Cybercriminalité: Selon Google, des iPhone ont pu être piratés pendant des années

Des chercheurs en cybersécurité ont révélé que des sites vérolés permettaient d’installer discrètement un logiciel espion dans les iPhone des victimes. L’opération a duré plus de deux ans.

Une immense, et très discrète, opération de piratage. Jeudi soir, des chercheurs appartenant à Project Zero, une équipe d’experts en cybersécurité employés par Google, ont révélé une série de cyberattaques visant plus particulièrement les iPhone. D’après eux, une «petite collection de sites Internet vérolés» étaient utilisés afin de pirater des téléphones. «Les pirates ne visaient pas une personne en particulier ; il suffisait de visiter ces sites afin qu’un smartphone soit attaqué et, si l’opération était réussie, y installer un logiciel espion», explique Ian Beer, l’un des chercheurs à l’origine de cette découverte, qui parle d’une attaque «massive».

Une fois injecté avec le logiciel malveillant, un iPhone était alors vulnérable à plusieurs sortes d’espionnage. Sa localisation était connue, ainsi que les mots de passe utilisés sur les différentes applications de la machine. Les pirates pouvaient également récupérer leurs historiques de discussions (touchant également des services chiffrés, comme WhatsApp ou iMessage, par exemple) ou leurs contacts.

Le problème a été réglé

Ce piratage à grande échelle était possible grâce à deux sources de vulnérabilité. La première, au niveau des sites piratés, a exploité une technique dites de «watering hole» (le point d’eau, en français). Cette technique consiste à infecter un groupe d’internautes en visant des pages Web qu’ils ont l’habitude de fréquenter. Habituellement, elle est plutôt utilisée pour cibler des groupes en particulier, à des fins d’espionnage, plutôt que de viser largement les internautes, comme cela semble avoir été le cas pour cette attaque.

La seconde vulnérabilité touche plus particulièrement aux iPhone. D’après les chercheurs de Google, iOS, le système d’exploitation mobile d’Apple, ainsi que Safari, son navigateur Web, étaient victimes de failles inconnues de la marque jusqu’ici. En cybersécurité, on appelle ça une «vulnérabilité 0-day», c’est-à-dire une faille qui est inconnue d’une entreprise, et donc qui n’a jamais eu l’occasion d’être corrigée.

Dans le cas d’Apple, de telles vulnérabilités sont relativement rares, car la marque exerce un contrôle strict sur son écosystème. Les chercheurs de Google ont au total repéré 14 failles et 5 «chaînes» de vulnérabilités (une suite de bugs) portant sur des versions d’iOS allant d’iOS 10 à iOS 12, sa plus récente. Apple a depuis réglé ces problèmes de sécurité, et ce depuis le mois de février.

Cependant, d’après Google, l’opération a duré pendant trente mois. Les chercheurs ont par ailleurs laissé des parts d’ombre dans leurs révélations. On ignore le nom des sites concernés ; on sait seulement qu’ils recevaient «des milliers de visiteurs chaque semaine». Les chercheurs ne cherchent pas non plus à désigner qui aurait pu mener une telle attaque d’ampleur. Enfin, on ignore, au total, combien de smartphones ont été touchés par cette attaque.