La nouvelle selon laquelle les utilisateurs d’appareils Apple étaient vulnérables aux logiciels espions a éclaté cette semaine après qu’une faille de sécurité a été identifiée dans le système d’exploitation de l’entreprise, nécessitant un correctif logiciel urgent sur tous ses appareils, y compris les iPad et les iPhone. Ce développement est un autre rappel que même les technologies les plus largement utilisées et les plus appréciées sont vulnérables à la compromission par des pirates informatiques compétents. Nous devons accepter de toute urgence cette réalité et régler les problèmes fondamentaux.
A propos de l’auteur
Toby Lewis, responsable mondial de l’analyse des menaces chez Darktrace.
Dans ce cas, Apple a été informé de la vulnérabilité par Citizen Lab, une unité de cyber-recherche de l’Université de Toronto, alors que des chercheurs examinaient le téléphone portable d’un activiste saoudien. Ils ont découvert une vulnérabilité qui pourrait (et a probablement été) utilisée par les clients gouvernementaux du groupe NSO, la société israélienne de logiciels espions, pour pirater silencieusement les iPhones et autres appareils Apple depuis février 2021.
Au Royaume-Uni, Apple domine totalement le marché des appareils intelligents, représentant environ 50% de tous les smartphones. En conséquence, des millions de personnes se sont précipitées pour mettre à jour le logiciel sur leurs appareils afin d’assurer une protection contre la vulnérabilité, qui peut être exploitée via l’application iMessage d’Apple – un système généralement considéré comme sûr et sécurisé.
Sommaire
Le patch est-il efficace ?
Ce qui est clair, c’est que la façon dont nous avons assuré la sécurité au cours des vingt dernières années n’est tout simplement pas assez efficace contre les cybermenaces d’aujourd’hui.
Une fois qu’Apple a été informé de l’exploit, ils se sont déplacés incroyablement rapidement pour implémenter un correctif. La vitesse d’Apple souligne à la fois la gravité de la découverte et l’engagement d’Apple en matière de sécurité.
Mais aujourd’hui, le patch est un jeu sans fin de Whack-a-mole. La complexité du monde numérique est telle qu’une visibilité complète est incroyablement difficile à atteindre – peut-être impossible pour les humains à faire seuls. Les attaquants sont innovants et de plus en plus professionnels dans leur approche, s’attaquant aux organisations sous tous les angles et investissant à la fois du temps et de l’argent pour trouver de nouveaux points d’entrée. Dès que les défenseurs corrigent une vulnérabilité, une nouvelle est identifiée.
De plus, bien que le correctif corrige la vulnérabilité, il ne peut pas atténuer une vulnérabilité qui a déjà été exploitée ou une violation qui s’est déjà produite. Il ne peut pas interrompre une attaque qui a commencé avec succès à se déplacer dans le système et à exfiltrer des données sensibles.
L’application de correctifs en soi est également une défense inadéquate car elle ne traite que des vulnérabilités connues et est toujours effectivement en retard. Qu’en est-il des faiblesses inconnues qui n’ont pas encore été repérées ?
Dans le paysage actuel des menaces, on ne peut pas s’attendre à ce que les équipes de sécurité humaine anticipent toutes les manières dont leur technologie pourrait être exploitée.
C’est pourquoi les défenses de cybersécurité doivent partir du principe que la violation s’est déjà produite, plutôt que d’essayer d’empêcher la menace d’entrer. Ériger un « mur » autour du périmètre ne fonctionnera pas contre les attaques avancées – les défenseurs ont besoin d’une technologie qui peut identifier quand les vulnérabilités – même celles que les humains ignoraient l’existence – sont exploitées. Surtout, ils ont besoin d’une technologie capable d’interrompre les activités malveillantes de manière autonome, avant que les données ne tombent entre de mauvaises mains.
Comment fonctionne le logiciel espion Pegasus ?
Pegasus utilise une gamme d’exploits pour accéder à un appareil et ceux-ci peuvent être adaptés à la cible ou à la campagne d’attaque. Fondamentalement, ses utilisateurs ont accès à une gamme de vulnérabilités Apple et Android qui leur permettraient d’exploiter une gamme d’applications natives – souvent aussi simple que d’essayer d’ouvrir un fichier envoyé dans un e-mail ou par SMS, ou de cliquer sur un lien qui s’ouvre dans Safari ou un autre navigateur Web.
Dans ce cas, l’exploit identifié était « zéro clic », ce qui signifie qu’un destinataire d’un message malveillant n’aurait même pas à ouvrir la pièce jointe pour que son appareil soit infecté et permettrait aux pirates d’exécuter leur propre code, y compris l’installation du composant logiciel espion de Pegasus.
Le logiciel espion Pegasus peut alors activer les caméras et le microphone de l’appareil, et peut enregistrer des textes, des e-mails et des appels téléphoniques et les partager avec les clients du groupe NSO.
Qui est visé ?
