Après Pegasus, il semble qu’une autre faille des IPhones ait été exploitée par une société de surveillance nommée QuaDream. Quant aux JO, les services américains ont alerté les athlètes contre les risques conséquents qu’ils prendraient à utiliser leurs smartphones personnels en Chine.
Loïc Guezo : Le FBI se permet de prodiguer de tels conseils car il connaît les capacités du gouvernement chinois en matière d’espionnage numérique. Lors de ces Jeux Olympiques, les autorités du pays imposent l’utilisation d’une application officielle : My 2022 (développée par le gouvernement chinois). Aujourd’hui, on sait bien que certaines applications que l’on installe peuvent avoir des comportements frauduleux et permettent d’accéder à des données personnelles (contacts, géolocalisation, voire exfiltration de données à l’extérieur de l’appareil) sans que cela soit exprimé clairement.
Les détournements de ces applications sont connus, ils peuvent avoir comme objectifs l’amusement, la collecte de données marketing sans autorisation ou clairement un usage frauduleux ou criminel. C’est surtout une plateforme idéale pour réaliser des opérations d’espionnage et de surveillance à grande échelle quand cela passe par un événement important.
Si cette application contient un certain code, permettant d’accéder à la plateforme sous-jacente, elle pourrait être un cheval de Troie aspirant toutes les données de l’appareil. Il s’agit d’un potentiel colossal pour le gouvernement chinois qui va avoir en face de lui une communauté très large venant du monde entier.
Étant donné que l’application est contrôlée par les autorités du pays, il n’y aura pas la possibilité pour des autorités extérieures de revoir le code de l’application afin de mesurer son risque. Même si elles le faisaient, le gouvernement ayant la main sur la plateforme pourrait effectuer une mise à jour spécifique qui ruinerait tous les efforts de contrôle.
Face à cela, la seule défense est que chacun ait un équipement vierge sans données personnelles. Il servira de support à cette application spécifique même si il y aurait toujours un risque de l’utilisation du traçage de géolocalisation car c’est intrinsèque à l’application.
Il faut être informé des risques. Il y aura toujours à un moment donné un doute de suspicion. La première chose à faire est de garder tous ses équipements à jour et « patché ». Mais, il y aura toujours une fenêtre de risque dans laquelle on va être… Même au meilleur niveau de sécurité de son équipement, la découverte d’une faille 0-click et de son emploi possible par des criminels ou autre peut nous transformer en cible. Du point de vue technique, on est dépendant de la réaction de son fournisseur de plateforme de logiciel face à des attaques.
Concernant les athlètes, la recommandation du FBI est la plus facile à mettre en oeuvre. Si l’application est contrainte par le gouvernement chinois, il faut qu’elle soit utilisée sur un équipement dédié à cela. Il faut être conscient que tout est potentiellement analysé par les autorités chinoises. Il faut connaître le risque d’exposition et comment le risque peut se présenter.
Un autre point à savoir est que l’emploi de sécurisation sur un réseau Wi-Fi comme un VPN est compliqué à Pékin car toute la technologie est sous contrôle du gouvernement. Certains VPN s’ils sont validés par les autorités chinoises sont indirectement transparents pour le gouvernement. En France, si vous vous connectez sur un Wi-Fi public, le VPN est par contre fortement recommandé car tout le trafic va passer par le point d’accès et quelqu’un de mal intentionné pourrait récupérer vos données.
Ces deux sociétés utilisent des failles de l’iPhone liées au module de gestion et de visualisation de pilotage des iMessages permettant d’utiliser le nouveau concept 0-click. La simple réception d’un iMessage malicieux permet d’avoir un premier pas vers une prise de contrôle de l’équipement de façon silencieuse. Aucun signe d’alerte ne remonte à l’utilisateur. Les travaux de laboratoire de Google ont démontré, sur le produit Pegasus de NSO, que cette vulnérabilité est utilisée pour reconstruire à l’intérieur de l’iPhone victime, une architecture comparable à un micro-processeur avec une capacité de programmation et d’activité incroyable. Il y a donc un ordinateur fantôme à l’intérieur de l’iPhone sous contrôle de l’attaquant.
Une fois installé il est possible de tout faire avec l’appareil ! Toutes les fonctions du téléphone peuvent être utilisées sans que cela soit visible pour l’utilisateur. Elles peuvent être détournées pour le bénéfice de l’attaquant et lui apportent un accès au contenu, aux messages et tout ce qui est stocké, mais aussi à l’environnement du téléphone. On peut donc transformer le téléphone en borne de géolocalisation, en micro d’ambiance, voire en caméra espion. Le téléphone est un vrai système informatique sous contrôle de l’iOS du téléphone. Si on construit un logiciel dédié dans l’appareil, on peut se promener dans les albums photos et les envoyer à l’extérieur sans que l’écran s’allume.
Un des objectifs de NSO est de vendre des capacités d’espionnage informationnel. Cela se transforme en espionnage économique ou de type politique voire ils peuvent être détournés contre les propres ressortissants du gouvernement qui a acheté l’outil. Les barrières et la déontologie présentées par NSO sont modifiables et peuvent être contournées facilement. Cela peut être envisagé aussi comme un service supplémentaire vendu par NSO, mais avec une communication qui dit exactement l’inverse pour le grand public voire même pour les autorités publiques qui surveillent NSO.
Lorsque l’on commence à discuter de vulnérabilité et de failles, il y a plusieurs écoles. Une dit qu’il faut faire connaître ces failles pour obliger les fabricants à les corriger, mais ce n’est parfois pas simple. Le fait de les rendre public va les forcer à la correction. Pourtant, des éditeurs peuvent prendre du temps pour mettre le patch à disposition et des équipements resteront sans patch… Ainsi, les équipements resteraient vulnérables à des failles connues et des attaquants pourraient s’y introduire.
Si l’on regarde du côté des États avec la faille Log4j, une faille qui a fait l’actualité entre Noël dernier et le jour de l’an. Elle a été trouvée par un chercheur du cloud Alibaba chinois. La répercussion a été mondiale car tout le monde a été obligé de gérer cette faille. Le chercheur s’est pourtant vu reproché par le gouvernement chinois, et Alibaba par ricochet, de ne pas avoir partagé cette information avec lui. Ce dernier a fortement regretté de ne pas avoir gardé la mainmise sur cette faille de premier plan qui aurait pu être utilisé pour espionner à la demande partout dans le monde en toute discrétion.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !