Transcript for:
Sécurité iPhone et piratage via malware sophistiqué découvert par Kaspersky

cet iPhone pourrait être piraté sans que je le sache mon micro mes données de localisation tous mes contacts mot de passe ou même mes messages tout pourrait être siphoné en continu sans que je m'en rende compte et pour être infecté personne n'aurait eu besoin d'y toucher ils auraient juste eu besoin de mon numéro de téléphone ce scénario fait bien flipper et c'est pourtant ce qu'ont découvert des chercheurs de Kaspersky ces derniers mois car ils en ont été victimes eux-mêmes et ils ont raconté tout ça dans une conférence et une série d'articles passionnants qui retracent comment ils ont découvert ce malware extrêmement sophistiqué sur leurs iPhon évidemment tout ça est extrêmement technique donc on va faire le maximum pour rendre ça accessible alors on pourra pas tout aborder déjà qu'il ne révèle pas tout mais aussi car on va se concentrer sur le plus intéressant pour nous époler on a donc la chance d'avoir Matis Amel un ami consultant en cybersécurité que je vous conseille de suivre sur Twitter ou sur twitch bon je le harcèle pour qu'il reprenne les lives d'ailleurs moi aussi je live chaque semaine donc passez me voir par pitié mais avant ça si vous avez peur de voir vos données traîneres sur Internet laissez-moi vous parler du sponsor qui nous accompagne aujourd'hui incogny si vous traînez sur internet il y a de grandes chances que vos données personnelles soient récoltées par les sites que vous visitez puis vendus sans que vous le sachiez ça peut être votre votre nom vos adresses email votre activité en ligne ou même des trucs plus critiques comme votre numéro de téléphone votre adresse ou vos habitudes de consommation cette Mase de données finit ensuite généralement chez des courtiers en données qui sont des grosses entreprises spécialisées dans le profilage commercial ils revendent tout ça à d'autres boîtes qui cherchent à vous cibler commercialement et c'est ainsi que vous recevez des email et des appels intempestifs mais je vous rassure pour lutter contre ça il y a des moyens déjà car c'est votre droit en Europe on a le rgpd qui garantit le droit à l'oubli mais il faudrait contacter l'entièreté des courtiers qui vendent de la donnée vérifier si vous y êtes demander des suppressions en boucle et vous battre avec ceux qui ne veulent pas ça paraît chiant hein et ben excellente nouvelle car incogni fait tout ça pour vous en vous abonnant à leur service vous pouvez reprendre le contrôle de votre vie privée sur Internet et tout est extrêmement simple il vous suffit de vous inscrire accorder le pouvoir à incognie de contacter ses entreprises à votre place et c'est réglé autant vous dire que moi je trouve ça super pratique car même en ayant les compétten pour le faire c'est tellement plus simple de déléguer cette tâche et je suis pas le seul à trouver ça cool Corben a fait le test de son côté et visiblement ça marche plutôt pas mal 93 courtiers avaient des infos sur lui il a pu suivre tout le processus en direct avec un dashboard que je trouve très bien foutu et avec le code silfk où en passant par notre lient en description vous bénéficierez d'une réduction de 60 % sur votre abonnement annuel incogn se chargera donc de faire supprimer toutes vos données mais aussi de s'assurer qu'ell ne reviennent pas sur le marché alors si ça vous intéresse n'hésitez pas et nous on retourne voir cette sombre histoire de hack tout commence dans les locaux de Kasperski à Moscou en fin 2022 parmi tous les employés qui bossent régulièrement sur les questions de cybersécurité il y a une équipe spécialisée la great team ce sont d'énormes crack qui sont spécialisés sur les apt c'est-à-dire les groupes de hack les plus dangereux du moment c'est donc eux qui sont chargés de comprendre com comment ces groupes agissent mais aussi comment fonctionne leur virus d'habitude ils regardent tout ça un peu de loin on appuie à leur clients mais ce jour-là l'alerte vient de chez eux et ils découvrent quelque chose de louche sur leur réseau et qui plus est un réseau Wi-Fi où il n'y a que leurs iPhon qui sont connectés alors qu'est-ce qui se passe et bien leur système de sécurité détecte une activité suspecte du trafic vers des noms de domaines qui n'ont rien à faire