Sécurité iPhone et piratage via malware sophistiqué découvert par Kaspersky

Jul 9, 2024

Sécurité iPhone et piratage via malware sophistiqué découvert par Kaspersky

Introduction

  • iPhone et vulnérabilité: Possibilité de pirater un iPhone sans toucher l’appareil, uniquement avec le numéro de téléphone.
  • Exploitation: Micro, localisation, contacts, mots de passe, messages siphonnés en continu.
  • Découverte par Kaspersky: Les chercheurs de Kaspersky ont été victimes et ont révélé cela dans une conférence et des articles.
  • Objectif de la présentation: Rendre les concepts techniques accessibles et se concentrer sur les points les plus intéressants.

Intervention de Matis Amel

  • Consultant en cybersécurité: Conseillé de suivre sur Twitter ou Twitch.

Problème des données personnelles

  • Sponsor: Incogny, service pour protéger les données personnelles.
  • Récolte de données par les sites web: Nom, emails, activité en ligne, numéro de téléphone, adresse, etc.
  • Courtiers en données: Entreprises spécialisées dans le profilage commercial qui revendent les données.
  • Protection des données en Europe: RGPD et droit à l’oubli, démarches longues et complexes pour la suppression des données.
  • Service Incogny: Prend en charge la suppression des données et empêche leur revente.
  • Avantages d’Incogny: Gain de temps et d’énergie.

Détection et Analyse du Malware par Kaspersky

Contexte

  • Lieu: Locaux de Kaspersky à Moscou, fin 2022.
  • Équipe impliquée: Great team, spécialisés dans les APT (groupes de hack les plus dangereux).
  • Détection initiale: Activité suspecte du trafic réseau Wi-Fi.
  • Premier indice: Trafic vers des domaines inconnus avant chaque requête iMessage.

Techniques d’investigation

  • Mode contre-espionnage: Éviter discussions verbales, analyse des iPhones en isolation grâce à des boîtes de Faraday.
  • Backup iTunes: Copie parfaite du contenu iPhone, analyse de dossiers de pièces jointes vides.
  • Processus suspect: backup_agent observable dans les logs réseau.
  • Man-in-the-middle proxy: Interception du trafic pour identifier les requêtes et les données échangées.

Modus Operandi du Malware

  • Pièce jointe initiale: Reçue via iMessage et immédiatement supprimée après exploitation.
  • iMessage et chiffrement: Messages fortement chiffrés, mais les pièces jointes moins protégées.
  • Faille Zero-day: Exploitation d’une faille TrueType dans un format de police des années 80.
  • Obfuscation du code: Code rendu illisible pour éviter une rétro-ingénierie facile.

Détails des Exploits

  • Débordement d’entier (Integer Overflow): Conduit à l’accès complet à la mémoire physique de l’iPhone.
  • Adresses mémoire spécifiques: Utilisation de 6 adresses inconnues, potentiellement réservées pour du débogage chez Apple.
  • Compromission totale: Exécution de code avec des permissions root.

Intention des Hackers

  • Validateurs: Scripts pour vérifier le type de matériel infecté avant l’attaque finale.
  • Non-persistant Malware: Le malware disparaît après un redémarrage d’iPhone.

Impact et Conséquences

  • Exploitation de photos via machine learning: Utilisation des tags de photos pour filtrer les données sans extraire chaque photo individuellement.
  • Possible comparaison à Pegasus: Puissant et indétectable, mais origine et responsables inconnus.
  • Faisabilité économique: Chaîne d’attaque estimée à plus de 10 millions de dollars.
  • Réaction de Kaspersky et des autorités: Aucun acteur nommé, possibilité d’implication étatique, dénégations d'Apple et NSA.

Conclusion

  • Impact sur la communauté tech: Grandes implications mais peu de bruit médiatique en dehors de la sphère tech.
  • Mystère persistant: Beaucoup de questions restent sans réponse, notamment sur les responsables et les cibles spécifiques.
  • Actions entreprises: Mise à disposition d’un outil par Kaspersky pour analyser des backups iTunes et vérifier l’infection.
  • Commentaires d’Apple: Refus de toute collaboration avec les gouvernements pour insérer des failles.