Tech & internet

Mettez TOUT DE SUITE à jour votre iPhone

Temps de lecture : 4 min

Et vos autres appareils Apple. Ceci n'est pas un exercice: NSO Group a encore frappé.

Une femme utilise un iPhone devant le siège du NSO Group, le 28 août 2016 à Herzliya (Israël). | Jack Guez / AFP
Une femme utilise un iPhone devant le siège du NSO Group, le 28 août 2016 à Herzliya (Israël). | Jack Guez / AFP

Lundi 13 septembre, Apple annonçait la publication de mises à jour de sécurité d'urgence pour ses systèmes d'exploitation iOS et MacOS après avoir découvert, avec l'aide de chercheurs du Citizen Lab de l'Université de Toronto, une nouvelle vulnérabilité de type «zéro-clic» dans ses produits. Le même jour, les chercheurs sortaient un rapport expliquant comment ils avaient déniché la faille qu'Apple a corrigée en examinant le téléphone d'un activiste saoudien ciblé par le logiciel espion Pegasus de NSO Group.

Si l'information selon laquelle NSO Group aide les gouvernements à infiltrer les smartphones et les ordinateurs à l'aide d'exploits sophistiqués n'a rien de surprenant, la portée et la facilité du dernier en date, baptisé «FORCEDENTRY» par le Citizen Lab, demeurent assez stupéfiantes. Il pourrait être utilisé pour compromettre tous les téléphones, tablettes, ordinateurs et montres Apple. Pire: puisqu'il est susceptible d'être utilisé pour infecter ces appareils sans que personne ne clique activement sur quoi que ce soit pour télécharger un code malveillant, il est pratiquement impossible de s'en protéger.

Mais ça, c'était jusqu'à lundi dernier. Allez mettre à jour tous vos appareils Apple immédiatement! Vous terminerez cet article après! Mettez à jour votre iPhone, votre Apple Watch et votre macOS pour ordinateur de bureau ou portable.

Entrée forcée

NSO Group, une entreprise israélienne vendant des outils de surveillance numérique aux gouvernements du monde entier, a déjà été sous le feu des critiques à de nombreuses reprises pour sa commercialisation d'exploits techniques sophistiqués susceptibles de servir contre des dissidents, des militants et des journalistes.

Ses outils ont été impliqués dans l'assassinat de Jamal Khashoggi en 2018, et plus tôt cette année, une liste dépassant les 50.000 numéros de téléphone portable potentiellement ciblés par son logiciel espion Pegasus a été divulguée à plusieurs médias. NSO Group a d'abord nié que la liste contenait des cibles Pegasus, pour ensuite annoncer qu'il cessait de répondre aux demandes de la presse. Cette liste a permis de démontrer la portée et l'ampleur des opérations de l'entreprise, mais on ne savait pas comment le logiciel malveillant avait pu infiltrer autant d'appareils dont les propriétaires étaient très attentifs à leur sécurité numérique.

Les outils de NSO Group peuvent infecter des appareils sans même que le propriétaire de l'appareil ait à cliquer ou à télécharger quoi que ce soit.

N'importe qui peut infiltrer 50.000 téléphones portables, mais compromettre des machines appartenant à des journalistes et des militants prenant la cyberhygiène plus qu'au sérieux n'est pas la même limonade –et c'est beaucoup plus difficile. En effet, de nombreux incidents de cybersécurité commencent par un moment d'inattention: quelqu'un ouvre une pièce jointe qu'il n'aurait pas dû, remplit un formulaire sur un site web non sécurisé ou insère une clé USB inconnue dans son ordinateur. C'est également la raison pour laquelle de nombreux conseils de cyberhygiène de base consistent à vérifier les adresses émettrices des messages que vous recevez ou à tenir compte des avertissements de votre navigateur.

En général, il est difficile pour quelqu'un de compromettre votre ordinateur sans vous inciter à télécharger quelque chose ou à révéler vos identifiants et mots de passe à un moment donné. Mais l'une des caractéristiques des outils de NSO Group est que nombre d'entre eux peuvent infecter des appareils sans même que le propriétaire de l'appareil ait à cliquer ou à télécharger quoi que ce soit. C'est pourquoi FORCEDENTRY est décrit comme un exploit «zéro-clic» (à ne pas confondre avec un «zero-day», type de vulnérabilité qui n'avait jusqu'à présent jamais encore été découverte ni corrigée –ce que FORCEDENTRY est également).

