C'est reparti : un autre exemple de surveillance gouvernementale impliquant des smartphones d'Apple et de Google est apparu, montrant à quel point les attaques soutenues par le gouvernement peuvent être sophistiquées et pourquoi il est justifié de garder les plates-formes mobiles complètement verrouillées.
Que s'est-il passé?
Je n'ai pas l'intention de trop m'étendre sur l'actualité, mais en résumé c'est la suivante :
- Le Google Threat Analysis Group a publié des informations révélant le piratage.
- La société de surveillance italienne RCS Labs a créé l'attaque.
- L'attaque a été utilisée en Italie et au Kazakhstan, et peut-être ailleurs.
- Certaines générations d'attaques sont menées avec l'aide des FAI.
- Sur iOS, les attaquants ont abusé des outils de certification d'entreprise d'Apple qui permettent le déploiement interne d'applications.
- Environ neuf attaques différentes ont été utilisées.
L'attaque fonctionne comme ceci : la cible reçoit un lien unique destiné à la tromper pour qu'elle télécharge et installe une application malveillante. Dans certains cas, les espions ont travaillé avec un FAI pour désactiver la connectivité des données et inciter les cibles à télécharger l'application et à retrouver cette connexion.
Les exploits zero-day utilisés dans ces attaques ont été corrigés par Apple. Il avait précédemment averti que de mauvais acteurs abusaient de ses systèmes, permettant aux entreprises de distribuer des applications en interne. Les révélations sont liées aux nouvelles récentes de Lookout Labs concernant les logiciels espions Android de niveau entreprise appelés Hermit.
Qu'est-ce qui est à risque ?
Le problème ici est que des technologies de surveillance comme celles-ci ont été commercialisées. Cela signifie que des capacités qui n'étaient historiquement disponibles que pour les gouvernements sont également utilisées par des entrepreneurs privés. Et cela présente un risque, car des outils hautement sensibles peuvent être exposés, exploités, rétro-conçus et abusés.
Comme Google l'a dit : "Nos résultats soulignent à quel point les fournisseurs commerciaux de surveillance ont proliféré des capacités historiquement utilisées uniquement par les gouvernements disposant de l'expertise technique pour développer et exécuter des exploits. Cela rend Internet moins sûr et menace la confiance dont dépendent les utilisateurs.
Non seulement cela, mais ces sociétés de surveillance privées laissent proliférer de dangereux outils de piratage, tout en mettant ces installations d'espionnage de haute technologie à la disposition des gouvernements, dont certains semblent prendre plaisir à espionner les dissidents, les journalistes, les opposants politiques et les défenseurs des droits de l'homme.
Un danger encore plus grand est que Google suit déjà au moins 30 fabricants de logiciels espions, ce qui suggère que l'industrie commerciale de la surveillance en tant que service est robuste. Cela signifie également qu'il est désormais théoriquement possible, même pour le gouvernement le moins crédible, d'accéder à des outils à de telles fins, et puisque de nombreuses menaces identifiées utilisent des exploits identifiés par des cybercriminels, il va de soi qu'il s'agit d'une autre source de revenus alimentant des attaques malveillantes. Chercher.
Quels sont les risques?
Le problème : ces liens apparemment étroits entre les fournisseurs de surveillance privés et la cybercriminalité ne fonctionnent pas toujours de la même manière. Ces exploits, dont au moins certains semblent assez difficiles à découvrir et que seuls les gouvernements ont les ressources pour faire, finiront par fuir.
Et bien qu'Apple, Google et tous les autres restent déterminés à jouer au chat et à la souris pour prévenir ces types de crimes, en fermant les exploits là où ils le peuvent, le risque est que toute porte dérobée ou violation de la sécurité des appareils mandatée par le gouvernement finisse par s'infiltrer dans le commerce. . marchés, d'où il atteindra les criminels.
Le régulateur européen de la protection des données a mis en garde : "Les révélations faites sur le logiciel espion Pegasus ont soulevé de très sérieuses questions sur l'impact possible des outils logiciels espions modernes sur les droits fondamentaux, et en particulier sur les droits à la vie privée et à la protection des données".
Cela ne veut pas dire qu'il n'y a pas de raisons légitimes pour la recherche sur la sécurité. Des failles existent dans tout système, et nous avons besoin que les gens soient motivés pour les identifier ; Les mises à jour de sécurité n'existeraient pas du tout sans les efforts des chercheurs en sécurité de toutes sortes. Apple paie jusqu'à six chiffres aux chercheurs qui identifient les vulnérabilités de ses systèmes.
Que se passe-t-il ensuite?
Le contrôleur de la protection des données de l'UE a appelé à l'interdiction de l'utilisation du tristement célèbre logiciel Pegasus du groupe NSO plus tôt cette année. En fait, l'appel est allé plus loin, demandant directement une "interdiction du développement et du déploiement de logiciels espions compatibles avec Pegasus".
Le groupe NSO est maintenant apparemment à vendre.
L'UE a également déclaré que dans le cas où de tels exploits seraient utilisés dans des situations exceptionnelles, une telle utilisation obligerait des entreprises comme NSO à se soumettre à une surveillance réglementaire. Dans ce cadre, ils doivent respecter le droit de l'UE, le contrôle juridictionnel, les droits de procédure pénale et accepter de ne pas importer de renseignements illégaux, d'abuser politiquement de la sécurité nationale et de soutenir la société civile.
En d'autres termes, ces entreprises doivent être mises au pas.
ce que tu peux faire
À la suite des divulgations du groupe NSO de l'année dernière, Apple a publié les recommandations de meilleures pratiques suivantes pour aider à atténuer ces risques.
- Mettez à jour les appareils avec les derniers logiciels, y compris les derniers correctifs de sécurité.
- Protégez les appareils avec un mot de passe.
- Utilisez une authentification à deux facteurs et un mot de passe fort pour l'identifiant Apple.
- Installez des applications depuis l'App Store.
- Utilisez des mots de passe forts et uniques en ligne.
- Ne cliquez pas sur des liens ou des pièces jointes provenant d'expéditeurs inconnus.
Suivez-moi sur Twitter ou rejoignez-moi au bar & grill d'AppleHolic et aux groupes de discussion Apple sur MeWe.
Copyright © 2022 IDG Communications, Inc.