Le Project Zero and Threat Analysis Group (TAG) de Google a présenté ses conclusions sur les activités d’un fabricant italien d’applications d’espionnage nommé RCS Labs. Ce n’est pas aussi important en termes d’échelle ou de portée que le groupe israélien NSO et son logiciel espion propriétaire Pegasus. Néanmoins, il existerait depuis quelques années et aurait été utilisé sur des personnes en Italie, au Kazakhstan et en Syrie. Même si le nom de votre pays ne figure pas sur la liste, sachez que TAG suit actuellement plus de 30 fournisseurs de logiciels pour espionner un téléphone qui se sont développés en un écosystème à part entière et prêtent leurs services aux gouvernements du monde. Alors, comprenons comment ces choses fonctionnent.
Comment fonctionnent les logiciels espions Android et iOS de RCS Labs ?
Le logiciel espion sera masqué comme une fausse application My Vodafone qui est transmise aux utilisateurs via un lien SMS et ils sont amenés à installer l’application. Eh bien, pour les convaincre, les attaquants ont parfois demandé aux FAI de déconnecter d’abord les données mobiles, puis leur ont demandé d’installer l’application My Vodafone particulière pour restaurer les services.
L’application semble légitime et le chargement latéral fonctionne car il a été connecté via le programme de développement d’entreprise d’Apple. Apple a cependant révoqué tous les certificats et comptes liés à cela maintenant.
Parlant de sideloading, Apple a déclaré: «Les certificats d’entreprise sont destinés uniquement à un usage interne par une entreprise et ne sont pas destinés à la distribution générale d’applications, car ils peuvent être utilisés pour contourner les protections App Store et iOS. Malgré les contrôles stricts et l’échelle limitée du programme, des acteurs malveillants ont trouvé des moyens non autorisés d’y accéder, par exemple en achetant des certificats d’entreprise sur le marché noir.
Apple a également corrigé les exploits utilisés par les mauvais acteurs pour se faufiler dans les iPhones de la victime.
Selon Ian Beer, membre de Project Zero, les exploits ont réussi en premier lieu, grâce au nouveau “système sur puce” et aux “coprocesseurs” utilisés dans les iPhones récents, ce qui est également utilisé par les téléphones Android.
Pendant ce temps, Benoit Sevens, membre du TAG, a fait remarquer: «L’industrie de la surveillance commerciale bénéficie et réutilise les recherches de la communauté des jailbreakeurs. Dans ce cas, trois des six exploits proviennent d’exploits de jailbreak publics. Nous voyons également d’autres fournisseurs de surveillance réutiliser des techniques et des vecteurs d’infection initialement utilisés et découverts par des groupes de cybercriminalité. Et comme d’autres attaquants, les fournisseurs de solutions de surveillance utilisent non seulement des exploits sophistiqués, mais aussi des attaques d’ingénierie sociale pour attirer leurs victimes. »
Un autre employé de TAG, Clément Lecigne, a déclaré à WIRED que « ces fournisseurs permettent la prolifération d’outils de piratage dangereux, armant les gouvernements qui ne seraient pas en mesure de développer ces capacités en interne. Mais il y a peu ou pas de transparence dans ce secteur, c’est pourquoi il est essentiel de partager des informations sur ces fournisseurs et leurs capacités. »
Nous sommes d’accord et apprécions Google et les autres parties impliquées dans la découverte de ces vulnérabilités. Maintenant, si vous possédez un iPhone ou d’ailleurs n’importe quel appareil informatique, il vous est conseillé de maintenir leur logiciel à jour.
