Comment la technologie Apple résiste-t-elle aux logiciels espions NSO ? | Pomme

C’est l’une des batailles technologiques du 21e siècle – dans laquelle chaque utilisateur de téléphone mobile a un enjeu.

Dans un coin, Apple, qui compte plus d’un milliard d’iPhones actifs utilisés dans le monde. Dans l’autre, des sociétés telles que le groupe israélien NSO, développant des logiciels espions conçus pour contrecarrer les mesures de sécurité et de confidentialité les plus sophistiquées.

Et tandis qu’Apple affirme suivre le rythme des outils de surveillance utilisés pour attaquer ses téléphones – il se vante de créer « la plate-forme grand public la plus sécurisée au monde » – les recherches entreprises dans le cadre du projet Pegasus brossent un tableau plus inquiétant.

Le malware, semble-t-il, a eu une longueur d’avance.

C’est du moins la conclusion d’une nouvelle recherche technique d’Amnesty International, qui suggère que même les iPhones les plus récents exécutant le dernier système d’exploitation ont encore été pénétrés par le logiciel espion Pegasus de NSO Group.

Guide rapide

Que contiennent les données du projet Pegasus ?

Spectacle

Qu’y a-t-il dans la fuite de données ?

La fuite de données est une liste de plus de 50 000 numéros de téléphone qui, depuis 2016, auraient été sélectionnés comme ceux de personnes d’intérêt par les clients gouvernementaux de NSO Group, qui vend des logiciels de surveillance. Les données contiennent également l’heure et la date à laquelle les numéros ont été sélectionnés ou entrés dans un système. Forbidden Stories, une organisation de journalisme à but non lucratif basée à Paris, et Amnesty International avaient initialement accès à la liste et partageaient l’accès avec 16 organisations médiatiques, dont le Guardian. Plus de 80 journalistes ont collaboré pendant plusieurs mois dans le cadre du projet Pegasus. Le laboratoire de sécurité d’Amnesty, partenaire technique du projet, a effectué les analyses médico-légales.

Qu’indique la fuite ?

Le consortium pense que les données indiquent les cibles potentielles que les clients gouvernementaux de l’ONS ont identifiées avant une éventuelle surveillance. Bien que les données soient une indication d’intention, la présence d’un numéro dans les données ne révèle pas s’il y a eu une tentative d’infecter le téléphone avec un logiciel espion tel que Pegasus, l’outil de surveillance des signatures de l’entreprise, ou si une tentative a réussi. La présence dans les données d’un très petit nombre de lignes fixes et de numéros américains, auxquels NSO dit qu’il est « techniquement impossible » d’accéder avec ses outils, révèle que certaines cibles ont été sélectionnées par les clients de NSO alors qu’elles ne pouvaient pas être infectées par Pegasus. Cependant, les examens médico-légaux d’un petit échantillon de téléphones portables avec des numéros sur la liste ont trouvé des corrélations étroites entre l’heure et la date d’un numéro dans les données et le début de l’activité Pegasus – dans certains cas aussi peu que quelques secondes.

Qu’a révélé l’analyse médico-légale?

Amnesty a examiné 67 smartphones où des attaques étaient suspectées. Parmi ceux-ci, 23 ont été infectés avec succès et 14 ont montré des signes de tentative de pénétration. Pour les 30 autres, les tests n’ont pas été concluants, dans plusieurs cas parce que les combinés avaient été remplacés. Quinze des téléphones étaient des appareils Android, dont aucun n’a montré de preuve d’infection réussie. Cependant, contrairement aux iPhones, les téléphones qui utilisent Android n’enregistrent pas les types d’informations nécessaires au travail de détective d’Amnesty. Trois téléphones Android ont montré des signes de ciblage, tels que des messages SMS liés à Pegasus.

Amnesty a partagé des « copies de sauvegarde » de quatre iPhones avec Citizen Lab, un groupe de recherche de l’Université de Toronto spécialisé dans l’étude de Pegasus, qui a confirmé qu’ils présentaient des signes d’infection par Pegasus. Citizen Lab a également procédé à un examen par les pairs des méthodes médico-légales d’Amnesty et les a trouvées solides.

Quels clients des OSN sélectionnaient des numéros ?

Bien que les données soient organisées en grappes, indiquant les clients NSO individuels, elles ne disent pas quel client NSO était responsable de la sélection d’un nombre donné. NSO prétend vendre ses outils à 60 clients dans 40 pays, mais refuse de les identifier. En examinant de près le modèle de ciblage par les clients individuels dans les données divulguées, les partenaires médias ont pu identifier 10 gouvernements soupçonnés d’être responsables de la sélection des cibles : Azerbaïdjan, Bahreïn, Kazakhstan, Mexique, Maroc, Rwanda, Arabie saoudite, Hongrie, Inde , et les Émirats arabes unis. Citizen Lab a également trouvé des preuves que les 10 étaient des clients de NSO.

