Des experts en sécurité ont découvert une campagne de piratage d’iPhone contre la société de sécurité russe Kaspersky, qualifiée de « exploit le plus sophistiqué jamais réalisé ».

faille iPhone, attaque iPhone, exploit iPhone

L’attaque Operation Triangulation impliquait une série complexe d’exploits, notamment une attaque iMessage zéro-clic, ciblant iOS jusqu’à la version 16.2. L’attaque commence par une pièce jointe iMessage malveillante qui exploite une instruction de police TrueType non documentée, conduisant à l’exécution de code à distance.

Selon Boris Larin, chercheur chez Kaspersky, la chaîne d’exploitation intégrait plusieurs techniques telles que la programmation orientée retour/saut, l’obfuscation JavaScript et la manipulation de JavaScriptCore et de la mémoire du noyau.

Un élément clé de l’attaque consistait à utiliser des contrôles matériels spéciaux (registres MMIO) pour contourner la couche de sécurité Page Protection d’Apple. Tout cela a été réalisé grâce à des exploits spécifiques, suivis comme CVE-2023-41990, CVE-2023-32434 et CVE-2023-38606 dans la base de données des bugs de sécurité.

En exploitant ces failles, les attaquants pourraient accéder à toute la mémoire de l’iPhone et obtenir un contrôle total pour effectuer des actions supplémentaires telles que l’envoi d’enregistrements de microphone, d’images, d’informations de localisation et d’autres données sensibles à ses serveurs.

L’une de ces vulnérabilités, CVE-2023-38606, s’est avérée particulièrement sensible car elle permettait aux attaquants de contourner la sécurité supplémentaire des iPhone les plus récents. Tout cela a été réalisé en envoyant des données à certaines parties de la mémoire de l’iPhone à l’aide de parties cachées des puces Apple, probablement destinées à vérifier et à résoudre les problèmes.

attack chain iphone 2023

Les chercheurs ont découvert ces pièces cachées connectées au processeur graphique de l’iPhone. Lorsqu’ils ont tenté d’y accéder, le processeur graphique est tombé en panne, confirmant qu’ils faisaient partie de l’attaque.

Un contrôleur particulier, numéroté 0x206040000, était vital car il était utilisé au début et à la fin de l’attaque. Cela suggère qu’il a été utilisé pour activer ou désactiver une fonctionnalité matérielle particulière ou pour gérer les alertes lors de l’attaque.

Apple a résolu le problème de sécurité en mettant à jour la carte interne de l’appareil (appelée arborescence des appareils) pour reconnaître et contrôler l’accès à des zones de mémoire spécifiques, en particulier les plages 0x206000000-0x206050000 et 0x206110000-0x206400000, qui étaient utilisées à mauvais escient lors de l’attaque.

Le système de l’appareil (XNU) utilise cette carte pour décider d’autoriser ou non l’accès à certaines parties de sa mémoire. Chaque zone de la carte est clairement étiquetée pour indiquer de quel type de stockage il s’agit et à quoi elle sert.

Comment se défendre contre l’attaque de l’Opération Triangulation ?

Même s’il est impossible de se protéger contre une attaque Zero Day, les utilisateurs d’iPhone peuvent néanmoins prendre plusieurs mesures pour atténuer les risques. Cependant, dans ce cas-ci, il s’agissait d’une attaque ciblée visant les employés de Kaspersky.

La mise à jour d’iOS vers la dernière version est cruciale, car elle inclut des correctifs pour les vulnérabilités de sécurité connues. Les utilisateurs doivent prêter attention aux messages reçus sur iMessage, surtout s’ils proviennent de sources inconnues, en évitant de cliquer sur des liens suspects ou de télécharger des pièces jointes.

L’utilisation de mots de passe forts et uniques et l’activation de l’authentification à deux facteurs pour votre identifiant Apple ajoutent une couche de sécurité supplémentaire. De plus, des sauvegardes régulières des données de l’iPhone peuvent atténuer les dommages en cas d’attaque.

Enfin, Apple a ajouté une fonctionnalité appelée « Mode d’isolement » sur iPhone, Mac et iPad dans iOS 16, macOS Ventura et iPadOS 16. Il s’agit d’une fonctionnalité de sécurité conçue principalement pour les personnes de haut niveau qui pourraient être la cible de cyberattaques sophistiquées.

La fonctionnalité n’est pas destinée à un usage quotidien en raison de son caractère très restrictif, qui limite considérablement les fonctionnalités de l’appareil.

Partager un commentaire