là et à chaque fois juste avant une requête iMessage qui vient des serveurs d'Apple et le problème c'est qu'aucun des chercheurs ne comprend ce que c'est s'ils utilisent bien leurs iPhone ils n'ont pourtant pas reçu ou émis de messages aux horaires indiqués alors certes il y a du trafic régulier en background mais là ce truc avec les domaines est vraiment très suspect première alerte et en creusant un peu il se rendent compte que tous ces dons de domaines ont des points communs ils sont tous déposés chez namechip un hébergeur de domaine ils sont tous protégés par cloud flare et ils sont toujours nommés de la même façon deuxème alerte mais rien ne semble montrer que leur iPhone est infecté tout fonctionne normalement il n'y a pas d'erreur particulière ni de comportement suspect juste ces connexions louches encore et encore à partir de là ils se doutent que quelque chose ne va pas alors il passe en mode contreespionnage il n'en discutent pas à l'oral et ils mettent de côté leur téléphonees et lorsqu'il les analyse il les isole dans des boîtes de phadé histoir d'être sûr de bloquer toutes les communications le mode opératoire à partir de là c'est de vérifier ce qui se passe sur les téléphones et aussi du côté des serveurs premièrement le téléphone ils vont essayer avec des outils classiques de forensic mais il ne fonctionne pas sur ces version d'iOS alors il passent par le backup iTunes de leurs iPhone qui aussi étonnant que cela puisse paraître est encore très utilisé car il permet d'obtenir une copie presque parfaite de votre iPhone c'est aussi une excellente façon de fouiller sans éveiller le moindre soupçon et là encore il n'y a aucune trace habituelle qu'on pourrait retrouver lors d'un hack mais en fouant toute la structure il finisse enfin par trouver un début de piste des dossiers de pièces jointes complètement vides alors forcément s'il y a des dossiers qui sont créés ça veut dire qu'il y avait une pièce join dedans à un moment quand tu fais un peu de Reverse tu te dis qu'il y a un truc un peu bizarre qui se passe tu as tu as du de l'activité mais derrière tout est nettoyé ça forcément c'est que c'est que il y a du monde qui est passé par là quoi et puis en allant regarder d'autres fichiers il se Pench sur une base de données datausage.sqlite qui enregistre les connexions réseau du téléphone là encore vous avez compris rien de suspect prime à bord si ce n'est les traces d'un processus qui n'a rien à faire là backup agent c'est un processus qui existe bel et bien sur iOS mais qui est obsolète depuis déjà plusieurs années mais en plus qui n'est pas du tout censé recevoir ou envoyer des données ce qui est pourtant le cas ici on a donc de toute évidence une pièce jointe reçue par les iPhone et qui est immédiatement supprimé et qui envoie ensuite des données sur des sites étranges au moins ça progresse à partir de là ce qui serait vraiment pratique ce serait d'avoir la pièce jointe en question sauf qu'elle n'apparaît jamais sur les backup alors les chercheurs de kasperskii vont tenter d'intercepter tout le trafic des iPhone grâce à un proxy on appelle ça du man in the middle il n'y a plus qu'à attendre une réinfection et pour le savoir ils mettent d'ailleurs en place un mode télégram pour recevoir des alertes quand c'est le cas kasperskii devrait pouvoir à ce moment-là intercepter tout ce qui rentre ou sort de l'iPhone sauf qu'en réalité Apple protège tout ce qui passe par iMessage impossible de lire en clair ce qui se passe et impossible donc de choper cette foutue pièce jointe bon ils ont malgré tout pas mal progressé ils peuvent pas aller plus loin pour le moment côté iPhone alors ils vont voir ce qui se passe après l'infection initiale du côté des requêtes vers le serveur sauf que le serveur attteend une clé spéciale pour accepter la requête une clé qui repose sur une autre clé privée gérée par le serveur sauf que Caspers skin ne dispose pas de ses clés mais ils vont réussir à générer leur propres clé publique et privé et à les utiliser en faisant croire grâce au proxy que tout est OK et ça passe en gros kasperskii vient juste de changer la clé et la serrure de la porte qu'il voulait ouvrir et derrière cette url il y a un script et le taf d'une partie de ce script c'est d'afficher ceci un triangle jaune ce triangle jaune permet de savoir quel processeur graphique vous avez la résolution de votre écran la version du navigateur et donc surement de l'os et plein d'autres choses juste en affichant un triangle on appelle ça du canvas fingerprinting c'est ça tu vas avoir différents moteurs de render en fonction des navigateurs typiquement en fait sur comment tu gères les pixels qui sont au bord du triangle la liasing en fait entre la surface pleine et le background c'est petites valeurs de pixel là qui peuvent être bah quasiment toujours identiques d'un iPhone à l'autre en fait même juste un bit de différence ça te permet d'identifier exactement sur quel iPhone tu vas être mais c'est vrai que intuitivement moi je me dis que à quel point c'est efficace ce truc là bon apparemment ça marche bien mais mais ouais c'est c'est surprenant qu'il fasse ça comme ça plutôt que de juste récolter en masse mais c'est aussi une manière en fait de le faire de manière super super discrète alors pourquoi ils font tout ça et ben on sait pas trop ce qui est sûr c'est qu'ils chercheent à savoir quel type de matos ils sont en train d'infecter c'est ce qu'on appelle invalidator s'ils sont satisfaits ils balancent la suite de l'attaque sinon ils se contentent de supprimer toutes les traces de leur passage et dans cette suppression il y a deux lignes de code qui vont particulièrement interpeller les chercheurs une requête pour supprimer un fichier point watchatface c'est-à-dire un fichier de 4 ans d'Apple watch qui peut se partager par iMessage de toute évidence c'est un très bon candidat pour être la pièce jointe qu'il cherche désespérément depuis le début alors étonnamment il ne mentionne qu'une seule fois ce fichier point watchface dans un de leurs articles dans le reste de la conférence ils disent que c'est un point PDF qui a lancé l'infection alors on a trouvé ça curieux on a écrit à un des chercheurs qui nous a dit la suite au prochain épisode dans un autre article en attendant nous on aime bien croire que c'est un fichier. watchface plutôt qu'un PDF dans le doute vous savez tout ok on va s'arrêter là sur cette partie on va repartir au début chercher cette pièce jointe dans tous les cas ils ont enfin une preuve concrète qu'il y a bel et bien une pièce jointe qui se fait supprimer alors ça l'air motif à creuser de ce côté et ils vont se taper des journées sur mon tréphone à épucher toutes les docs possibles des pièces jointes d' message et leur chiffrement ce qui était plutôt une bonne idée car ils vont découvrir quelque chose d'essentiel si Apple chiffre très bien tout ce qui passe sur message genre les numéros ou les messages il y a une exception à ça et c'est les pièces jointes avec un peu de savoir-faire enfin surtout une équipe de cybécurité à ses bétons il va être possible de les récupérer en gros une pièce jointe d' message c'est deux choses le fichier qui est chiffré et la clé pour le déchiffrer et Kasperski se rend compte d'un truc très intéressant si le téléchargement du fichier est corrompu en cours de route alors le téléchargement ne se termine pas correctement et dans ce cas précis si le téléchargement s'annule la suite de l'attaque ne se lancera pas et dans la suite de l'attaque il y a quoi les fonctions pour supprimer toutes les traces suspectes et dans ces traces coup de bol il y a justement la clé qui permet de déchiffrer la pièce jointe Kasperski peut donc désormais choper le fichier chiffré et la clé pour le déverrouiller à partir de là c'est super parce qu'ils ont la pièce jaune compromettante leur watch face ou le PDF on sait pas trop et c'est donc parti pour des mois de travail afin de comprendre ce qui se passe vraiment il découvre alors que la piègejointe va activer une faille zer day basée sur True Type un format de police créé par Apple dans la fin des années 80 toujours très utilisé aujourd'hui et qui comportait une faille extrêmement vieille jamais trop remarqué jusque-l ouais c'était des vieilles fonctions donc les fonctions adjust qui sont plus utilisé et qui sont plus du tout dans l'aspect officiel de True Type mais qui sont quand même là dans l'implémentation des iPhon et malheureusement il y a une vulle dessus donc on est donc face à des gens qui ont une connaissance extrêmement pointue ou alors qui ont passé un peu trop de temps à fouiller ou alors qui ont cette faille depuis très très longtemps elle travaille sur une section mémoire et sauf qu'en fait de la manière où c'est implémenté tu peux t'arranger pour que elle elle aille modifieré juste un octé enfin ou une valeur à l'extérieur de cette zone mémoire là et en fait à partir de ça bah tu peux prendre le contrôle sur la section suivante et en fait de fil en aiguille tu peux exécuter le code que tu veux en utilisant juste ce petit ce petit oct d'erreur bon sur ce passage là on va lever un peu le pied sur la technique car voici des fonctions que je ne peux clairement pas vous expliquer car je vais pas mentir j'y comprends rien du tout mais tout est en description si vraiment vous voulez vous pencher dessus mais dans l'idée tout ça permet de préparer le terrain pour la suite de l'attaque qui va se dérouler en Javascript ils exploitent des failles mémoire qui leur permettent d'élever les privilèges et de déployer un gig code javascript de 11000 ligne genre c'est très solide et c'est un peu le cœur du réacteur et pour ne rien arranger tout est imitable vu qu'ils ont offfusqué le code les hackurs savait que ce script pouvait être intercepté à un moment alors ils ont rendu le code dégueulasse l'uscation c'est ça c'est tu prends ton code et ton but c'est de le rendre illisible pour qui que ce soit d'autre par exemple enlever les noms de varibles moi j'ai vu déjà des des obfuscateur en faisant du rivse où en fait tes noms de variables ça va être des mix entre des l minuscules et des i majuscules tu en as genre 15 d'affilés et entre deux noms de variaable tu as juste un caractère qui change et du coup en fait tu dois te retaper à la main le truc donc le comportement du logiciel c'est exactement le même sauf qu'en fait tu bah le de le relire c'est impossible quoi c'est la première enfin c'est ça c'est le le la première étape quand tu veux empêcher quelqu'un de comprendre ton code de riverse ça va être ça va être de faire de mettre de l' fuscation et en pleurant du sang il parviennent malgré tout à démêler tout ça et surprise il découvre deux nouvelles failles Z day la première c'est un integer overflow que le groupe qualifie d'extrêmement simple et puissant mais je vais laisser Matis essayer de vous expliquer ça simplement puisque c'est super simple ils vont exploiter une faille dans une des fonctions du Carnel tu mets la somme de deux valeurs dont la dont la somme dépasse 2^iss 64 et du coup en fait le dernier bit le 2 puiss 64 il va être ignoré parce que du coup tu peux pas stocker ça dans un registre à 6 4 bits du coup en fait c'est ça il va revenir à zéro et donc en fait le pointeur de début et de fin de ta zone mémoire que tu réserves elles sont effectivement toutes les deux incluses dans le dans le la zone du processus parant sauf qu'au lieu d'avoir normalement tu as genre le le début et la fin de ta zone qui sont l'une avant l'autre et ben là tu en as l'une qui fait tout le tour qui revient et qui qui est là et en fait tu vas pouvoir dépasser et dire bah moi je veux réserver toute la mémoire du système et il dit OK et du coup à partir de ce moment-là en fait tu as un accès complet à la mémoire physique de tout l'iPhone et bah tu peux aller taper allaigrement dans dans les mémoires de différents processus ça c'est ce qui est le cas sur la plupart des systèmes iPhone ils ont encore une couche de protection qui fait qu'au niveau hardware va y avoir une vérification en plus qui va être faite qui va du coup pas permettre de faire ce genre de truc euh donc dans n'importe quel système tu pourrais aller bah euh chercher par exemple euh directement en mémoire les mots de passes de Google Chrome par exemple ou aller lire les les SMS signal les trucs comme ça tu peux tu as accès complet ici ça va être un petit peu différent pour la lecture et l'écriture sur iPhone ils ont des des protections physiques qui disent bah voilà tel process il a pas le droit d'aller lire à tel endroit donc même si tu trouves une faille qui te permet d'aller lire n'importe tout dans la mémoire donc vraiment si tu arrives à trouver une faille dans le dans le Carnel et ben malgré tout tu peux pas tu peux pas t'en servir voilà donc j'espère que c'était simple et donc arrive la deuxième faille celle qui s'attaque directement