Sécurité : NSO et Apple continuent leur jeu du chat et de la souris
Toutes les failles de sécurité n'ont pas la même urgence et celles comblées hier par Apple étaient particulièrement graves et surtout utilisées. Tous les systèmes de la Pomme, jusqu'à celui des Apple Watch ont reçu un correctif ciblant deux défauts de sécurité signalés par le laboratoire Citizen Labs de l'Université de Toronto.
Ce dernier s'est fait une spécialité de traquer les failles dénichées par l'entreprise israélienne NSO, et c'est encore vers elle que les chercheurs pointent le doigt.
Leur découverte ne date que de la semaine dernière. On mesure l'urgence et la rapidité d'Apple à intervenir. Alors qu'ils contrôlaient un appareil d'un utilisateur travaillant pour une organisation civile basée à Washington et présente dans d'autres pays, ils ont remarqué la présence de failles activement exploitées dites « zero day » (sans correctif connu) et « zero click » (la cible n'a rien à faire pour voir son appareil infecté).
Le nom de l'organisation et son champ de compétences ne sont pas précisés, par contre le groupe NSO a été immédiatement identifié comme étant à l'origine de cette intrusion. La méthode exploitée pour y parvenir a été baptisée BLASTPASS en référence à Passkit, le framework d'Apple utilisé pour Cartes et Apple Pay.
Le Citizen Lab n'a pas encore publié les détails de la méthode utilisée, la priorité va à la diffusion rapide du correctif. À ce stade, il est simplement indiqué que l'intrusion impliquait la réception, dans Messages, d'une pièce-jointe de type Passkit contenant une image vérolée (peut-être une fausse carte ou billet). La victime n'avait même pas besoin d'interagir avec ce message pour que le malware soit planté dans son téléphone.
Le Citizen Labs ne donne pas non plus de précisions sur les contenus auxquels pouvaient accéder les responsables de cet espionnage. Précédemment les communications et échanges par messagerie pouvaient être récupérés à distance.
NSO a lancé trois nouveaux spywares contre iOS en 2022
Détail important dans cette nouvelle affaire, les vulnérabilités découvertes sont inopérantes lorsque l'utilisateur a activé le "mode d'isolement" d'iOS. Il a été lancé l'année dernière pour limiter drastiquement les points d'entrée possibles sur les iPhone (iOS 16) et Mac (macOS Ventura) de personnes susceptibles, de par leurs activités et engagements, d'être la cible de ces attaques.
Faut-il activer le nouveau mode Isolement pour protéger ses appareils ?
NSO n'a de toute évidence pas freiné ses efforts pour trouver des moyens de piéger des iPhone. D'autres failles avaient été mise à profit l'an passé. Et le tout en dépit d'une plainte déposée par Apple contre cette société en décembre 2021. Aucune nouvelle information sur l'avancée de cette action en justice n'a été donnée depuis.
Apple porte plainte contre NSO, le créateur du spyware Pegasus
Me semble - je me trompe peut-être - que ce n'est pas une première cette utilisation d'iMessage pour véroler iOS et cie, non ?
@Chris K
oui ca me parle ausdi
Non, mais nous on veux
le jailbreak le jailbreak le jailbreak !
@nicopulse
NSO peut sûrement en faire un superbe 🤩
@raoolito
🫣 Oui ! D’ailleurs, je traverserais bien la rue lui faire un bisou, au type qui « relaie » mon iPhone pour m’envoyer un sms… un iMessage, dans la nuit … et si je le recroisait je recommencerais … sûrement si j’étais (comment dire : suicidaire 🦍 !?!?)
@Chris K
Oui, mais il me semble que c’est la première fois que l’utilisateur n’a pas même pas besoin de cliquer sur le lien ou autre.
Oui, il y a déjà eu certains plantage avec des chaînes de caractères spécifique de Messages.
Tout ce qui sert à communiquer entre personnes ou avec des objets peut-être utilisé comme vecteur d’attaque. Je pense notamment au pièce jointe d’un mail à une connexion Bluetooth.
@valcapri
Non, ce n’est pas la première fois. Y a d’ailleurs un lien vers un article plus ancien qui en parle.
Saloperie de NSO
@frankm
Pourquoi donc ?
Est-ce qu’ils inventent les failles de sécurité des OS d’Apple ?
Sinon, à qui la responsabilité de sécuriser ses OS, dont la prétendue imperméabilité est utilisée comme argument de vente ?
Finalement, qui a prétendu mordicus, contre toute évidence, que Pegasus n’avait qu’un impact minime, qui plus est contre des victimes « ciblées » uniquement, à risque du fait même d’être « en vue » et donc exposées ?
@occam
Pourquoi saloperie? Peut-être parce que plutôt que de faire en sorte d’avoir un monde informatique plus sûr, comme le font les ingés qui ont alerté sur cette faille, ils en font un business tout en fermant les yeux sur le fait que certains de leurs clients sont des tueurs ou emploient de tueurs?
