La société israélienne NSO Group affirme que son outil de surveillance actualisé de plusieurs millions de dollars, appelé Pegasus, peut désormais également extraire des données de services cloud comme iCloud, Google Drive et Facebook Messenger, entre autres, à partir d'un iPhone ou d'un smartphone Android infecté.
Selon un rapport paywall publié hier par le Financial Times, l'application fonctionne sur les derniers smartphones iPhone et Android, tirant parti des exploits pour continuer à fonctionner même après la suppression de l'outil par l'utilisateur.
La nouvelle technique copierait les clés d'authentification de services tels que Google Drive, Facebook Messenger et iCloud, entre autres, à partir d'un téléphone infecté, permettant à un serveur distinct de se faire passer pour le téléphone, y compris son emplacement. Cela donne un accès illimité aux données du cloud de ces applications sans `` demander de vérification en deux étapes ou d'e-mail d'avertissement sur l'appareil cible '', selon un document de vente.
Voler des jetons d'authentification est une ancienne technique pour accéder au compte cloud d'une personne sans avoir besoin de son nom d'utilisateur, de son mot de passe ou de ses codes de vérification en deux étapes. Contrairement aux clés de chiffrement utilisées par iOS pour sécuriser vos données locales, ces jetons d'authentification ne sont pas stockés dans Secure Enclave d'Apple, qui est isolé du reste du système..
Voici la réponse d'Apple:
iOS est la plateforme informatique la plus sûre et la plus sécurisée au monde. Bien que certains outils coûteux puissent exister pour effectuer des attaques ciblées sur un très petit nombre d'appareils, nous ne pensons pas qu'ils soient utiles pour des attaques généralisées contre les consommateurs..
Curieusement, Apple ne nie pas qu'une telle capacité puisse exister. Le géant de la technologie a ajouté qu'il mettait régulièrement à jour son système d'exploitation mobile et ses paramètres de sécurité pour protéger les utilisateurs.
Bien que NSO Group ait nié la promotion d'outils de piratage ou de surveillance de masse pour les services cloud, il n'a pas spécifiquement nié avoir développé la capacité décrite dans les documents..
Surtout, l'outil fonctionne sur n'importe quel appareil «que Pegasus peut infecter».
Un document de présentation de la société mère de NSO, Q-Cyber, qui a été préparé pour le gouvernement de l'Ouganda au début de cette année, annonçait la capacité de Pegasus à `` récupérer les clés qui ouvrent les coffres cloud '' et `` synchroniser et extraire les données de manière indépendante ''.
Avoir accès à un `` point de terminaison cloud '' signifie que les écoutes peuvent atteindre `` le contenu du smartphone bien au-delà '', permettant aux informations sur une cible de `` rouler '' à partir de plusieurs applications et services, selon l'argument de vente. On ne sait pas encore si le gouvernement ougandais a acheté le service, qui coûte des millions de dollars.
Prenez les revendications du groupe NSO avec un grain de sel.
Ce n'est pas la première fois que quelqu'un prétend audacieusement contourner les fonctions de sécurité des puces personnalisées d'Apple et du logiciel iOS alimentant l'iPhone et l'iPad. Il est vrai que les forces de l'ordre n'hésitent pas à payer des millions de dollars en droits pour l'utilisation de ces logiciels. Il est également vrai que le FBI s'est finalement tourné vers Pegasus afin de déverrouiller un téléphone appartenant au tireur de San Bernardino. Cependant, il est également vrai qu'il s'agissait d'un iPhone plus ancien sans le coprocesseur cryptographique Secure Enclave d'Apple qui fournit un chiffrement complet du disque et des protections matérielles pour les clés de chiffrement du disque.
Pourtant, des outils comme Pegasus auraient pu être utilisés pour pirater même des iPhones modernes, mais c'est parce que leurs propriétaires étaient assez idiots pour installer une application malveillante qui comprenait des logiciels malveillants. D'autres techniques incluent l'installation d'un VPN invisible pour renifler le trafic réseau, casser un mot de passe faible ou exploiter un oubli majeur de la part d'un utilisateur qui peut ouvrir un vecteur d'attaque.
Il ne semble pas que Pegasus exploite une vulnérabilité iOS pour accéder à vos données cloud.
L'un des documents de présentation offrait un moyen à l'ancienne de contrecarrer ce type d'écoute: changer le mot de passe d'une application et révoquer son autorisation de connexion. Cela annule la viabilité du jeton d'authentification répliqué jusqu'à ce que, selon le document, Pegasus soit redéployé.
Oui, les exploits iOS existent et certains d'entre eux ne sont jamais divulgués, mais le mécanisme agressif de mise à jour logicielle d'Apple installe les correctifs rapidement. À ma connaissance, aucune entreprise de sécurité n'a encore affirmé sans ambiguïté qu'elle peut pirater les derniers iPhones.
Pegasus a récemment été utilisé pour pirater WhatsApp via une vulnérabilité non divulguée. WhatsApp a depuis comblé la faille et le département américain de la Justice enquête.
Pensées?