Apple est confrontée à une nouvelle menace pour la sécurité en raison d’un nouvel outil vendu par la société israélienne NSO Group. Avec cet outil, il est possible de collecter des données à partir de la mémoire interne du téléphone, mais également celles stockées sur iCloud et d’autres services en ligne.

Outil de NSO Group, collecte de données iCloud

La vulnérabilité exploitée par les logiciels espions Pegasus affecte à la fois l’iPhone et iCloud. Les appareils Android et les services Google ne sont pas épargnés non plus. Même sort pour les applications tierces qui « communiquent via des connexions sécurisées et cryptées ».

NSO Group vend cet outil aux gouvernements qui utilisent ces logiciels espions pour enquêter sur certains crimes. Seulement, il est à craindre que certains pays utilisent Pegasus pour surveiller des cibles et des citoyens en particulier.

La nouvelle version du logiciel est probablement capable d’acquérir et de cloner les jetons d’authentification utilisés dans des services tels que iCloud. Ainsi, l’outil parvient à créer une attaque de type « man-in-the-middle » et à simuler le périphérique utilisateur cible. Ensuite, il ne lui reste plus qu’à télécharger les données souhaitées du serveur source. Et tout ça en faisant des demandes qui semblent provenir du téléphone source.

Le piratage fonctionne sans que l’utilisateur le remarque. De plus, il ne nécessite pas d’authentification à 2 facteurs ni à aucun type d’e-mail de confirmation. Non seulement les iPhone, mais aussi les smartphones Android et PC sont exposés.

Une faille bientôt maîtrisée ?

Apple n’a pas nié l’existence de cet outil : « Il se peut qu’il existe des outils très coûteux qui lancent des attaques ciblées sur un nombre très limité d’appareils. Nous pensons que ce ne sont jamais des attaques généralisées contre les consommateurs. »

En effet, l’utilisation de Peagus nécessite probablement un coût si élevé qu’elle a une diffusion très limitée. Néanmoins, les différentes entreprises technologiques impliquées travaillent déjà pour comprendre la source de la vulnérabilité.

Partager un commentaire