Piratage d’iPhone : le logiciel malveillant NSO crée un ordinateur à l’intérieur de votre téléphone

Un malware incroyablement sophistiqué développé par la société de technologie israélienne NSO Group fonctionne en créant un ordinateur entièrement séparé dans la mémoire d’un iPhone, permettant aux attaquants d’espionner et de voler des données

Par Matthieu Sparkes

NSO Group, une entreprise technologique israélienne, a développé des logiciels malveillants pour pirater les iPhones en créant un « ordinateur dans un ordinateur » capable de voler des données sensibles et de passer inaperçu pendant des mois, voire des années, ont révélé des chercheurs de Google.

Le malware fait partie de l’outil logiciel Pegasus de NSO Group, qu’il aurait vendu à des pays tels que l’Azerbaïdjan, Bahreïn, l’Arabie saoudite, l’Inde et les Émirats arabes unis. Les législateurs américains ont a demandé des sanctions contre l’entreprise.

Pegasus permet à un utilisateur de lire les données des smartphones et d’espionner via leurs microphones et caméras. La dernière fonctionnalité de l’outil à émerger publiquement, appelée ForcedEntry, est également l’une des plus puissantes et des plus préoccupantes à ce jour, selon les experts en sécurité.

Les détails techniques ont été démêlé par les membres de l’équipe de sécurité Project Zero de Google avec l’aide du Citizen Lab de l’Université de Toronto au Canada, qui enquête sur la sécurité informatique et son impact sur les droits humains. L’attaque est une vulnérabilité « zéro clic », ce qui signifie que la cible n’a pas besoin d’être amenée à cliquer sur un lien, mettant en danger même les utilisateurs prudents et techniquement avertis.

Un iMessage spécialement conçu est envoyé à l’iPhone de la cible contenant une fausse animation GIF. En raison de la façon dont le logiciel d’Apple gérait ces images, il était possible pour NSO Group de créer un fichier malveillant se faisant passer pour une image et d’exploiter un ancien logiciel pour encoder et décoder des images. Ce logiciel a été conçu à l’origine pour compresser des fichiers PDF contenant beaucoup de texte afin d’économiser de l’espace mémoire. Il est uniquement destiné à avoir accès à des parties spécifiques de la mémoire d’un smartphone et à effectuer des opérations logiques pour compresser les images.

Mais NSO Group a découvert un moyen de sortir de cette partie de mémoire allouée et d’utiliser ces opérations logiques – environ 70 000 d’entre elles – pour construire un ordinateur virtuel rudimentaire, entièrement séparé du système d’exploitation de l’iPhone. Il pourrait ensuite utiliser cet ordinateur virtuel pour rechercher des éléments de données spécifiques, les manipuler ou les retransmettre à celui qui a sanctionné l’attaque.

Alan Woodward à l’Université de Surrey, au Royaume-Uni, affirme que l’astuce est extrêmement sophistiquée et montre à quel point le marché de NSO Group doit être solide et lucratif. « C’est presque comme un téléphone dans un téléphone ou un système d’exploitation dans un système d’exploitation », dit-il. « C’est assez intelligent car cela signifie qu’il est légèrement plus difficile à détecter. Vous ne recherchez pas un processus individuel ou une signature. Vous pouvez le cacher.

Les chercheurs ont révélé la vulnérabilité d’Apple et elle a été corrigée en septembre dans la mise à jour iOS 14.8. Mais Woodward prévient qu’une telle attaque insidieuse, si elle est menée avant cette mise à jour, pourrait théoriquement persister et continuer à espionner l’utilisateur. Certains utilisateurs ne parviennent pas non plus à maintenir leurs téléphones à jour avec le dernier système d’exploitation, ce qui pourrait les rendre vulnérables.

Apple n’a pas répondu à une demande de commentaire, mais la société annoncé en novembre qu’il lançait une action en justice contre NSO Group pour empêcher l’entreprise de pirater ses produits. Facebook, Microsoft, Google et LinkedIn avait déjà engagé une action en justice. NSO Group n’a pas répondu à une demande de commentaire.