à des zones de mémoire bien spécifiques de l'iPhone mais pour ça il faut connaître un peu le matériel sur lequel on bosse sur iPhone les puces les puces des iPhones et des Mac c'est du SOC donc systemme on chip qui fait qu'en fait dans une puce tu tu vas avoir ton processeur ta ram ta carte graphique et tout ça dans le dans le même type sur sur ta carte mer la mémoire est partagée entre tous les appareils et du coup pour communiquer en fait ils mettent des valeurs dans la mémoire à des endroits bien précis qui leur sont réservés et ça du coup ça leur permet de communiquer entre entre différents Devic et toutes ces zones sont dans une liste documentée et publique on sait par exemple que si je mets des instructions de telle adresse à telle adresse ça va aller au GPU on trouve donc des suite de milliers d'adresses pour communiquer à chaque composant sauf qu'il y a parfois des plages de milliers d'adresses dont on ne connaît pas l'utilité et qui ne sont jamais évoqué c'est une zone mémoire elle est inscrite nulle part elle est documentée nulle part elle est utilisée nulle part donc probablement c'est des trucs de de débug pour les pour les in de chez Apple et parmi ces dizaines de milliers d'adresses l'exploit va en utiliser très précisément 6 des adresses qui vont se révéler être extrêmement utiles si tu écrit donc c'est c'est donné dans ces six zones et ben tu tuas un process autre part qui va le faire pour toi et l'écrire en contournant complètement ces protections hardware qui t'empêch le faire sur les autres zones mémoire que tu veux tu fais la passe décisive à ce Tru qui lui va faire très très gentiment mettre les les valeurs que tu veux où tu veux dans la mémoire et donc là après bah tu peux remplacer le code d'un processus que tu veux qui va être exécuté avec des permissions route enfin tu tu peux faire vraiment voilà tu es chez toi et là là tu es voilà roi du monde et tu peux faire vraiment ce que tu veux le problème c'est que ces six adresses mmio un peu magique bah c'est pas du tout une info publique donc là il y a plusieurs possibilités soit ce sont d'énormes trardeurs qui ont trouvé ça soit il n'y a que les ingénieurs d'Apple qui peuvent savoir ça alors est-ce qu'il y a une ta chez eux ou est-ce que les hackurs ont réussi à infiltrer leur serveur sans jamais se faire repérer et ben c'est impossible à dire et les rumeurs vont bon train reste la dernière possibilité qui sera de toute façon impossible à vérifier une collab entre une agence de renseignement par exemple et Apple du côté d'Apple il dém officiellement toute implication et la Nessa comme d'hab n'a aucun commentaire à faire à ce sujet à ce moment-là c'est plié ils ont tout ce qu'il faut pour s'éclater sur votre iPhone genre là maintenant tout serait déjà parfait à cette étape là tu es déjà le roi du monde sur l'iPhone et pourtant les attaquants ils ont encore et encore ils vont réexploiter ils vont remettre une payload pour être vraiment sûr et certain que ils sont pas observés pour être sûr et certain que la cible c'est la bonne et cetera pour vraiment encore plus camoufler leur attaque ils n'ont encore rien mis en place pour filtrer vos données mais il pourrait juste télécharger un malware qui ferait le taf et c'est ce que les chercheurs pensaient trouver après l'utilisation d'un tel exploit et pourtant non car tout ça ne va servir qu'à une seule chose lancer la chaîne de validators qu'on a vu avant et oui le script qui fait le gros triangle jaune et son petit frère et il y a un deuxième validateur qui va cette fois aller chercher davantage d'infos sur la cible mais de façon beaucoup plus poussée qu'avant histoire d'être sûr que c'est bien ta cible que tu es en train de péter et que tu es pas sur un iPhone qui est en train d'être scruté par 15 chercheurs de CQ ouais sera pas de bol c'est vrai que ce serait quand même assez cocasse quoi on veut un numéro de tel un email un identifiant Apple la liste de toutes les applications installées et si la machine est déjà le briqué ou non dès qu'il voit qu'il y a le moindre truc le moindre souci potentiel déjà il nettoie tout il plie les ga et il reste caché il exécute rien du tout et en plus il envoie un petit rapport au créateur de du virus pour que il puisse se préparer potentiellement est-ce que effectivement