Un rapport explosif sur les logiciels espions montre les limites de la sécurité iOS et Android

[ad_1]

Le monde obscur des logiciels espions privés a longtemps alarmé les milieux de la cybersécurité, car des gouvernements autoritaires ont été à plusieurs reprises pris en train de cibler les smartphones d’activistes, de journalistes et de rivaux politiques avec des logiciels malveillants achetés auprès de courtiers sans scrupules. Les outils de surveillance fournis par ces entreprises ciblent fréquemment iOS et Android, qui n’ont apparemment pas été en mesure de faire face à la menace. Mais un nouveau rapport suggère que l’ampleur du problème est bien plus grande que prévu et a exercé une pression supplémentaire sur les fabricants de technologies mobiles, en particulier Apple, de la part des chercheurs en sécurité cherchant des remèdes.

Cette semaine, un groupe international de chercheurs et de journalistes d’Amnesty International, de Forbidden Stories et de plus d’une douzaine d’autres organisations ont publié des preuves médico-légales qu’un certain nombre de gouvernements dans le monde, dont la Hongrie, l’Inde, le Mexique, le Maroc, l’Arabie saoudite et les États-Unis Emirates – peuvent être des clients du célèbre fournisseur israélien de logiciels espions NSO Group. Les chercheurs ont étudié une liste divulguée de 50 000 numéros de téléphone associés à des militants, des journalistes, des cadres et des politiciens qui étaient tous des cibles potentielles de surveillance. Ils ont également examiné spécifiquement 37 appareils infectés ou ciblés par le logiciel espion invasif Pegasus de NSO. Ils ont même créé un outil pour que vous puissiez vérifier si votre iPhone a été compromis.

NSO Group a qualifié la recherche de « fausses allégations d’un consortium de médias » dans un démenti ferme mardi. Un porte-parole de NSO Group a déclaré : « La liste n’est pas une liste de cibles Pegasus ou de cibles potentielles. Les chiffres de la liste ne sont en aucun cas liés à NSO Group. Toute affirmation selon laquelle un nom dans la liste est nécessairement lié à une cible Pegasus. ou la cible potentielle est erronée et fausse. Mercredi, NSO Group a déclaré qu’il ne répondrait plus aux demandes des médias.

NSO Group n’est pas le seul fournisseur de logiciels espions, mais il a le profil le plus élevé. WhatsApp a poursuivi l’entreprise en 2019 pour ce qu’elle prétend être des attaques contre plus d’un millier de ses utilisateurs. Et la fonctionnalité BlastDoor d’Apple, introduite dans iOS 14 plus tôt cette année, était une tentative de couper les « exploits sans clic », des attaques qui ne nécessitent aucun appui ou téléchargement de la part des victimes. La protection ne semble pas avoir fonctionné aussi bien que prévu ; la société a publié mardi un correctif pour iOS afin de remédier à la dernière série de piratages présumés du groupe NSO.

Face au rapport, de nombreux chercheurs en sécurité affirment qu’Apple et Google peuvent et doivent faire davantage pour protéger leurs utilisateurs contre ces outils de surveillance sophistiqués.

« Cela montre clairement les défis en général avec la sécurité des appareils mobiles et les capacités d’enquête de nos jours », déclare le chercheur indépendant Cedric Owens. « Je pense également que les infections à zéro clic sur Android et iOS par NSO montrent que les attaquants motivés et dotés de ressources peuvent toujours réussir malgré le degré de contrôle qu’Apple applique à ses produits et à son écosystème. »

Des tensions couvent depuis longtemps entre Apple et la communauté de la sécurité sur les limites de la capacité des chercheurs à mener des enquêtes médico-légales sur les appareils iOS et à déployer des outils de surveillance. Un accès accru au système d’exploitation aiderait potentiellement à détecter plus d’attaques en temps réel, permettant aux chercheurs de mieux comprendre comment ces attaques ont été construites en premier lieu. Pour l’instant, les chercheurs en sécurité s’appuient sur un petit ensemble d’indicateurs dans iOS, ainsi que sur le jailbreak occasionnel. Et bien qu’Android soit plus ouvert de par sa conception, il impose également des limites à ce que l’on appelle « l’observabilité ». Selon certains chercheurs, lutter efficacement contre les logiciels espions de haut calibre comme Pegasus nécessiterait des éléments tels que l’accès pour lire le système de fichiers d’un appareil, la possibilité d’examiner les processus en cours d’exécution, l’accès aux journaux système et d’autres éléments de télémétrie.

De nombreuses critiques se sont concentrées sur Apple à cet égard, car la société a historiquement offert des protections de sécurité plus solides à ses utilisateurs que l’écosystème Android fragmenté.

« La vérité est que nous maintenons Apple à un niveau plus élevé précisément parce qu’ils font tellement mieux », explique Juan Andres Guerrero-Saade, chercheur principal sur les menaces de SentinelOne. « Android est gratuit pour tous. Je ne pense pas que quiconque s’attende à ce que la sécurité d’Android s’améliore à un point où tout ce dont nous avons à nous soucier sont des attaques ciblées avec des exploits zero-day.

En fait, les chercheurs d’Amnesty International affirment qu’ils ont eu plus de facilité à trouver et à enquêter sur les indicateurs de compromission sur les appareils Apple ciblés par le malware Pegasus que sur ceux fonctionnant sous Android.