Que dit le groupe NSO ?

Vous pouvez lire la déclaration complète de NSO Group ici. L’entreprise a toujours affirmé ne pas avoir accès aux données des cibles de ses clients. Par l’intermédiaire de ses avocats, NSO a déclaré que le consortium avait fait des « hypothèses incorrectes » sur les clients qui utilisent la technologie de l’entreprise. Il a déclaré que le nombre de 50 000 était « exagéré » et que la liste ne pouvait pas être une liste de chiffres « ciblés par les gouvernements utilisant Pegasus ». Les avocats ont déclaré que NSO avait des raisons de croire que la liste consultée par le consortium « n’est pas une liste de numéros ciblés par les gouvernements utilisant Pegasus, mais peut plutôt faire partie d’une liste plus large de numéros qui auraient pu être utilisés par les clients du groupe NSO pour d’autres fins ». Après d’autres questions, les avocats ont déclaré que le consortium basait ses conclusions « sur une interprétation trompeuse de données divulguées à partir d’informations de base accessibles et manifestes, telles que les services de recherche HLR, qui n’ont aucune incidence sur la liste des clients cibles de Pegasus ou de tout autre Produits NSO… nous ne voyons toujours aucune corrélation entre ces listes et quoi que ce soit lié à l’utilisation des technologies du groupe NSO ».

Qu’est-ce que les données de recherche HLR ?

Le terme HLR, ou Home Location Register, fait référence à une base de données indispensable au fonctionnement des réseaux de téléphonie mobile. Ces registres conservent des enregistrements sur les réseaux des utilisateurs de téléphones et leurs emplacements généraux, ainsi que d’autres informations d’identification qui sont couramment utilisées pour acheminer les appels et les SMS. Les experts en télécoms et en surveillance affirment que les données HLR peuvent parfois être utilisées au début d’une tentative de surveillance, pour déterminer s’il est possible de se connecter à un téléphone. Le consortium comprend que les clients NSO ont la capacité, via une interface sur le système Pegasus, de mener des enquêtes de recherche HLR. Il n’est pas clair si les opérateurs Pegasus sont tenus de mener des enquêtes de recherche HRL via son interface pour utiliser son logiciel ; une source NSO a souligné que ses clients peuvent avoir différentes raisons – sans rapport avec Pegasus – pour effectuer des recherches HLR via un système NSO.

Cela a conduit à transformer les téléphones portables de certaines personnes en appareils de surveillance portables, donnant un accès complet aux numéros, SMS, photos. Tout.

La divulgation met en évidence un problème que les chercheurs en sécurité mettent en garde depuis des années : malgré sa réputation de construire ce qui est considéré par des millions de clients comme un produit sécurisé, certains pensent que la culture fermée d’Apple et la peur de la presse négative ont nui à sa capacité à assurer la sécurité. pour les personnes ciblées par les gouvernements et les criminels.

« L’orgueil assuré d’Apple est tout simplement sans précédent », a déclaré Patrick Wardle, ancien employé de la NSA et fondateur du développeur de sécurité Mac Objective-See. « Ils croient fondamentalement que leur voie est la meilleure. Et pour être honnête… l’iPhone a eu un succès incroyable.

« Mais si vous parlez à n’importe quel chercheur en sécurité externe, ils n’auront probablement pas beaucoup de bonnes choses à dire sur Apple. Alors que si vous parlez à des chercheurs en sécurité en traitant, disons, avec Microsoft, ils ont dit : « Nous allons mettre notre ego de côté et nous réaliserons finalement que les chercheurs en sécurité signalent des vulnérabilités qui, en fin de compte, profitent à notre utilisateurs, car nous sommes en mesure de les corriger.’ Je ne pense pas qu’Apple ait le même état d’esprit.

La préoccupation concernant la vulnérabilité des appareils mobiles est un aspect mis en évidence par le projet Pegasus, une enquête de journalisme collaboratif coordonnée par Forbidden Stories.

Avec le soutien technique d’Amnesty International, le projet a enquêté sur une liste divulguée de dizaines de milliers de numéros de téléphones portables, liés à la fois à des téléphones Apple et Android.

Bien qu’il n’ait été possible de tester qu’une fraction des téléphones répertoriés pour une surveillance potentielle, l’ampleur de ce qui semble avoir été un pool de cibles possibles suggère que les clients de la société de logiciels espions la plus sophistiquée au monde n’ont pas été découragés par les avancées en matière de sécurité. par des entreprises comme Apple.