il y a une défense qui soit en train de se mettre en place il y a même une fonction pour détecter un éventuel antivirus ce qui laisse penser que ça pourrait aussi infecter des Mac en fait les les architectures de Mac et d'iPhone sont très proches tuas le kernel c'est quasi le même si ils appellent ça xnu tu vas avoir bah pareil en fait les puces c'est des SOC pour les deux qui vont utiliser alors je sais pas si c'est exactement les les mêmes fonctionnalités mais effectivement tu as des des des grosses grosses similarités entre les deux qui laisse entendre que soit l'exploit a été développé mais pas mis en œuvre soit ils ont commencé à le développer mais mais ils ont pas ils sont pas allés au bout encore soit qu'il a été développé mis en œuvre et que là actuellement il est dans la nature et que là du coup pour le coup il a pas du tout été détecté et ce qui est marrant c'est qu'ici il n'y a plus d'offuscation du tout toutes les fonctions dont on parle ici elles sont écrites en clair les hackurs pensaient sûrement pas que des gens arriveraient à aller jusque là mais pourtant bah Kaspersky a réussi bref si tous les feux sont verts et que vous êtes bel et bien une cible qui les intéresse une requête est envoyée pour vous envoyer le malware final félicitations vous venez d'être triangulé votre iPhone est désormais directement connecté au hackur à n'importe quel moment enfin presque car ce virus n'est pas persistant c'est-à-dire que si vous redémarrez votre iPhone vous en êtes débarrassé enfin jusqu'au prochain message piraté qui vous enverront dès qu'ils se seront rendus compte que ça ne fonctionne plus ah bah tu peux pas le savoir du tout hein tu as aucun comportement suspect parce qu'en fait même tu vois le l'enregistrement du micro qui est normalement même un truc que tu vois pas quoi il s'assure que l'écran soit éteint quand quand ils enregistrent le micro histoire d'être 100 % sûr que tu te rendes compte de rien enin tu as vraiment tu as aucun signe qui te dit que c'est ça ou pas quoi et au final ils pourront prendre tout ce qu'ils veulent localisation en temps réel fichier processus micro mot de passe album photo en même temps pourquoi se priver attends ils ont ils ont quand même bien charbonné pour en arriver jusque là ce serait dommage de de pas tout récupérer quoi et dans tout ça il y a même l'utilisation du machine learning les hackurs vont se servir de la puce d'Apple qui s'occupe d'assigner automatiquement des labels à vos photos c'est comme ça par exemple que quand vous cherchez chien dans votre galerie votre iPhone vous montre uniquement des photos qui ont des chiens pour pas avoir à traiter des des centaines de milliers de photos qui reçoivent en flux continu en fait au lieu de au lieu d'exfiltrer les photos ils vont d'abord exfiltrer les tags donc typiquement bah il y a tel mot qui a été détecté sur le sur le truc ou alors c'est un document scanné voilà l'iPhone va appliquer plein de tags dès que tuortes une photo dans dans le dans la galerie et du coup bah ils vont utiliser ces tag là pour derrière faire leur filtrre et en fait que ils aient pas traiter de leur côté à mettre en place des des suites de de traitement là-dessus bref vous l'avez compris on est sur quelque chose d'extrêmement qui étonnamment n'a pas fait tant de bruit que ça en dehors de la sphère tech et encore c'est très précis pourtant au vu des vulnérabilités déployé et du malware qui est mise en place on est clairement dans la même gamme que Pegasus fonctionnellement l'outil il est tout aussi puissant que Pegasus je sais plus exactement comment comment ça marcha Pegasus mais je crois que c'était à peu près pareil de il suffit d'avoir le le 06 de ta victime et tu le donnes à tu le donnes à à tes hackur et puis en 5 minutes le le truc est up et il tourne sur le système et il aspire tout AC ement donc ouais fonctionnellement c'est c'est la même chose c'est le c'est les mêmes dangers sauf que là on sait pas qui l'utilise on sait pas qu' le vend on sait pas tout ça donc c'est même je dirais même presque encore plus dangereux et on sait pas on sait pas d'où ça vient et on sait on parle de quatre failles zé day d'une infection en zéro clic donc sans aucune interaction de l'utilisateur et qui est indétectable sans faire un backup et de creuser