NSO Group, créateur de l’outil d’espionnage Pegasus
Pegasus, le logiciel espion utilisé par les gouvernements pour s’introduire secrètement dans les iPhones des journalistes et des opposants politiques, a utilisé trois exploits sans clic affectant iOS 15 et iOS 16 au Mexique en 2022.
NSO Group est le tristement célèbre créateur de Pegasus, un outil de surveillance vendu aux gouvernements et aux forces de l’ordre du monde entier pour espionner les appareils des gens. Célèbre utilisé pour pirater les iPhones des militants des droits de l’homme et des journalistes, le logiciel espion est une menace majeure pour la sécurité et la vie privée des personnes qui intéressent les clients du groupe NSO.
Alors qu’il a été découvert auparavant que Pegasus utilisait des exploits sans clic pour déjouer la sécurité d’iOS 14, Citizen Lab a découvert des cas où trois autres exploits sans clic. Cette fois, les trois ont été utilisés pour infiltrer des iPhones exécutant iOS 15 et iOS 16.
Le groupe a découvert les nouveaux exploits en octobre 2022, dans le cadre d’une enquête menée avec l’organisation mexicaine de défense des droits humains numériques Ren ed Defensa de los Derechos Digitales. En examinant les iPhones utilisés par les défenseurs des droits de l’homme au Mexique, les trois exploits ont été découverts comme de toutes nouvelles façons pour Pegasus d’infecter les appareils.
Il a été constaté que les attaques coïncidaient dans certains cas avec les événements de 2022 dans le”affaire Ayotzinapa“, faisant référence à la disparition d’étudiants qui protestaient contre les pratiques d’embauche d’enseignants en 2015. L’organisation de défense des droits de l’homme Centro PRODH et les membres de l’aide juridique mexicaine ont été ciblés dans la nouvelle vague d’infections tout au long de 2022.
Trois exploits iPhone zéro-clic
Le premier exploit, intitulé”FINDMYPWN”, s’est avéré fonctionner contre iOS 15.5 et iOS 15.6 et utilisait un processus fmfd associé à Find My. Avec la fermeture et la relance du processus, il a été observé que l’exploit provoquait l’écriture et la suppression d’un élément dans un répertoire de cache associé à Find My.
Relativement peu d’informations ont été publiées sur l’exploit, en partie parce que la recherche est en cours, mais aussi pour la poursuite de la recherche. Les indicateurs d’une infection ne sont pas publiés car Citizen Lab pense que NSO Group s’efforce d’échapper à la détection, et fournir ces détails aiderait le producteur de logiciels espions.
Un deuxième exploit appelé”PWNYOURHOME”est un exploit zéro clic en deux phases, où chaque phase cible différents processus. Un crash de démon dans HomeKit a été utilisé dans une première phase, suivi du téléchargement d’images PNG depuis iMessage qui plante BlastDoor.
On ne sait pas comment l’exploit échappe au bac à sable BlastDoor, mais on sait que l’exploit finit par lancer Pegasus via mediaserverd.
CitizenLab a révélé le problème de HomeKit à Apple, ce qui a ensuite entraîné un correctif dans iOS 16.3.1.
Il semble que le mode de verrouillage d’iOS avertisse les utilisateurs des tentatives d’attaque de l’iPhone à l’aide de l’exploit, en affichant des notifications indiquant que des tentatives ont été faites pour accéder à une maison. Cependant, comme rien n’indique que NSO ait cessé de déployer l’exploit, il se peut que NSO ait trouvé comment éviter de déclencher les notifications.
Après avoir découvert les deux exploits, un troisième a été découvert après que l’équipe a revérifié l’analyse médico-légale pour les cas précédents. Datant de janvier 2022 et affectant iOS 15, l’exploit a été surnommé”LATENTIMAGE”car il laissait”très peu de traces”sur un appareil.
On pense que l’exploit utilise Find My, bien que Citizen Lab n’ait pas pu déterminer s’il s’agissait du vecteur d’attaque initial.
Une menace persistante
Pegasus continue d’être une menace, selon Citizen Lab, en raison de l’évolution des attaques. Deux des trois sont les premiers exploits sans clic observés par l’équipe qui utilisent deux surfaces d’attaque à distance distinctes sur l’iPhone.
“Comme nous l’avons noté dans ce rapport, les efforts croissants du groupe NSO pour bloquer les chercheurs et masquer les traces d’infection, bien qu’en fin de compte infructueux, soulignent les défis complexes de ce type d’enquêtes, notamment l’équilibre entre la publication d’indicateurs tout en en maintenant la capacité d’identifier les infections futures », écrit Citizen Lab.
Pour les utilisateurs à haut risque, Citizen Lab propose d’activer le mode de verrouillage, en raison de”l’augmentation des coûts encourus par les attaquants”.
