NPC Alertes de sécurité

English


Vulnérabilité d’iMessage d’Apple aux attaques zéro-clic - NPC Alertes de sécurité

21 septembre 2021


Vous avez probablement déjà entendu parler de la grave vulnérabilité de l’« écosystème Apple » et de iMessage. Bien que la situation ait bien été couverte par les médias, nous aimerions attirer l’attention des petits entrepreneurs sur deux sujets qui pourraient les aider à mieux protéger leur entreprise.

Tout d’abord, de nombreuses personnes font l’éloge de la commodité de l’écosystème Apple, qui permet à ses utilisateurs de synchroniser, partager et socialiser avec plusieurs appareils Apple. Cette commodité a toutefois un prix, car ces appareils connectés en tout temps peuvent être plus vulnérables à la propagation d’un virus. Le problème est surtout lié à la polyvalence des applications comme iMessage, qui envoie et reçoit en continuité une très grande variété de fichiers sur plusieurs appareils.

Grâce à un rapport du Citizen Lab (en anglais seulement), organisme de surveillance de l’Université de Toronto qui étudie les abus technologiques, Apple a découvert que la vulnérabilité en matière de sécurité CVE-2021-30860 était utilisée dans un code malveillant qui pouvait infecter des appareils avec le puissant logiciel espion Pegasus mis au point par l’entreprise israélienne NSO Group.


Quelle est la problématique?

Cette vulnérabilité zéro-clic et du jour zéro – surnommée ForcedEntry par Citizen Lab – cible la processus pour le traitement des images d’Apple (appelée CoreGraphics) et touche les appareils iOS, macOS et watchOS. Il est important de noter que, contrairement aux autres attaques, celle-ci peut être exécutée sans que l’utilisateur ait à cliquer, taper ou approuver quoi que ce soit. Ce type d’attaque a des conséquences évidentes pour les petites entreprises, car aucune formation du personnel ne peut empêcher une telle intrusion.

Dans le cas présent, Citizen Lab a découvert que des fichiers GIF d’apparence anodine, mais intentionnellement mal étiquetés, avaient été envoyés aux appareils. Ces fichiers reçus par l’entremise de iMessage ont exploité la processus pour le traitement des images d’Apple et provoqué la panne d’une application système qui a mené à l’installation du logiciel malveillant Pegasus.

Pegasus peut lire des textos, des courriels, des appels téléphoniques et l’emplacement de l’utilisateur, et peut activer la caméra et le microphone de l’appareil sans avertissement ni notification.

Le système d'opération (SO) d’Apple repose sur les principes d’un écosystème fermé, et cela inquiète certains experts en sécurité. Il est conçu de manière à compartimenter les applications tierces et à ne permettre que l’installation de celles du magasin d’applications officiel (App Store), qui ont fait l’objet d’un examen minutieux. En raison de cette conception, le système d'opération est bien protégé contre les applications malveillantes, mais laisse peu de place à des outils d’analyse et de sécurité supplémentaires ou plus complexes qui pourraient mieux protéger les appareils Apple contre d’autres formes de compromission.


Qu’est-ce que cela signifie pour vous?

Les attaques de NSO Group ne constituent pas une menace pour la plupart des utilisateurs d’Apple, car ceux qui achètent des logiciels espions dont Pegasus ciblent généralement des personnes notoires comme des agents du renseignement et des journalistes, mais il faut toutefois savoir que ces outils peuvent servir de modèle d’attaques pour d’autres cybercriminels, qui les intégreront et les copieront.

Donc, les petits entrepreneurs qui utilisent des appareils Apple dans leurs bureaux doivent connaître cette vulnérabilité critique et savoir qu’un virus de ce type pourrait se propager dans leur réseau.

De plus, n’importe qui peut envoyer un iMessage à n’importe qui; la protection contre les intrusions est très faible puisqu’il suffit de connaître le numéro de téléphone de la victime pour lancer une attaque. Contrairement aux courriels malveillants et aux escroqueries d’hameçonnage qui sont très souvent repérés et captés par les fournisseurs de messagerie électronique ou d’accès à Internet, le chiffrement de bout en bout d’iMessage rend le contenu malveillant invisible une fois infiltré.


Que dois-je faire?

Apple a agi rapidement et colmaté cette brèche au moyen d’un correctif de sécurité. Vous devez donc effectuer immédiatement une mise à jour logicielle de tous vos appareils, si ce n’est pas déjà fait. Toutes les mises à jour logicielles réalisées de cette manière par Apple, Microsoft ou tout autre fournisseur ont une raison d’être; elles doivent donc être prises au sérieux et installées immédiatement.

Les attaques zéro-clic comme celle-ci sont efficaces, car le logiciel malveillant s’infiltre et s’installe sans que l’utilisateur ait à faire quoi que ce soit. Ainsi, un moyen simple de vous protéger est d’effectuer la plupart de votre travail depuis un compte secondaire avec un accès ou des privilèges limités. Si un logiciel malveillant tente d’infiltrer votre système et que vous vous trouvez sur un compte restreint, il ne pourra pas le faire facilement, parce que vous serez invité à entrer le mot de passe d’un administrateur avant de pouvoir y apporter des modifications.

Bien entendu, si la vulnérabilité accrue de la plateforme de messagerie d’Apple vous inquiète, vous pouvez toujours désactiver iMessage. Apple permet également aux utilisateurs de bloquer, filtrer ou signaler les messages d’expéditeurs inconnus, mais ces messages atteignent tout de même l’appareil, et il n’est pas clair si le filtrage de ces expéditeurs empêche l’exécution du code d’attaque.

Encore plus préoccupants que la complexité de cette attaque sont le grand nombre d’appareils mobiles inadéquatement protégés et les fonctionnalités qui les rendent indispensables pour nous; ils sont toujours allumés, connectés, et nous les utilisons pour presque toutes nos communications, surtout lorsque nous travaillons de la maison.

Compte tenu de la quantité de données sensibles désormais accessibles sur nos appareils mobiles et à partir d’eux, nous devrions tous assurer la sécurité de nos téléphones intelligents et de nos tablettes comme nous le faisons pour nos ordinateurs.


Sources:

À propos des correctifs de sécurité d’iOS 14.8 et d’iPadOS 14.8 - Assistance Apple

Apple Patched iMessage. But Can It Be Made Safer Overall? - Data Breach Today (en anglais seulement)

Apple patches zero-click vulnerability discovered by Canadian researchers - IT World Canada (en anglais seulement)

CVE-2021-30860 Detail - National Vulnerbility Database (en anglais seulement)

FORCEDENTRY NSO Group iMessage Zero-Click Exploit Captured in the Wild — Citizen Lab (en anglais seulement)

NPC Alertes de sécurité

Recevez les alertes de sécurité de NPC par courriel pour demeurer au fait des plus importantes menaces à la sécurité de vos appareils, de vos données et de votre vie privée. Nous n'utilisons cette liste à aucune autre fin.

Je m'inscris