Des chercheurs de Google ont découvert plusieurs séries de vulnérabilités graves ayant affectées presque tous les appareils iOS sur les deux dernières années, et exploitables simplement en se rendant sur un site piraté. De quoi « surveiller des populations entières ».

Apple pensait se faire une belle journée en annonçant la date de lancement de l’iPhone 11, mais c’est raté. L’équipe Project Zero de Google, spécialisée dans la traque de vulnérabilités sévères dites 0-day, vient de publier l’existence non pas d’une, mais de cinq chaînes de failles regroupant quatorze vulnérabilités différentes. Celles-ci ont été portées à la connaissance d’Apple le 1er février 2019 et ont été corrigées le 7 février dans la mise à jour iOS 12.1.4, que tous les utilisateurs d’iPhone et d’iPad doivent donc installer si ce n’est pas déjà fait.

La cellule de recherche « a pu collecter cinq chaînes d’exploit pour iPhone séparées, complètes et uniques, couvrant presque toutes les versions depuis iOS 10 jusqu’à la version la plus récente d’iOS 12. Cela a indiqué qu’un groupe fait des efforts soutenus pour hacker les utilisateurs d’iPhones dans certaines communautés sur une période englobant au moins les deux dernières années ». C’est sans doute l’incident de cybersécurité le plus grave de l’histoire d’iOS.

Des attaques indiscriminées et d’envergure

Quasiment tous les appareils iOS étaient donc vulnérables pendant au moins deux ans, et pouvaient être attaqués lors de la visite de certains sites web. « Il n’y avait pas de discrimination sur la cible. Il suffisait simplement de visiter le site piraté pour que le serveur d’exploit attaque votre appareil, et en cas de succès, installe un implant de monitoring. » Les sites impliqués accueillaient « des milliers d’utilisateurs par semaine ».

« C’est terrifiant », commente le chercheur en cybersécurité Thomas Reed auprès du magazine WIRED« On est habitué à ce que les infections d’iPhone soient des attaques ciblées réalisées par des adversaires étatiques. L’idée que quelqu’un infectait tous les iPhone qui visitaient certains sites fait froid dans le dos. » Les failles permettaient aux attaquants d’effectuer une escalade de privilèges, et ainsi de gagner un accès quasi total au fonctionnement interne de l’appareil et aux données qui y sont stockées. Un spyware était alors installé sur le smartphone pour renvoyer ces données sur les serveurs des attaquants.

Un acteur étatique impliqué ?

Project Zero ne donne pas d’indications sur l’identité des hackeurs qui ont exploité ces failles. L’ampleur et la complexité de ces attaques, clairement orientées vers de l’espionnage de masse, laissent suggérer un État souverain. Il est d’ailleurs assez remarquable que l’opération ait pu rester active aussi longtemps sans être détectée. On peut supposer que la collecte massive de données ait été restreinte au territoire national du pays qui aurait commandité l’affaire.

Pourtant, le contraste est saisissant entre la sophistication des 0-day et l’amateurisme du spyware que celles-ci permettaient d’installer. L’implant malveillant exfiltrait les données du téléphones sans utiliser de chiffrement HTTPS, pourtant standard sur le Web, de façon à ce que n’importe qui sur le réseau pouvait observer ce qui se tramait. Les données étaient acheminées vers des serveurs dont les adresses IP étaient écrites en clair dans le spyware.

« cibler et surveiller les activités privées de populations entières en temps réel »

Il est possible qu’une agence gouvernementale inexpérimentée ait racheté les vulnérabilités à un groupe de hackeurs tiers, moyennant probablement des sommes mirobolantes. « Ce sont des gens avec une montagne d’argent et un savoir-faire horrible, parce qu’ils sont relativement nouveaux à ce jeu-là », conjecture auprès de WIRED Jake Williams, un ancien hackeur de la NSA.

Dans tous les cas, ces incidents marquent une page dans la sécurité d’iOS. Le système d’exploitation d’Apple était réputé difficile à hacker en profondeur, chaque piratage ne pouvant cibler qu’un appareil individuel avec des coûts financiers exorbitants pour chacun — d’où le cliché du million-dollar dissident, d’après un opposant émirati dont l’espionnage aurait coûté plus d’un million de dollars pour le régime des Émirats arabes unis.

« Je n’entrerait pas dans une discussion de savoir si ces exploits ont coûté 1 million, 2 millions, ou 20 millions de dollars », écrit ainsi Ian Beer de Project Zero. « Je suggèrerai plutôt que tous ces prix semblent faibles compte tenu de la capacité de cibler et de surveiller les activités privées de populations entières en temps réel ».