SAN FRANCISCO - Apple a mis en ligne en catastrophe une nouvelle mise à jour de sécurité pour les iPhone jeudi, après avoir appris qu'une entreprise israélienne exploitait les failles de sécurité de ses produits.
L'entreprise israélienne NSO Group, entreprise si secrète qu'elle a à maintes reprises changé de nom pour éviter de se faire remarquer, vendait à des gouvernements un logiciel utilisé pour infiltrer les iPhone, permettant ainsi d'avoir accès aux SMS, aux mails, aux contacts et aux appels, selon un nouveau rapport publié jeudi par des chercheurs du Citizen Lab, un groupe interdisciplinaire à l'université de Toronto, et Lookout, une entreprise de sécurité mobile à San Francisco.
Les failles, connues sous le nom de zero-days, car elles étaient jusque là inconnues d'Apple, permettent d'obtenir l'accès total à l'iPhone grâce à un hameçonnage par SMS. Ces SMS ont été conçus pour imiter les types de messages qu'un utilisateur pourrait recevoir de la part d'un site légitime, explique le rapport. Afin que les utilisateurs cliquent sur les liens, on leur envoie des imitations de messages qui auraient pu être envoyés par, entre autres, la Croix-Rouge, Facebook, Google et même la Pokémon Company. Quand on clique sur le lien, le message télécharge un programme malveillant qui donne aux attaquants l'accès total au téléphone.
«Un des logiciels de cyber espionnage les plus sophistiqués que nous ayons vus»
«Nous avons été avertis de cette faille et nous l'avons immédiatement corrigée avec iOS 9.3.5., a dit Apple dans une déclaration pour BuzzFeed News. Nous conseillons à tous nos clients de toujours télécharger la dernière version d'iOS afin de se protéger contre les exploits de sécurité potentiels.»
Le vice-président de la recherche de Lookout, Mike Murray, a dit à Motherboard que NSO était «en gros un trafiquant de cyber armes», et que le type de programme malveillant utilisé par NSO n'avait jamais été vu auparavant.
«Nous nous sommes rendus compte que nous avions en face de nous quelque chose que personne n'avait jamais vu dans la pratique. Il fallait littéralement cliquer sur un lien pour débrider un iPhone en une seule étape, a dit Mike Murray à Motherboard . C'est l'un des logiciels de cyber espionnage les plus sophistiqués que nous ayons vus.»
La faille découverte grâce à un militant des droits de l'Homme des Émirats arabes unis
NSO Group n'a pas répondu à la demande d'interview de BuzzFeed News, mais un de ses porte-parole a dit dans un mail envoyé au New York Times : «L'entreprise vend seulement aux agences gouvernementales autorisées et est parfaitement conforme aux lois et aux réglementations strictes sur le contrôle des exportations.»
Le programme malveillant utilisé par NSO a été découvert lorsque Ahmed Mansoor, militant des droits de l'Homme de 46 ans des Émirats arabes unis, a remarqué un SMS étrange le 10 août au matin. Ahmed Mansoor, qui avait été auparavant victime de cyber espionnage gouvernemental avec des outils achetés chez FinFisher et Hacking Team –des entreprises concurrençant NSO– a trouvé le message suspect et l'a fait suivre au Citizen Lab.
Le rapport a découvert que d'autres cibles de NSO comprenaient des militants et des journalistes au Yémen, en Turquie, au Mozambique, au Mexique, au Kenya et aux Émirats arabes unis.
Les zero-days sont souvent vendus aux entreprises privées et aux gouvernements désireux de s'introduire dans les appareils lors d'ententes secrètes pouvant rapporter des millions de dollars. Les failles dans le système iOS d'Apple sont rares; lors d'une vente publique l'année dernière, l'entreprise de cyber sécurité Zerodium a acheté un exploit zero-day pour un iPhone pour un million de dollars.