Extrait de l'émission CPU release Ex0217 : Ex0217 lost + found (janvier 2024).
Parlons d'un malware sur iPhone.
Et avant tout, on rappellera qu'il y a différents types de malwares : ceux qui volent par exemple vos informations bancaires, ceux qui utilisent vos comptes type réseaux sociaux pour envoyer du spam, et les cryptolockers qui exigent le paiement d'une rançon. Là, on est dans du bien moins spectaculaire, mais aux effets nettement plus dévastateurs. Oui, c'est possible.
Et sur le malware dont je vais parler, l'attaque pour l'installer est tellement sophistiquée qu'il a demandé un investissement assez conséquent pour sa conception. On peut donc dire que ce n'est pas le malware que vous trouverez forcément dans votre smartphone au détour d'un site douteux ; mais de toute évidence d'un outil de pénétration industriel de qualité militaire, qui utilise une combinaison assez inédite de bugs dans le kernel d'iOS, dans le rendu des textes sur Mac et iPhone, dans le navigateur web Safari, dans le Javascript d'Apple, et même dans le CPU system-on-a-chip spécifique aux iPhone d'Apple.
Ça vous semble tiré par les cheveux comme un scénario de James Bond ? Alors on va donner à sa découverte un nom digne d'un film de James Bond : « Operation Triangulation ».
Nous parlons ici d'une attaque qui utilise des failles non encore divulguées, non encore connues par les développeurs légitimes et donc non encore bouchées, ce que l'on appelle un ZDE (Zero Day Exploit, aussi écrit 0-day exploit). En général, ces failles sont découvertes par des équipes de hackers extrêmement aguerries, qui mènent un réel travail de R&D (recherche et développement). C'est un travail long et fastidieux, qui demande du temps et de l'expertise.
Et y'a un marché pour ça : une faille 0-day nouvellement découverte se revend entre des dizaines de milliers d'euros jusqu'à des millions, en fonction de sa criticité, de la sécurité de la plateforme cible et de sa popularité.
Par exemple, le groupe russe Operation Zero annonce pouvoir mettre jusqu'à 2.5 M$ pour un seul 0-day exploit sur iPhone qui permettra de lancer un script avec des droits privilégiés. (Oui, j'ai vérifié la mise à prix). À ce prix-là, l'exploit ne doit pas demander d'interaction par l'utilisateur légitime, ni montrer la moindre modification de comportement perceptible.
Pour ce malware dont on parle dans Operation Triangulation
, on en a cumulé plusieurs.
Qui peut se permettre d'investir plusieurs dizaines de millions d'euros dans un tel logiciel ? En général, ce ne sont pas les groupes mafieux, mais plutôt les industriels de la surveillance, la police ou l'armée de certains états. Ces entités qui ont des existences légales se retrouvent dans des salons très officiels pour signer des contrats de licence où l'on ne lit pas le terme logiciel espion
, mais implant
.
Et évidemment, un tel outil extrêmement précieux ne reste fonctionnel que tant que les failles sur lesquelles il repose passent inaperçues. Donc on ne va pas s'en servir à tout bout de champ, mais on va fortement limiter ses cibles. En général, pas plus d'un millier de personnes pour ce type d'outil d'intrusion.
Donc, si vous êtes victime de ce type d'attaque c'est que vous êtes une personne qui intéresse. Et croyez-moi, cela veut dire que vous êtes un opposant à une dictature ou un industriel ultra-important.
Revenons sur ce malware :
Pour commencer, les appareils cibles : les iPhone. Les smartphones d'Apple ont une réputation de sécurité.
À mon avis, cette réputation est un peu exagérée, car la sécurité en question est plus pour protéger le business model d'Apple que la vie privée de ses utilisateurs.
Exemple tout récent : Les autorités de Pékin ont reconnu exploiter une faille dans AirDrop depuis 5 ans. AirDrop est une fonctionnalité qui permet de partager via un réseau wi-fi théoriquement anonymisé un chat texte ou des documents, donc c'est une fonction très utilisée par les opposants à Hong-Kong ou dans la province du Ouïghour. Je dis théoriquement
puisqu'une faille divulguée publiquement depuis 5 ans montre qu'on peut identifier quel iPhone, donc quelle personne met à disposition ces documents. 5 ans qu'Apple est au courant de cette faille, pourrait facilement la combler, mais s'ils ne le font pas, cela montre qu'ils se soucient assez peu des opposants politiques dans certaines dictatures.
Par contre, strictement hors de question de permettre de détourner la bibliothèque de DRM, d'installer un autre magasin d'apps que celui d'Apple ou même un vrai navigateur web autre que Safari. Là, à la moindre faille, Apple patche dans la semaine.