La plupart des experts s’accordent à dire que la plus grande vulnérabilité de l’iPhone est également l’une de ses fonctionnalités les plus populaires : iMessage, qu’Apple a annoncé plus tôt cette année qu’il cherchait à renforcer. L’une des méthodes utilisées par la société consiste à créer une fonctionnalité appelée BlastDoor, qui filtre les messages suspects avant qu’ils ne se plongent trop profondément dans un téléphone.

Mais même ces avancées n’ont pas assuré la sécurité des utilisateurs d’iPhone.

« Nous avons vu Pegasus déployé via iMessage contre la dernière version d’iOS d’Apple, il est donc assez clair que NSO peut battre BlastDoor », a déclaré Bill Marczak, membre du Citizen Lab, une unité d’analystes en cybersécurité basée à l’Université de Toronto. « Bien sûr, le développement de fonctionnalités de sécurité est toujours important. Chaque nouvelle mesure augmente le coût du piratage des appareils, ce qui peut coûter cher aux attaquants moins sophistiqués. »

Selon Wardle, les fonctionnalités de sécurité dont Apple se vante sont une arme à double tranchant. « iMessage est crypté de bout en bout, ce qui signifie que personne ne vous verra lancer cet exploit. Du point de vue de l’attaquant, c’est charmant », a-t-il déclaré.

Un problème similaire existe sur l’appareil : contrairement à un Mac ou à un téléphone Android, les chercheurs en sécurité se voient refuser la possibilité de voir ce que font réellement leurs appareils.

« Une fois qu’un attaquant est à l’intérieur, il ou elle peut presque tirer parti de la sécurité de l’appareil contre l’utilisateur », a déclaré Wardle. « Donc, par exemple, je n’ai aucune idée si mon iPhone est piraté. Mon ordinateur Mac d’un autre côté, je dirais, oui, c’est une cible plus facile, mais je peux consulter une liste de processus en cours, j’ai un produit pare-feu auquel je peux demander ce qui est autorisé à parler à Internet.

Cette opacité peut même saper l’affirmation d’Apple selon laquelle les attaques « ont souvent une courte durée de vie ». Parce que les chercheurs trouvent qu’il est très difficile d’examiner le fonctionnement interne d’un iPhone, « à moins que l’attaquant ne soit très malchanceux, cet implant restera sur l’appareil, probablement non détecté », a déclaré Wardle.

Claudio Guarnieri, chef du laboratoire de sécurité d’Amnesty, a déclaré qu’il n’y avait « aucun doute » que les logiciels espions de NSO pourraient infecter la version la plus récente d’iOS. Alors qu’Apple avait fait beaucoup de travail pour améliorer la sécurité, a-t-il déclaré, il était naturel que l’entreprise prenne toujours du retard sur des milliers d’attaquants qui avaient « toujours une longueur d’avance ».

« Il y aura toujours quelqu’un de très talentueux, motivé par la rémunération élevée qu’il reçoit en trouvant ces [security] problèmes, en travaillant de toutes les manières possibles pour contourner et trouver des solutions de contournement à ces atténuations », a déclaré Guarnieri.

Un autre chercheur du Citizen Lab, John Scott-Railton, a déclaré qu’il était important pour des entreprises telles qu’Apple de se défendre contre les menaces en « les suivant constamment » et en anticipant ce qui pourrait arriver ensuite. « Si vous ne le faites pas, vous ne pouvez pas vraiment créer un produit sécurisé, car même si vous parlez des menaces potentielles contre votre plate-forme, de nombreuses personnes intelligentes trouveront des menaces que vous ne connaissez pas. [about], » il a dit.

Même si les pairs d’Apple dans l’industrie de la technologie ont commencé à crier au scandale des avancées d’entreprises telles que NSO et ont affirmé qu’elles constituaient une grave menace pour la cybersécurité, Apple est resté largement en dehors de la mêlée. Dans une récente soumission au tribunal déposée à l’appui de WhatsApp, l’application de messagerie qui poursuit NSO Group en Californie, des entreprises de Microsoft à Cisco ont créé une coalition et déposé une déclaration disant que NSO rendait les gens ordinaires moins sûrs. Apple n’a pas rejoint la soumission.

Les partenaires du projet Pegasus ont posé une série de questions à Apple.

Dans un communiqué, le fabricant de l’iPhone a déclaré : « Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits humains et d’autres qui cherchent à rendre le monde meilleur. Depuis plus d’une décennie, Apple est le leader du secteur en matière d’innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité conviennent que l’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé du marché.

Apple a également déclaré que la sécurité était un domaine dynamique et que sa BlastDoor n’était pas la fin de ses efforts pour sécuriser iMessage.

« Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques », a-t-il déclaré. « Bien que cela signifie qu’ils ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données. »

Le journaliste du Washington Post Craig Timberg a contribué à ce rapport.