Doit-on craindre les spywares pour mobiles ?
Les spywares, ou logiciels espions, sont un type de programmes malveillants ayant pour tâche de collecter des informations sans être détectés. On peut imaginer plusieurs motifs pour ces attaques. Ils ont souvent pour objectif de se déployer sur un maximum d’appareils afin de collecter des informations dans un but lucratif. Cependant, lorsqu’ils sont plus ciblés, ils peuvent avoir un objectif bien différent.
Pegasus
Développé par la firme israélienne NSO Group, Pegasus est un bon exemple de spyware extrêmement puissant et difficile à combattre, qui a frappé en août 2016, comme le montre cette enquête du site Motherboard.
Infection
Le mode d’infection de ce spyware si sophistiqué est en réalité basé sur une simple technique: un clic sur un lien, reçu par SMS.
C’est le militant des droits de l’Homme Ahmed Mansoor qui a découvert qu’il était la cible d’une attaque utilisant Pegasus et qui a permis de révéler ce spyware. De part ses actions, il était un opposant politique du gouvernement des Emirats Arabes Unis. Les 10 et 11 août 2016, Mansoor reçoit les messages suivants ci-dessous, l’invitant à cliquer sur un lien pour obtenir des secrets sur des prisonniers torturés dans les prisons des Emirats Arabes Unis.
A la différence des tentatives d’infection que nous recevons parfois par mail, diffusées largement et souvent peu crédibles, celle-ci est ciblée et donc plus efficace. Les attaquants savaient que Mansoor était à la recherche de ce type d’information, en tant qu’activiste contre les Emirats Arabes Unis. Mais selon Motherboard celui-ci a compris le piège et contacté Citizen Lab, un laboratoire de recherche en cybersécurité de l’Université de Toronto. Ceux-ci ont découvert le spyware et se sont associés avec l’entreprise Lookout Security pour l’étudier, puis on publié un rapport sur leur site.
Ce spyware n’a donc pas pour vocation de se répandre sur un maximum d’appareils. L’enjeu est politique dans ce cas, et le rôle du spyware est d’espionner un individu en particulier, pour obtenir des informations telles que sa localisation, ses conversations ou encore ses rendez-vous, entraînant potentiellement de sérieuses conséquences : enlèvement, chantage, meurtre…
Un spyware sophistiqué
Pegasus utilisait trois failles zero-days, baptisées Trident, qu’ils ont exploité afin de jailbreak l’iPhone à partir d’un simple clic. Une fois l’appareil infecté, l’attaquant en possède le plein contrôle. Cela signifie qu’il peut écouter les appels ou encore lire tous les messages entrants et sortants, qu’il s’agisse de SMS ou de diverses applications, comme l’explique le rapport détaillé du Citizen Lab.
De plus, Pegasus est capable de se supprimer automatiquement de l’appareil, sans laisser de trace, dans le cas où le jailbreak n’a pas fonctionné. Lookout et l’Université de Toronto Citizen Lab ont donc eu beaucoup de mal à l’étudier. NSO a également éteint les serveurs de Pegasus pour compliquer la tâche des chercheurs. Le Citizen Lab a développé un outil appellé Athena pour clusteriser les adresses IP des serveurs de Pegasus, et ont ainsi trouvé 36 groupes qui ont déployés le spyware dans 45 pays différents.
Les failles Trident ont pu être patchées rapidement, avec la mise à jour d’iOS 9.3.5
Pegasus for Android aka Chrysaor
A la suite de la découverte du spyware Pegasus ciblant les appareils iOS, l’entreprise Lookout et Google publient un nouveau rapport en avril 2017 : Chrysaor, ou Pegasus pour Android.
Si les informations volées sur un appareil infecté sont les mêmes que pour la version iOS du spyware, la manière de s’implanter sur l’appareil est différente.
A la différence de Pegasus, cette version android du spyware est une application à part entière et non plus seulement un programme qui se greffe au système Apple. De plus elle permet de remonter des informations aux hackers sans que le téléphone ne soit compromis et de prendre des captures d’écran.