Ensuite, il faut parler des personnes qui ont été ciblées et où a été découverte cette attaque : Kaspersky, l'éditeur d'antivirus basé en Russie, une des solutions antivirales des plus utilisées dans le monde.
Que les principaux virus soient testés sur les antivirus est une évidence depuis une vingtaine d'années. Ça ne sert à rien d'envoyer votre belle saloperie si elle n'arrive pas à avoir une réelle viralité. Mais là, on l'a dit, moins ces failles sont exploitées, plus elles restent utilisables longtemps. Tenter d'infecter des ordinateurs ou des smartphones de spécialistes en sécurité, c'est risquer d'être repéré, et donc de se faire chopper et de perdre un outil qui vous a coûté plusieurs dizaines de millions de dollars.
C'est exactement ce qui s'est passé, via des analyses de trafic sortant heuristiques.
Bam.
Donc fin décembre 2023, a lieu à Hambourg l'annuel CCC, le Chaos Communication Congress, le plus grand événement de hacking d'Europe avec des conférences toutes aussi passionnantes les unes que les autres.
Et dans le programme, Kaspersky apparaît au planning avec une conférence titrée Operation Triangulation
. Plusieurs communiqués de presse de la part de Kaspersky, d'Apple et d'organisation de protection de la vie privée parlaient de failles importantes et sophistiquées depuis un semestre, donc inutile de vous dire que la salle était archi-pleine.
Durant cette conférence disponible en vidéo, 3 ingénieurs de Kaperspky, oct0xor, kucher1n et bzvr_ ont détaillé leur Operation Triangulation
, ou comment ils ont découvert, démonté, analysé et fait patcher par Apple l'attaque la plus sophistiquée à ce jour sur iPhone, clairement ciblée contre un constructeur mondialement connu d'antivirus. Ça dure 1 heure, c'est hyper technique et c'est une succession de claques à chaque découverte de cette suite logicielle malveillante d'une qualité militaire. 3 hackers qui ont passé 6 mois à décortiquer l'un des outils d'attaques des plus complexes sur une plateforme que vous pourriez croire sécurisée, et où on découvre qu'Apple a fait des gaffes monumentales de développement, vous avez une idée de l'histoire.
Et tout commence par une alerte d'un proxy des bureaux de Kaspersky, qui signale un trafic suspect vers un site web bizarroïde. Déjà, il leur a fallu comprendre si le fait que le site ne réponde pas de la même manière selon comment il était appelé est normal. Ensuite, trouver quels iPhone généraient ce trafic incongru. Puis déterminer s'il s'agit bien d'un logiciel malveillant. L'analyser, trouver comment duper ce malware pour qu'il s'exécute dans un environnement isolé, attraper ses bouts de code. Et enfin comprendre ce qu'il fait exactement, car on tombe dans des fonctions systèmes jamais documentées.
Oui, la chasse au malware est un jeu de patience, d'intrigue, d'appeau et de faux-semblants où toute l'action se joue à petits pas et à très grandes suées. C'est comme le déminage : courir dans le champ miné n'est pas la meilleure solution.
Et voici comment ce malware arrive à infecter un iPhone :
L'infection commence par un iMessage qui comporte un document PDF, qui joue le rôle ingrat du cheval de Troie. Dans ce PDF, vous avez une police de caractère au format TTF (TrueType Font). Cette police comporte une extension propre à Apple, créée en 1990 et très peu documentée, qui de mémoire servait à ajuster le rendu des courbes sur certains écrans… De là, l'interpréteur TTF permet de joindre l'interpréteur Javascript de WebKit, le moteur de rendu web. Par l'abus de ce Javascript propre à Safari (et là, Apple aurait mieux fait de ne plus bloquer les autres navigateurs web), le cheval de Troie arrive à profiter d'une implémentation de sécurité dans le kernel système qui aurait mieux fait d'être audité par des équipes externes à Apple plutôt qu'avoir son code source caché. Et de là, le code malveillant joue dans des adresses mémoires bizarres de la puce system-on-a-chip Bionic A12 jusqu'au A16, documentées nulle part mais qu'on retrouve aussi sur M1 et M2 des Mac, pour accéder au reste du matériel et notamment abuser la partie du chipset de l'iPhone qui sert théoriquement à bloquer les programmes non-Apple.
Ça, c'est uniquement pour le chargement du malware. Après, il y a la charge active.