Les exploits comme ceux-ci sont très sophistiqués et, sans surprise, les individus qui ont accès à des informations hautement classifiées ou confidentielles – tels que les agents de renseignement, les politiciens et les journalistes – sont les principales cibles. Nous vivons dans un monde où les personnes de haut niveau doivent accepter que leur nom figure quelque part sur une liste cible.
En tant que boîte à outils de cyberespionnage disponible dans le commerce, NSO a abaissé la barre technique permettant aux organisations de mener des cyberattaques contre leurs cibles, offrant une capacité d’État-nation haut de gamme à quiconque peut payer la facture. Et comme nous le voyons avec l’outil Red Teaming CobaltStrike, ce n’est qu’une question de temps avant qu’une version crackée ne soit disponible en ligne. Ainsi, bien que ces attaques ne semblent pas être une menace immédiate pour l’utilisateur moyen d’Apple, une fois ces outils créés, ils peuvent se propager comme une traînée de poudre.
Par exemple, les attaquants criminels pourraient utiliser l’accès pour voler des données personnelles pour des campagnes plus importantes – pour escroquer les victimes, ou potentiellement même pour provoquer un verrouillage de masse des utilisateurs afin d’exiger un paiement sous la forme d’une attaque de ransomware.
Une fois les logiciels espions inventés, le chat est sorti du sac. Il peut être vendu et proliférer rapidement dans le monde. S’il tombe entre de mauvaises mains, il sera utilisé de manière néfaste et potentiellement contre un groupe plus large de cibles. Nous devons accepter que lorsqu’il s’agit d’outils de piratage, le génie est sorti de la bouteille – et les attaquants innovants trouveront toujours un moyen d’entrer.
Dans quelle mesure Apple est-il sécurisé et comment se compare-t-il à Android ?
Des entreprises comme Apple sont une cible incroyablement attrayante pour les attaquants ; sa technologie et ses appareils sont omniprésents dans la société.
De la navigation avec des cartes à l’accès à nos comptes bancaires, les appareils intelligents font désormais partie du tissu de notre vie quotidienne et contiennent des pans entiers de données personnelles.
L’architecture de sécurité d’Apple repose sur un « jardin clos » où le système d’exploitation sous-jacent du téléphone est totalement inaccessible à toute application tierce. Ces applications ne peuvent être installées que via l’App Store officiel et sont exécutées à partir d’une zone de stockage et de traitement compartimentée.
Compte tenu du degré élevé de vérification des applications dans l’App Store, le seul véritable moyen pour les logiciels malveillants de s’installer sur un appareil Apple est d’exploiter le système d’exploitation sous-jacent – un processus souvent appelé jailbreak.
L’architecture d’Android, en revanche, donne aux utilisateurs une plus grande liberté pour installer les applications qu’ils souhaitent, sans certaines des protections offertes par Apple. Même via l’App Store officiel de Google Play, il n’y a qu’un contrôle et une modération limités, ce qui augmente le risque d’installation de logiciels malveillants sans avoir besoin d’un exploit aussi intelligent. Malgré cela, les images fixes de Pegasus sont chargées d’exploits spécifiques à Android, similaires à ceux utilisés pour cibler les appareils Apple.
Dans l’ensemble, Apple a une excellente expérience de travail avec des chercheurs pour identifier les exploits qu’ils corrigent ensuite rapidement. Mais cela n’aide pas nécessairement les clients qui ont peut-être été exploités avant d’avoir eu la possibilité de réagir.
Alors, comment rester protégé ?
Les correctifs sont une partie extrêmement importante de la cyberhygiène de base, protégeant une organisation et les utilisateurs de technologies contre les vulnérabilités connues. Cependant, il a une capacité limitée contre de nouvelles attaques sophistiquées et les pirates informatiques créent aujourd’hui de nouvelles attaques plus rapidement que les défenseurs ne peuvent corriger.
Toute entreprise moderne ou personne de premier plan figurera sur une liste de résultats, mais une fois que les logiciels malveillants proliféreront, tout utilisateur de smartphone pourrait être la prochaine victime. La technologie est un catalyseur et ouvre de nombreuses opportunités pour transformer la façon dont nous opérons et communiquons, mais elle introduit également des risques de sécurité – c’est un fait de la société moderne et numérisée que nous devons accepter.
Il n’y a aucun moyen d’empêcher les pirates de pénétrer avec succès dans les systèmes critiques, mais ce que nous pouvons faire, c’est interrompre la menace, dès que les pirates y pénètrent, afin de minimiser les perturbations et d’empêcher que les données personnelles ne tombent entre de mauvaises mains. L’IA auto-apprenante permet aux organisations de détecter les activités malveillantes sur les appareils des employés avant que les informations sensibles ne soient consultées et exfiltrées. En fin de compte, une technologie de pointe est la clé pour lutter contre ces menaces – les humains sont dépassés et une action autonome à la vitesse de la machine est nécessaire pour identifier et perturber la menace avant qu’il ne soit trop tard.