très très loin d'après des expert en cybersécurité toute cette chaîne d'attaque pourrait facilement valoir dans les plus de 10 millions de dollars on est sur du travail de qualité et sur des moyens potentiellement démesurés alors pourquoi est-ce que ça a fait aussi peu de bruit et bien possiblement car il n'y a aucune attribution derrière on ne sait pas qui attaque et on n'est pas certain des cibles non plus mais bon vu les moyens employés on se doute que c'est probablement un groupe étatique derrière tout ça kasperskii a décidé de la jouer safe et ils n'ont nommé personne comme responsable ils ont pas de preuf tangible donc ils ne préfèrent pas s'avancer mais vous savez qu'il n'a aucun mal à s'avancer et qui a communiqué dessus et bien la Russie via son agence de cybersécurité mais également par le FSB son agence de renseignement et n'y vont pas avec le dos de la cuillère il balance que c'est les Américains tout simplement et plus précisément la NSA qui serait derrière tout ça et ils affirment même que ce serait en collaboration avec Apple il n'apporte aucune preuve mais voilà c'est sur des communiqués officiels qui sortent pile le même jour que le premier rapport publicique de kaspersk la NSA comme d'hab se contente de dire qu'elle n'a aucun commentaire à faire à ce sujet bon évidemment on connaît la Russie ils peuvent dire un petit peu ce qu'ils veulent d'un autre côté il n'empêche qu'il y a malgré tout de grandes chances que ce malware proviennne d'une grande puissance et c'est clairement du calibre de ce qu'a déjà pu mettre en place la NSA la seule trace que la ont laissé c'est une liste de 40 emails chiffré en MD5 depuis lesquelles ils envoyai les pièces jointes elles ont été retrouvées dans un des script qui permettait de supprimer les a messag provenant des adresses mail en question et il n'ura pas fallu longtemps pour les casser ils les ont donc fourn à Apple qui en sera peut-être plus sur la source de l'attaque grâce à ça mais de leur côté toujours aucune prise de parole on sait juste qu'ils ont patché toutes les failles suite aux travaux de kasperskii et de leur côté les chercheurs ont sorti un soft qui vous permet d'analyser un backup iTunes pour voir si vous avez été infecté ou non il reste cependant beaucoup de mystères autour de cette affaire vu les failles exploitées on peut se demander si Apple était au courant voir s'ils sont impliqués car on le sait il y a plusieurs boîtes qui n'hésitent pas à collaborer avec les autorités voir même affiler leur code source mais Apple lutte pour garder son image d'indépendance même lors de grosses affaires criminelles ou terroristes il reste toujours sur la même ligne directrice ils n'aideront ni le FBI ni la NSA à déverrouiller leur matos et sur cette affaire il se contentent de commenter ceci nous n'avons jamais collaboré avec un gouvernement pour insérer des bacs d'or dans nos produits et nous ne le ferons jamais ce qui est certain c'est que cette attaque elle est démentielle les premières traces d'infection auraient lieu en 2019 et ontueé jusqu'en juin 2023 ciblant aussi bien des iPhones ayant plus de 10 ans que la dernière version de l'époque tu as des vulnérabilités qui exploitent des trucs plus ou moins récent mais dans le dans le code quand même du virus ça peut exploiter des iPhones qui sont jusqu'à il y a 10 ans qui vont exploiter des fonctions spécifiques des super vieux iPhone donc pareil c'est depuis combien de temps ce Tru là est actif on sait pas non plus alors on ne saura sûrement jamais qui est derrière ni ces cibles exactes et encore moins ce qu'ils en ont retiré on sait juste qui ont déployé des moyens colossaux pour ça et qu'il'ss ont tout mis en œuvre pour ne jamais détecté jusqu'à aujourd'hui voilà on espère que ça vous a plu merci à Mathis d'avoir participé et répondu à nos questions et surtout nous avoir éclairé c'était vraiment pas évident tous les liens sont en description si vous voulez plus de détails techniques on a un tipi un patreon si jamais vous voulez nous donner des sous on a un discord comme je l'ai dit je suis sur twitch insta TikTok on fait des formats courts les shorts j'ai un RIB que je peux vous envoyer si vraiment vous voulez nous soutenir d'ici là merci on se retrouve bientôt pour une prochaine vidéo bisous salut [Musique]