Mais déjà, imaginez : rien que la faille TTF joue sur une segment réservé
par Apple dans la police de caractère, réservée
donc jamais décrite, qui est exécutée par une portion de code jamais divulguée depuis 1990, et probablement mal maintenue. Si ces deux informations avaient été publiques et détaillées, elles auraient été auditées de très longue date, et des bugs auraient été évités. Donc, la sécurité des produits Apple ne vise pas à protéger le client, mais en priorité la propriété intellectuelle d'Apple.
Comme je l'ai dit, la sophistication de ce genre d'attaque ne cible pas n'importe qui. Kaspersky est un éditeur d'antivirus basé en Russie, ce qui en fait une cible potentielle aussi bien d'acteurs occidentaux que de leur propre pays et des groupes mafieux sévissant dans la délinquance informatique. Être employé chez eux vous garantit de ne jamais manquer de menaces sur votre personne.
Revenons au malware : une fois le cheval de Troie ayant chargé l'implant logiciel actif, le malware va espionner discrètement de différentes manières. Par exemple, il va activer le micro, mais attention, uniquement quand l'écran de l'iPhone est éteint. Ben oui, car Apple a récemment eu l'idée intelligente de signaler par une notification visuelle quand le micro du smartphone est actif. Sauf que si l'écran est éteint, ben c'est ni vu ni connu.
Vous imaginez les potentialités d'un tel agent dormant sur l'iPhone de Thierry Breton quand il va décider de sanctions contre des géants économiques ou sur celui de Volodymyr Zelensky quand il participe à une réunion de son état-major. Oui, la guerre numérique est là et le moindre maillon faible peut faire des ravages.
Le niveau des exploits, le nombre de failles impliquées et le fait que certaines semblent dues à des fonctions de débugage mis en place dans le dos d'Apple et jamais retiré par un sous-traitant, c'est… époustouflant. Et donc la recherche, le temps et les moyens mis pour arriver à des exploits utilisables via ces failles.
On parle de boites militaires qui vendent des kits d'effractions… et ces acteurs malicieux ont visiblement mis tellement de contre-mesures, de détections pour vérifier que leurs attaques tournent bien sur de vrais iPhones, qu'évidemment, la tâche pour les débusquer en action est encore plus ardue.
Les types qui ont conçu cette suite logicielle malveillante sont des furieux, des génies du Mal, des macophiles… c'est dire !
On vous renvoie sur la conférence Operation triangulation
, et pour ceux qui n'aiment pas le format, qui le trouvent trop technique ou sont trop pressés pour y consacrer une heure, on cite la conclusion de ses trois auteurs :
- Collectez (et vérifiez) les journaux de trafic réseau aussi bien chez vous qu'à votre bureau !
- La sécurité par l'obscurité ne marche pas !
- Les malwares en sauront bientôt beaucoup sur vous en très peu de temps grâce au machine learning dans votre smartphone !
Un point à noter qui n'est abordé que dans la partie questions du public de la conférence : l'exploit n'est pas persistent, vous ne trouverez pas le malware dans le système de fichiers de votre iPhone puisqu'il ne réside qu'en RAM, ou alors, vous aurez des traces tellement subtiles qu'il faut savoir ce que l'on cherche. Mais du coup, le malware ne survit pas à un reboot du smartphone. C'est pour ça que depuis un an, il nous est recommandé de régulièrement rebooter son smartphone aussi bien sous iOS que sous Android. Ce qui vous protègera jusqu'à la tentative suivante par le même virus. Et si quelqu'un a payé suffisamment cher pour vous attaquer avec un tel soft, bien la tentative suivante arrivera très très vite.
Concernant Operation Triangulation
, les 4 failles directement identifiées ont été rebouchées entre Juillet et Septembre dernier, je vous épargne la lecture de leur référence CVE ( CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 et CVE-2023-41990, allez voir sur cve.mitre.org)
Qui a découvert ces failles et les a revendues ? On ne sait pas qui.
Qui a construit ce malware ? On ne sait pas qui.
Qui s'en sert ? On ne sait pas qui
Mais, outre le rebouchage des trous de sécurité, il est important de continuellement dénoncer ces armes numériques extrêmement intrusives, pour justement rendre leur usage aussi immoral et criminel que les mines antipersonnelles.
Car il ne faut surtout pas qu'elles se banalisent justement vers des acteurs mafieux beaucoup plus communs.
Textes : Da Scritch.
Voix complémentaire : NoCoGabriel.
Illustrations musicales : Générique de la série « Person of interest », D.R. / Habillage musical du 27C3, CC-BY-SA-NC CCC.
Illustration : Square versus triangle rigidity, extrait, CC-By Megan Beckett