, celles qui ne fonctionnement que sur les appareils de 2 ans gros max. Et on en fait quoi de tous les iPhones qui ne peuvent faire tourner "que" iOS 12 ou 13?

Un conspirationniste dirait que Apple a partie liée avec ces compagnies pour vendre toujours + de téléphones.

Ne pas parler sans savoir.......ça évite les erreurs. Ios14 est compatible à partir dé l’iPhone 6s, c’est à dire un téléphone qui est sorti en septembre 2015 soit plus de cinq ans.

Ce message a été modifié par erik - 24 Dec 2020, 08:11.

[Triskell]

Ne pas parler sans savoir.......ça évite les erreurs. Ios14 est compatible à partir dé l’iPhone 6s, c’est à dire un téléphone qui est sorti en septembre 2015 soit plus de cinq ans.

Je confirme possesseur d'un iPhone 6s en 14.3 fonctionnel

[zebigbug]

Oui et plus important, comme je l'ai maintes fois signalé, iMessage sous iOS est un vecteur bien trop courant, qui a trop de droits et peu de sandboxing.

Pas grave, personne utilise imessage.

Pardon ? Vous utilisez quoi alors ?

surement signal

https://apps.apple.com/fr/app/signal-messag...A9e/id874139669

[A_Coupé]

Oui et plus important, comme je l'ai maintes fois signalé, iMessage sous iOS est un vecteur bien trop courant, qui a trop de droits et peu de sandboxing.

Pas grave, personne utilise imessage.

ici aussi c'est "mon petit cas devient tout le monde " ?

Personnellement j'ai assez peu de gens "en vert dans l'appli", de fait, mais je n'en fait pas une généralité. et ils auront des SMS simples c'est pas grave ou autre solution si nécessaire pour le contenu.
mais c'est moi, "c'est pas "tout le monde" ou "personne"

et vous utilisez quoi ? Exactement ? d'ailleurs

[linus]

Je cite un ancien des services : tout les protocoles de secu hardware comme software sont caviardés de base. Il y a eu une exception avec une organisation mafieuse qui utilisait un protocole maison ... ils ont sauté en quelques jours... il suffisait juste de localiser les machines qui envoyaient les paquets que le DPI n'arrivait pas à décodé. La sécurité informatique est une vaste blague!

Pas besoin d'aller si loin, j'ai assisté à 2 exposés par des chercheurs en cryptages. Ils ont expliqué que les cryptages actuels résistent peu de temps, quelques heures quand ça ne veut pas rigoler, quelques minutes assez souvent.
A noter que la DGSI fait des conférences sécurité informatique en entreprise, conférences très anxiogènes qui ont l'énorme défaut de n'apporter aucune solution, car il n'y en a pas.

Oui et plus important, comme je l'ai maintes fois signalé, iMessage sous iOS est un vecteur bien trop courant, qui a trop de droits et peu de sandboxing.

Pas grave, personne utilise imessage.

ici aussi c'est "mon petit cas devient tout le monde " ?

Personnellement j'ai assez peu de gens "en vert dans l'appli", de fait, mais je n'en fait pas une généralité. et ils auront des SMS simples c'est pas grave ou autre solution si nécessaire pour le contenu.
mais c'est moi, "c'est pas "tout le monde" ou "personne"

et vous utilisez quoi ? Exactement ? d'ailleurs

Moi ce qui me gêne avec iMessage c'est qu'on ne peut pas facilement choisir le mode d'envoi. Dans des iOS précédents, un menu contextuel permettait de choisir "Réessayer/Envoyer par message texte". Maintenant, si iMessage échoue à faire un envoi sans pour autant basculer spontanément en mode SMS, on est obligé d'aller dans les réglages, d'arrêter iMessage pour y parvenir. Au fait, iMessage est sensé détecter spontanément si l'envoi de iMessage est possible ou non. Qu'est-ce qui fait que, manifestement, cette détection automatique échoue parfois ?
Je déteste cette façon dont la Pomme, Adobe, Microsoft, et autres, nous imposent la façon de faire qui les arrange eux mais pas du tout l'utilisateur. L'informatique est de plus en plus dictatoriale.

Ce message a été modifié par linus - 24 Dec 2020, 16:40.

[iAPX]

Je cite un ancien des services : tout les protocoles de secu hardware comme software sont caviardés de base. Il y a eu une exception avec une organisation mafieuse qui utilisait un protocole maison ... ils ont sauté en quelques jours... il suffisait juste de localiser les machines qui envoyaient les paquets que le DPI n'arrivait pas à décodé. La sécurité informatique est une vaste blague!

Pas besoin d'aller si loin, j'ai assisté à 2 exposés par des chercheurs en cryptages. Ils ont expliqué que les cryptages actuels résistent peu de temps, quelques heures quand ça ne veut pas rigoler, quelques minutes assez souvent.
A noter que la DGSI fait des conférences sécurité informatique en entreprise, conférences très anxiogènes qui ont l'énorme défaut de n'apporter aucune solution, car il n'y en a pas.

J'aimerais bien voir ça car il y a évidemment des cipher faibles, y-compris dans des logiciels très répandu (kikoo Microsoft Office!), mais on sait faire de la cryptographie très solide, TLS 1.3 étant un parfait exemple pour le grand publique (oui le https bien implémenté sans compatibilité descendante), WireGuard pour les VPN, PBKDF2 avec sha2 pour les mots-de-passes forts, et pleins d'autres usages vraiment incassables.

On peut toujours trouver des contre-exemples, mais ça n'est pas par incapacité technique, c'est soit par manque de connaissances (souvent associé avec une arrogance amenant à de grosses merdes) soit par compatibilité descendante (pourri par essence), soit par volonté.
On sait chiffrer avec un très haut niveau de sécurité, y-compris maintenant contre les attaques quantiques.

Donc là, je voudrais avoir des liens ou des vidéos, car je pense que tu te méprends en partant de contre-exemples....

PS: je recommande de suivre un des meilleurs cryptographes au monde, Bruce Schneier.

Ce message a été modifié par iAPX - 24 Dec 2020, 17:22.

[captaindid]

Il devrait pourtant être évident que toute faille de sécurité établie dans n'importe quel logiciel utilisé doive être corrigée gratuitement par la société qui l'a créé, à ses frais et dans des délais acceptables après la découverte et avant la publication, ou pour le moins offrir (oui, offrir, gratos) la mise à jours vers une version ultérieure sans cette faille.

il n'y a pas de société, certes, qui agissent honorablement comme tu le suggères, mais il y a le monde du libre qui est réactif, et sans backdoor intentionnellement mises, ni bugs, qui une fois connus, restent des mois voire des années parfois.

Au fait, joyeux noël à tous!
Et pas plus de 6 adultes à table!
et papi mami dinent dans la cuisine!

Ce message a été modifié par captaindid - 24 Dec 2020, 17:45.