Un mystérieux malware espion a été repéré sur les iPhone des employés de Kaspersky. Déployé par le biais d’iMessage, ce redoutable virus est capable de voler vos données sensibles et d’enregistrer toutes vos conversations par le microphone…
Kaspersky, la célèbre société de cybersécurité russe qui édite l’antivirus du même nom, a été victime d’une importante cyberattaque. Dans un billet publié sur son blog, Eugene Kaspersky, le fondateur de l’entreprise basée à Moscou, révèle que cette « cyberattaque extrêmement complexe » visait les iPhone de ses employés. Des cadres dirigeants ont notamment été pris pour cible.
Triangulation, le spyware qui se propage via iMessage
Les attaquants sont parvenus à injecter un malware sur les iPhone en passant par iMessage, la messagerie instantanée d’Apple. Le logiciel malveillant, baptisé Triangulation par Kaspersky, était contenu dans une pièce jointe invisible glissée dans un simple message. Toute l’opération se déroule à distance, à l’insu de l’utilisateur, en exploitant des brèches dans la sécurité d’iOS, indique Kaspersky. Il s’agit d’une faille zero click : la victime n’a même pas besoin de faire quoi que ce soit pour que le malware se déploie sur le terminal. Le mode opératoire se rapproche de celui de Pegasus, le virus espion du groupe israélien NSO. Le message initial, à l’origine de l’attaque, et la pièce jointe, sont automatiquement effacés une fois que le virus a été implanté.
Une fois infiltré sur l’iPhone de ses victimes, le maliciel va transmettre « des informations privées à des serveurs distants ». Le malware collecte les photos issues de la messagerie, la géolocalisation de l’appareil et « un certain nombre d’autres activités du propriétaire de l’appareil ». Surtout, Triangulation active le microphone et se met à enregistrer les conversations aux alentours. Les enregistrements audio sont ensuite récupérés et transmis sur des serveurs. Après un redémarrage, le logiciel disparaît pendant un temps, avant de revenir en force et de poursuivre l’aspiration des données.
Les mécanismes de sécurité de Kaspersky ont fini par identifier la présence d’un spyware en repérant une anomalie sur le réseau Wi-Fi en provenance de la dizaine d’iPhone infectés. Après avoir mené une enquête approfondie, les chercheurs se sont rendus compte que Triangulation est en activité depuis au moins quatre ans. Les premières traces du virus remontent en effet à 2019. Sur ce laps de temps, une montagne d’informations confidentielles a pu être volée.
iOS, le refuge parfait pour les spywares ?
Pour Eugene Kaspersky, l’attaque a été facilitée par l’approche fermée d’Apple. Contrairement à Android, iOS est un système d’exploitation complètement fermé et cadenassé, une véritable « boîte noire » pour le fondateur de Kaspersky. De fait, un virus discret peut se cacher au sein de l’OS mobile d’un appareil pendant une longue période. C’est « le refuge idéal pour les logiciels espions », tacle l’expert, estimant que les usagers associent par erreur sécurité et « opacité complète du système » :
« Ce qui se passe réellement dans iOS est inconnu des experts en cybersécurité. L’absence d’informations sur des attaques n’indique pas du tout l’impossibilité des attaques elles-mêmes ».
Afin de se débarrasser de Triangulation, il faut impérativement dire adieu des données stockées sur l’iPhone. Pour nettoyer les appareils infectés, Kaspersky a été contraint de passer par une réinitialisation aux paramètres d’usine, et l’installation de la dernière mise à jour d’iOS. En effet, la dernière version touchée par la faille est iOS 15.7. Pour vous protéger, on vous recommande de passer à iOS 16, si votre iPhone est compatible avec la mise à jour de l’OS.
Pour le chercheur russe, l’attaque, dont Kaspersky « n’était pas la cible principale », a été financée par une entité disposant de moyens conséquents, comme un gouvernement. Peu après la révélation de Kaspersky, le Centre National de Coordination des Incidents Informatiques de Russie a d’ailleurs pointé du doigt l’Agence de Sécurité Nationale américaine (NSA) dans un communiqué.
D’après les autorités russes, l’offensive contre Kaspersky fait partie d’une vaste opération d’espionnage ayant touché plusieurs milliers d’iPhone. Grâce à une faille zero-day, la NSA aurait disséminé des logiciels espions sur les appareils de nombreux citoyens russes. Des individus en « missions diplomatiques » ou liés aux ambassades russes situées dans des pays membres de l’OTAN, en Israël, en Syrie, en Chine, en Asie du Sud et dans des anciennes républiques soviétiques, ont été touchés.
Apple dément toute collusion avec la NSA
Pour l’organisme russe, successeur du KGB, Apple s’est associé à la NSA pour orchestrer la campagne. L’entreprise californienne offrirait à l’agence « un large éventail de possibilités » pour surveiller et « contrôler toutes les personnes d’intérêt pour la Maison Blanche, y compris leurs partenaires dans les activités anti-russes, et leurs propres citoyens ». Apple est rapidement monté au créneau pour nier toute implication dans l’affaire. La firme assure n’avoir jamais « travaillé avec un gouvernement pour insérer une porte dérobée dans un produit Apple et qu’elle ne le fera jamais ».
source : 01net