Je vous ai connu plus logique…
@House M.D.
J suis d’accord avec vous
@House M.D.
Je suis trouve ça plutôt constructif, cela pousse les constructeurs à corriger plus rapidement les failles car à NSO même si ils décidaient d’arrêter une autre entreprise prendrait le relais ou alors un gouvernent donc….faut arrêter de faire le choqué le monde est ainsi.
@Insomnia
Ce n’est pas une raison pour ne rien dire et considérer ça normal.
@House M.D.
Faudrait peut être arrêter de toujours dire la même chose, Apple n’a qu’à mieux payer les découvreurs de failles et il y aurait moi s de cas de ce genre… c’est beau de crier partout que ios est très sur mais on a vu à plusieurs reprises que c’était pas le cas.
@Insomnia
À force de tout reposer sur le pognon vous ne voyez pas les limites. Si Apple vend des produits, ces entreprise vendent des vies… ou en tout cas leur fin prématurée.
@House M.D.
Si on suit ton raisonnement faudrait supprimer pas mal de chose, d’ailleurs faudrait carrément revenir à l’âge de pierre, c’est le jeu du chat et la souris et ça a toujours exister il faudra t’y faire, si cette entreprise ne le fait pas, se sera une autre ou un groupe de pirate, tu te bat contre du vent. iOS sera jamais sécurisé quoi qu’en dise Apple ou autres.
@Insomnia
Alors déjà on va garder nos distances, ensuite je n’ai pas de leçon à recevoir de vous. Pour finir, si vous vous foutez de tout, heureusement que tout le monde n’est pas comme vous. Il y a des limites à tout, ne vous en déplaise.
@House M.D.
On a du mal à discuter ? Je me fou pas de tout mais faudrait arrêter de râler toujours pour la même chose ça en devient lourd, il y a d’autres de bien plus important que cette entreprise.
@Insomnia
Si on se limitait à ce qu’il y a de plus important à chaque fois, on avancerait pas.
Mais pour être aussi protecteur, vous avez des actions dedans peut-être? Ou utilisateur satisfait pour une quelconque entreprise de morts?
@House M.D.
Le raccourci facile 🫥 si tu ne sais plus quoi dire alors dit le au lieu d’accuser sans preuve 🙄
@House M.D.
...mais qui repose tout sur le pognon ?
Apple n'en est pas la dernière...
@iFredo
Certes, mais entre vendre des produits et vendre l’élimination de personnes, il y a un gap.
@House M.D.
Quelle est la job description de NSO ?
Ils ont juste fait leur job.
Alors que chez Apple, de prime abord, on a misé sur l’exercice de com'. Pour se raviser, vue l’ampleur de l’affaire, tout en intentant un procédure pour la galerie. Sachant les acteurs impliqués, une telle procédure ne peut être que pour la galerie.
Le personnage dont s’inspire votre sobriquet n’aurait pas manqué d’aller au bout de sa logique.
@occam
Il n’empêche que c’est l’un des jobs les plus pourris au monde.
@House M.D.
Don’t feed the Troll 😉
Surtout que celui là est particulièrement affamé 😂
@occam
"Pourquoi donc ?"
——-
Peut-être parce que cet outil peut mettre la vie de certaines des personnes ciblées en danger de mort ?
@MarcMame
"Peut-être parce que cet outil peut mettre la vie de certaines des personnes ciblées en danger de mort ?"
Encore une fois : quelle est la job description de NSO ?
Ils ont juste fait leur job.
Le monde des services secrets et de leurs succursales, officieuses ou non, ne s’encombre pas de bons sentiments. Il est brutal, et parfois il tue. La question est : aux ordres de qui, au profit de qui, et de quoi.
Si l’on veut porter un jugement moral qui vaille, il faut le porter sur les responsables et sur les bénéficiaires. Et se demander sérieusement ce qu’on ferait à leur place, ayant les mêmes responsabilités, disposant des mêmes informations.
On peut traiter de saloperie l’action des gouvernements qui se sont servis de Pegasus et des autres services fournis par des entités comme NSO. Se contenter de pester contre quelques geeks embrigadés est de l’indignation de bas étage.
Je vous ai connu moins bisounours.
@occam
"Encore une fois : quelle est la job description de NSO ?
Ils ont juste fait leur job."
———-
Mon cher Occam. Ce que vous dites là est tout simplement inaudible.
Arrêtons là le débat.
@occam
Mais on ne peste pas contre les développeurs mais contre la société.
@occam
C’est en autre une société privé et légale qui devrait respecter les droits privés, là elle fait du piratage légalisé.
il me semblait que les failles « zero day » étaient exploitées, donc en fait une faille zero day est « seulement » sans correctif connu (on peut quand même partir du principe qu’elle est exploitée)
@raoolito
Bien souvent, même si on dit qu’elle n’a pas été exploitée, c’est juste que l’on ne sait pas si elle a été exploitée ou non.