Cela explique pourquoi les exploits comme celui révélé lundi dernier sont si dangereux et effrayants, même pour les gens attachés à la cybersécurité. C'est aussi en partie la raison pour laquelle NSO Group est largement mal vu: l'entreprise ne se contente pas de vendre des logiciels espions aux gouvernements pour qu'ils les utilisent sur des journalistes, des dissidents et des activistes. Elle vend des logiciels espions incroyablement avancés que beaucoup de ses clients seraient probablement incapables de développer par eux-mêmes.

Course contre l'exploit

De par leur extrême passivité, les exploits «zéro-clic» sont souvent difficiles à détecter et à retracer; les utilisateurs ne peuvent pas facilement remonter leurs messages ou leurs téléchargements pour identifier un envoi ou un fichier suspect précis.

Si le Citizen Lab a pu attirer l'attention d'Apple sur le problème, c'est seulement parce que, plus tôt cette année, un militant saoudien ciblé par le logiciel espion Pegasus de NSO Group lui a transmis une sauvegarde iTunes de son téléphone. Les chercheurs du Citizen Lab y ont identifié plusieurs fichiers .gif suspects et les ont envoyés à Apple le 7 septembre.

«Vendre une technologie à des gouvernements qui l'utiliseront en violation du droit international facilite la découverte du logiciel espion par les organisations de surveillance.»
Rapport du Citizen Lab sur FORCEDENTRY

Apple les a ensuite analysés, a pu identifier la vulnérabilité exploitée et a publié les correctifs correspondant moins d'une semaine plus tard. Un délai aussi court signe à la fois les prouesses d'ingénierie d'Apple et le sérieux avec lequel la société a appréhendé cet exploit. Si l'annonce d'un nouveau comportement répréhensible de NSO Group tient du déjà-vu, chaque zéro-clic ou zero-day reste en lui-même toujours un gros problème.

Le Citizen Lab conclut son rapport à propos de FORCEDENTRY sur une note étonnamment optimiste, en prédisant que «le modèle commercial de NSO Group contient les graines de son exposition. Vendre une technologie à des gouvernements qui l'utiliseront sans vergogne en violation du droit international facilite en fin de compte la découverte du logiciel espion par les organisations de surveillance, comme nous l'avons montré à de multiples occasions, et comme cela a été le cas ici.»

Je ne sais pas si je suis aussi sûre que les chercheurs et les entreprises traquant et corrigeant ces vulnérabilités et ces exploits seront toujours capables de suivre le rythme de NSO. Ces dernières années nous ont montré de combien de prouesses techniques NSO est capable, et combien de pays sont prêts à sortir les valises de billets pour qu'elle ne cesse d'en créer.

Reste qu'il est tout de même rassurant de voir la rapidité avec laquelle Apple et le Citizen Lab ont pu réagir à leur dernière prise. Et il est peut-être même utile d'inciter d'autres grandes entreprises technologiques à travailler sur NSO Group. Facebook a attaqué NSO en justice après avoir découvert que l'entreprise avait exploité une vulnérabilité de WhatsApp.

Tant que le gouvernement israélien n'est pas disposé à réglementer son secteur des logiciels espions, les grandes firmes technologiques seraient avisées d'exercer une pression bien nécessaire sur l'entreprise et le pays pour qu'ils arrêtent de jouer avec le feu.

Newsletters

Les séries pourront-elles bientôt être doublées par des intelligences artificielles?

Les séries pourront-elles bientôt être doublées par des intelligences artificielles?

C'est en tout cas le pari de plusieurs startups, qui assurent que la voix et la synchronisation seront parfaites.

YouTube est pire que Facebook ou Twitter en matière de fake news

YouTube est pire que Facebook ou Twitter en matière de fake news

Régulièrement à la traîne lorsqu'il s'agit de lutter contre la désinformation, la plateforme vidéo de Google a mis des mois à interdire le complotisme anti-vaccins.

C'est quoi, une aesthetic?

C'est quoi, une aesthetic?

Ces codes visuels sont une manière de construire son identité et d'affirmer sa personnalité.

Podcasts Grands Formats Séries
Slate Studio