« D’après l’expérience d’Amnesty International, il y a beaucoup plus de traces médico-légales accessibles aux enquêteurs sur les appareils Apple iOS que sur les appareils Android d’origine, c’est pourquoi notre méthodologie se concentre sur les premiers », a écrit le groupe dans une longue analyse technique de ses conclusions sur Pegasus. Par conséquent, les cas les plus récents d’infections confirmées par Pegasus ont impliqué des iPhones. »

Une partie de l’accent mis sur Apple découle également de l’accent mis par l’entreprise sur la confidentialité et la sécurité dans la conception et le marketing de ses produits.

« Apple essaie, mais le problème est qu’ils n’essaient pas aussi fort que leur réputation le laisserait entendre », déclare Matthew Green, cryptographe de l’Université Johns Hopkins.

Même avec son approche plus ouverte, Google fait face à des critiques similaires concernant la visibilité que les chercheurs en sécurité peuvent obtenir dans son système d’exploitation mobile.

« Android et iOS ont des types de journaux différents. Il est vraiment difficile de les comparer », déclare Zuk Avraham, PDG du groupe d’analyse ZecOps et défenseur de longue date de l’accès aux informations des systèmes mobiles. « Chacun a un avantage, mais ils ne sont pas non plus suffisants et permettent aux acteurs de la menace de se cacher. »

Apple et Google semblent cependant hésiter à révéler davantage sur la fabrication de saucisses médico-légales numériques. Et tandis que la plupart des chercheurs en sécurité indépendants plaident en faveur de ce changement, certains reconnaissent également qu’un accès accru à la télémétrie du système aiderait également les mauvais acteurs.

« Bien que nous comprenions que les journaux persistants seraient plus utiles pour des utilisations médico-légales telles que celles décrites par les chercheurs d’Amnesty International, ils seraient également utiles pour les attaquants », a déclaré un porte-parole de Google dans une déclaration à WIRED. « Nous équilibrons continuellement ces différents besoins. . « 

Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple, a déclaré dans un communiqué qu’« Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits humains et d’autres qui cherchent à rendre le monde meilleur. Depuis plus d’une décennie, Apple est le leader du secteur en matière d’innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité s’accordent à dire que l’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé du marché. Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu’ils ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données.

L’astuce consiste à trouver le bon équilibre entre offrir plus d’indicateurs système sans trop faciliter par inadvertance le travail des attaquants. « Il y a beaucoup de choses qu’Apple pourrait faire de manière très sûre pour permettre l’observation et l’imagerie des appareils iOS afin de détecter ce type de mauvais comportement, mais cela ne semble pas être traité comme une priorité », déclare le chercheur en sécurité iOS. Will Strafach. « Je suis sûr qu’ils ont des raisons politiques justes pour cela, mais c’est quelque chose avec lequel je ne suis pas d’accord et j’aimerais voir des changements dans cette façon de penser. »

Thomas Reed, directeur des plates-formes Mac et mobiles chez le fabricant d’antivirus Malwarebytes, déclare qu’il convient qu’une meilleure compréhension d’iOS profiterait aux défenses des utilisateurs. Mais il ajoute qu’autoriser un logiciel de surveillance spécial et fiable comporterait de réels risques. Il souligne qu’il existe déjà des programmes suspects et potentiellement indésirables sur macOS que l’antivirus ne peut pas supprimer complètement car le système d’exploitation leur confère ce type spécial de confiance système, potentiellement par erreur. Le même problème d’outils d’analyse de systèmes malveillants se poserait presque inévitablement sur iOS également.

« Nous voyons également des logiciels malveillants d’État-nation tout le temps sur les systèmes de bureau qui sont découverts après plusieurs années de déploiement non détecté », ajoute Reed. « Et c’est sur des systèmes où il existe déjà de nombreuses solutions de sécurité différentes. mieux que quelques-uns. Je m’inquiète juste de ce que nous aurions à échanger pour cette visibilité. « 

Le projet Pegasus, comme le consortium de chercheurs appelle les nouvelles découvertes, souligne la réalité selon laquelle il est peu probable qu’Apple et Google résolvent la menace posée par les seuls fournisseurs de logiciels espions privés. L’ampleur et la portée du ciblage potentiel de Pegasus indiquent qu’une interdiction mondiale des logiciels espions privés peut être nécessaire.

« Un moratoire sur le commerce des logiciels d’intrusion est le strict minimum pour une réponse crédible – un simple triage », Edward Snowden, dénonciateur de la surveillance de la NSA. tweeté mardi en réaction aux conclusions du projet Pegasus. « N’importe quoi de moins et le problème s’aggrave. »

Lundi, Amazon Web Services a pris sa propre initiative en fermant l’infrastructure cloud liée à NSO.

Indépendamment de ce qui arrive au groupe NSO en particulier, ou au marché de la surveillance privée en général, les appareils des utilisateurs restent en fin de compte le lieu où se dérouleront les attaques ciblées clandestines de toute source. Même si l’on ne peut s’attendre à ce que Google et Apple résolvent le problème eux-mêmes, ils doivent continuer à travailler sur une meilleure voie à suivre.

Cette histoire est apparue à l’origine sur wired.com.


[ad_2]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*