Pour s’implanter sur le téléphone Android, le rapport de Lookout explique que Chrysaor tente de rooter l’appareil grâce à une technique connue : Framaroot. Cependant si cela ne fonctionne pas, l’application va simplement demander les autorisations dont il a besoin à l’utilisateur lui même.
Une des packages à été trouvé sous le nom de com.network.android, plutôt crédible du côté utilisateur donc.
Le spyware peut être supprimé de différentes manières : par une commande à distance, par la présence d’un fichier “antidote” sur l’appareil, ou automatiquement s’il ne réussit pas à contacter les serveur de l’attaquant pendant 60 jours.
Google a notifié les quelques appareils sur lesquels le spyware a été détecté et mis à jour sa base de vérification d’applications.
Etat de la menace aujourd’hui
Le jailbreak utilisé par Pegasus se re-exécute à chaque démarrage de l’appareil. De plus il désactive les mises à jour automatiques Apple et supprime les autres potentiels jailbreak présent. On appelle cela un jailbreak de type untethered (non attaché), qui ne nécessite pas de connexion à un ordinateur pour patcher au démarrage et donc maintenir le jailbreak.
Ce type de jailbreak est le plus puissant mais également le plus difficile à produire. Cependant même si au fil des mises à jour de iOS les failles sont corrigées, de nouvelles sont toujours découvertes. Ainsi jusqu’à la version iOS 11.3.1 tous les iPhones (jusqu’au X) sont sensible à un jailbreak untethered. La dernière version iOS 12.1 ne semble pas encore sensible au jailbreak.
Un site web et logiciel de jailbreak appelé Meridian permet le jailbreak des appareils iOS 10.0 à 10.3.3 à distance uniquement via un click sur un lien. Ainsi le fishing utilisé par Pegasus aurait été possible pour une version ultérieur d’iOS.
Ainsi même si le mode opératoire du lien envoyé par SMS utilisé par Pegasus n’est pas forcément utilisable, le type de jailbreak l’est pour tous les iPhones encore aujourd’hui.
Le marché des spywares
En 2017, un développeur de NSO apprend qu’il va se faire licencier. Il vole donc le code de Pegasus et tente de le vendre sur le deep web pour 50 millions de dollars en crypto monnaie. Il est finalement arrêté après qu’un potentiel “acheteur” le dénonce à NSO. Cependant cet événement nous montre l’intérêt que peut avoir Pegasus, même après la correction des failles zero day Trident par Apple.
Il est également possible de racheter une application déjà déployée sur le Play Store afin d’y injecter un spyware. Ainsi, les utilisateurs ayant déjà l’application installeront le logiciel malveillant lors de la mise à jour de l’application.
Les spywares sur les marchés officiels
Les cybercriminels parviennent désormais à déployer les spywares et autres logiciels malveillants sur les marchés officiels. Ils utilisent ce qu’on appelle des droppers. Cette technique est semblable aux trojans : une application en apparence saine, qui ne possède pas de code malveillant, est déployée sur le Play Store ou l’Apple Store et passe ainsi les tests de sécurité. Une fois installée sur le téléphone, cette application va télécharger via Internet le code du spyware. En effet, la plupart des utilisateurs de smartphones font confiance aux marchés officiels d’application et n’utilisent pas d’antivirus. De cette manière, une fois que l’application a été validé sur le marché puis installée sur le téléphone, elle peut avoir un comportement malveillant sans être détectée.
Jamais à l’abri d’un nouveau spyware
Même si les failles que Pegasus exploitait ont été fixées, les iPhones sont toujours jailbreakables. De plus, la technique de piéger un individu en le faisant cliquer sur un lien fonctionnera probablément toujours et il est compliqué de la contrecarrer puisqu’elle dépend de la prudence de l’utilisateur. Cet exemple de spyware est donc toujours d’actualité, et comme il s’agit d’une problématique politique, il paraît prudent de s’attendre à ce que ce type d’attaque se reproduise.
Il semblerait d’ailleurs que NSO n’ait pas terminé de causer des problèmes. Le journal israélien Haaretz a publié récemment un article expliquant que NSO venait de vendre une nouvelle version Pegasus 3 au gouvernement Saoudien pour la somme de 55 millions de dollars.
Max MARIE & Robin CARTIER
