Publicité

Apple corrige une faille de sécurité qui permettait d'espionner les iPhone

Le portable d'Ahmed Mansoor, victime d'un piratage Jon Gambrell/AP

Trois vulnérabilités sont corrigées par une mise à jour que le fabricant conseille de télécharger. Un logiciel d'espionnage aurait exploité ces failles afin d'espionner des journalistes et des militants.

Apple a corrigé ce jeudi soir une faille de sécurité qui permettait d'espionner n'importe quel iPhone à distance. La mise à jour peut être téléchargée dès maintenant par les utilisateurs d'iPhone et d'iPad. La faille a d'abord été dévoilée par deux organisations spécialisées dans la cybersécurité, Citizen Lab et Lookout. D'après ces dernières, trois vulnérabilités dans les produits Apple ont été exploitées pour espionner des journalistes et des militants des droits de l'homme. Ces attaques ont été réalisées par le biais d'un logiciel vendu par une société israélienne. «Nous conseillons à tous nos clients de toujours télécharger la dernière version d'iOS pour les protéger contre l'exploitation de failles de sécurité», a commenté Apple.

Des sociétés très discrètes

Née en 2010, NSO est une entreprise spécialisée dans les logiciels d'espionnage au service de gouvernements. Elle repère les failles dans différents appareils électroniques (ordinateurs, smartphones, etc.) et les exploite afin d'y faire pénétrer ses produits, plutôt que de les signaler aux fabricants. Du fait de ses activités très sensibles, on sait très peu de chose sur la société. Elle serait valorisée à plus d'un milliard de dollars. C'est un militant des droits de l'homme des Émirats Arabes Unis, Ahmed Mansoor, qui a été le premier à donner l'alerte, après avoir reçu un SMS douteux sur son iPhone qui l'invitait à cliquer sur un lien. «Des nouveaux secrets à propos de l'utilisation de la torture dans les prisons des Émirats», disait le message, dont l'auteur connaissait visiblement la profession d'Ahmed Mansoor.

Le lien renfermait en fait un logiciel très sophistiqué permettant d'espionner toutes les activités d'un téléphone: SMS, mails, appels, liste de contacts, position géographique et même mots de passe... Le programme, baptisé Pegasus, a touché d'autres personnes, comme un journaliste mexicain ou des individus résidant au Kenya, à l'identité inconnue. «Personne n'a jamais repéré ce genre de logiciels avant», estime Mike Murray, chercheur chez Lookout, dans une interview accordée au site Motherboard. «Il suffit de cliquer sur un lien pour complètement perdre le contrôle de son iPhone. C'est l'un des programmes d'espionnage les plus sophistiqués qu'on a jamais vu.» D'après les chercheurs de Citizen Lab et Lookout, ce logiciel serait utilisé depuis plusieurs années.

Le commerce des vulnérabilités

NSO n'est pas la seule société se spécialisant dans les programmes d'espionnage pour les gouvernements. En 2015, le grand public a découvert Hacking Team, un autre éditeur sulfureux de logiciels de surveillance, qui a vendu ses produits à une quarantaine de pays dans le monde, avant de se faire pirater. L'auteur de cette attaque souhaitait dénoncer les méthodes de l'entreprise italienne, qui fournit ses logiciels à de nombreux États totalitaires afin d'espionner leurs opposants ou des journalistes. Citizen Lab soupçonne les Émirats Arabes Unis d'avoir commandité l'attaque sur Ahmed Mansoor, et donc d'être clients de NSO. Contactée par plusieurs médias américains, l'entreprise israélienne n'a pas souhaité faire de commentaires.

Apple a bati sa réputation sur la sécurité de ses appareils, résistant même au FBI qui souhaitait pénétrer dans un iPhone. En juillet, l'entreprise américaine a annoncé le lancement dun programme de «bug bounty», pour récompenser les personnes découvrant des failles de sécurité dans ses appareils ou ses logiciels. Il doit ouvrir dès le mois de septembre. Les chercheurs impliqués pourront gagner entre 25.000 et 200.000 dollars selon la gravité des failles. Un montant faible face à ce que peut gagner un pirate ayant découvert une vulnérabilité intéressante. En 2015, la société Zerodium, spécialisée dans la traque des failles, avait accordé une prime d'un million de dollars à une équipe de hackers ayant réussi à casser à distance les protections d'un iPhone.

Apple corrige une faille de sécurité qui permettait d'espionner les iPhone

S'ABONNER
Partager

Partager via :

Plus d'options

S'abonner
7 commentaires
    À lire aussi