@valcapri
techniquement toute faille est zero day de base quand elle est decouverte, non?
Malheureusement avec iOS closed source, ces failles vont se multiplier maintenant que les pirates se décident à le cibler. Et le code en objective C n'arrange rien.
@koko256
En parlant de code en Objective C; si les sources du code ne sont pas ouvertes; on part bien de quelque chose d’un tout petit peu informatique, littéralement.
Ou alors, c’est juste un problème de fonctionnement, d’un système, comme n’importe quel autre.
Quelqu'un sait si iOS 15 est touché par cette faille ?
Merci
La ou Apple est à la ramasse c’est sur les MAJ.
J’ai tout en automatique et elle n’est ni installée ni téléchargée…
Or à Tokyo c’est le matin et mon iPhone était branché et connecté toute la nuit!!’
@gillesb14
"La ou Apple est à la ramasse c’est sur les MAJ.
J’ai tout en automatique et elle n’est ni installée ni téléchargée… "
————-
Je suis bien d’accord.
Moi j’ai tout désactivé et pourtant elle se télécharge quand même et me harcèle pour l’installer.
Oulala les méchants marchands d’armes. C’est pas bien du tout . Spoiler : oui. à ce compte là il faut vouer aux gémonies Dassault et son magnifique Rafale qui ô surprise peut larguer des bombes qui tuent des gens, et toute notre industrie qui est la troisième au monde pour vendre des machines à tuer des gens . Au moins NSO ne vend pas des bombes .
@marsnet
"Au moins NSO ne vend pas des bombes ."
———-
Jusqu’à preuve du contraire, les armes meurtrières de Dassault ne ciblent pas spécifiquement des journalistes et autres opposants politiques civils.
@MarcMame:
Jusqu'à preuve du contraire, des polices utilisent NSO pour arrêter autre chose que des opposants et des journalistes.
C'est toujours la même, oui c'est une arme, des bandits l'utilisent oui, mais des gens bien, chargé d'arrêter ces même bandits, aussi.
@debione
"Jusqu'à preuve du contraire, des polices utilisent NSO pour arrêter autre chose que des opposants et des journalistes.
C'est toujours la même, oui c'est une arme, des bandits l'utilisent oui, mais des gens bien, chargé d'arrêter ces même bandits, aussi."
———
Tu peux te le répéter ad libitum, ça ne change rien à ce que j’affirme.
@MarcMame:
Vous affirmez quelque chose "d'absurde". Car, a contrario, NSO non plus ne cible pas spécifiquement les journalistes et opposant.
Les gens qui achètent des iPhones ne se protège de rien, on le sait depuis Snowden. Mieux que cela, le marketing Apple est mensonger, mais cela on le savait depuis longtemps, et les gens qui ont acheté un iPhone pour se protéger, se sont fait avoir par le marketing Apple c'est tout.
Apple fait de bon tel, un bon écosystème, mais c'est un vrai gruyère en terme de sécurité.
@debione
Merci de lire les articles montrant que les polices ont du mal avec le chiffrement des iPhones, voudraient passer des lois,…😉
Snowden a juste démontrer que les USA surveillent tout mais si les US ne savent pas y accéder…
@Krysten2001:
Ce n'est pas un problème de chiffrement, c'est un problème d'argent dépensé... C'est des millions qui doivent être dépensé par ces mêmes gouvernements pour avoir des outils toujours à jour, à même de craquer les appareils électroniques.
Si un gouvernement demande un backdoor, c'est que c'est juste plus facile et moins prise de tête, et ne pas dépendre de l'entente avec un autre pays pour le faire.
Pas du tout que cela pose un problèeme de le faire...
C'est rigolo cette bataille entre des gens qui vendent depuis des années des outils qui hackent avec une facilité déconcertante ce que l'on avait dit inviolable dans les pubs, et les possesseurs de ces mêmes appareils qui pensent que c'est du vent, que ce que dit Apple est vrai... Sauf que les celebrit et autres NSO ont démontré, année après années, que ce marketing est du vent, que leurs solutions sont vendues à tous les amis du pays...
@debione
« le marketing Apple est mensonger »
Spoiler alert :
Vous pouvez enlever le mot Apple de votre phrase…
@Derw:
Pas forcément, puisque seule Apple fait de la sécurité des données un arguments marketing premier....
Je n'ai jamais vu Samsung/Google ou même Microsoft prétendre que ce qui sur, reste sur... Ou les campagnes anxiogènes sur la protection des données de santés...
Même si oui, je comprends votre intervention...^^
@debione
« Même si oui, je comprends votre intervention...^^ »
👍. Oui, mon intervention est sur le marketing, pas sur la sécurité …
@debione
Quelles polices?
@Patrick_C:
Ben genre FedPol (police fédérale), ici en Suisse, ou un de ces agents avait admis il y a quelques années qu'ils utilisaient largement les boitiers de Celebrit.
Pages