Vous savez probablement que la semaine dernière, WhatsApp a été au centre d'une controverse suite à la divulgation d'une vulnérabilité majeure dans l'application de messagerie. La faille de sécurité exploite ce que l'on appelle un "débordement de mémoire tampon" pour donner à un attaquant la possibilité d'installer un logiciel espion sur l'appareil ciblé, puis d'accéder à une vaste base de données de données personnelles. ; Appels, SMS, photos, localisation et autres données sur le téléphone, ainsi que la possibilité d'activer l'appareil photo et le microphone du téléphone pour des activités de surveillance en temps réel. Apparemment, cette attaque utilise un logiciel espion appelé Pegasus, qui permettra à votre téléphone d'être infecté par un simple appel WhatsApp, et plus inquiétant encore, vous n'avez même pas besoin de réponse. Le simple appel suffit, l'attaquant peut accéder à l'appareil et modifier les journaux d'appels pour masquer ses activités malveillantes. La bonne nouvelle (relativement parlant) est que WhatsApp a déjà corrigé cette faille de sécurité. La mauvaise nouvelle est que de nombreuses personnes n'ont pas encore mis à jour la version corrigée de l'application. D'un point de vue plus général, cet incident nous amène également à nous demander si les services de messagerie cryptés comme WhatsApp peuvent être suffisamment sécurisés pour vraiment protéger nos communications et données personnelles.
NSO Group a créé le logiciel espion Pegasus (Crédit image: NSO Group)
Groupe Pegasus et OSN
Tout d'abord, décrivons cette attaque plus en détail. Comment ça marche? Le pirate modifie les paquets de données envoyés lors d'un appel vocal à la victime, provoquant un débordement d'un buffer interne dans l'application WhatsApp (d'où le nom « buffer overflow attack »), qu'il écrase ainsi, une partie de la mémoire et contourne ainsi le sécurité de l'application, permettant au pirate d'accéder au téléphone. Cet accès est ensuite utilisé pour installer un spyware, qui serait le spyware Pegasus produit par le groupe NSO, selon le Financial Times. Veuillez noter que cela n'est toujours pas clair et que le problème est en cours d'investigation par l'ONS. De plus, comme le souligne TechCrunch, même s'il s'agit de Pegasus, NSO n'est pas en cause, mais le client qui a acheté le logiciel du groupe. Le NSI souligne également qu'il utilise un processus de licence et d'audit "rigoureux" et enquête sur "toute allégation crédible d'abus et nous prenons des mesures, le cas échéant, y compris l'arrêt du système. Si Pegasus est nouveau pour vous, OSN vend des logiciels espions comme contre-mesure. ." pour lutter contre le terrorisme et la criminalité. L'entreprise explique : "Nous offrons les outils qui aident les autorités officielles à faire face légalement aux problèmes les plus dangereux du monde aujourd'hui. Les gouvernements utilisent nos produits pour prévenir le terrorisme, perturber les opérations criminelles, localiser les personnes disparues et aider les équipes de recherche et de sauvetage. "
Les logiciels espions comme Pegasus ont inévitablement le potentiel d'être abusés (Crédit image: Pixabay)
Quand un "bon" logiciel espion tourne mal
En théorie, Pegasus est utilisé pour compromettre les appareils des terroristes et des criminels, facilitant ainsi la surveillance afin que le monde reste un endroit plus sûr. Pegasus a des outils similaires qui exploitent également des vulnérabilités ou des portes dérobées, mais le problème est que ces logiciels espions ont toujours le potentiel d'être abusés. Les régimes oppressifs peuvent utiliser de puissants logiciels espions pour contrôler les citoyens, et peut-être dissiper les dissidents, espionner les opposants politiques ou les défenseurs des droits de l'homme. En ce qui concerne la façon dont ces logiciels espions peuvent être exploités (ou peut-être les entrailles de l'enfer) une limite plus appropriée, puisque nous regardons vers le bas dans ce cas). Et si Pegasus a connu un énorme succès, comme l'arrestation de Joaquín Guzmán, un trafiquant de drogue mexicain, il y a aussi un certain nombre de critiques négatives (et c'est le cas d'autres logiciels espions utilisés par l'État). Par exemple, à la mi-2016, nous avons signalé que Pegasus était utilisé pour attaquer le militant émirati des droits humains Ahmed Mansoor. Fin 2018, un dissident saoudien a porté plainte contre Pegasus, alléguant qu'il avait été utilisé contre le journaliste assassiné, Jamal Khashoggi, et Amnesty International vient de porter plainte, alléguant qu'il avait été arrêté. il y a "une abondance de rapports de gouvernements déployant Pegasus". Plate-forme de logiciels espions pour surveiller les défenseurs des droits de l'homme." Naturellement, tout cela nécessite une réflexion sérieuse, et si c'est certainement dérangeant de tout voir, qu'en est-il des plus petits ? L'incident de WhatsApp devrait-il donner au commun des mortels une source d'inquiétude quant à la sécurité de vos données personnelles lors de l'utilisation de WhatsApp ou de services de messagerie similaires ?
Le cryptage est évidemment une bonne chose, mais l'image globale de la sécurité est bien plus grande que cela (Crédit image : Alex Ruhl / Shutterstock.com) (Image : © Alex Ruhl / Shutterstock.com)
Les services de messagerie cryptés peuvent-ils vraiment être protégés?
Cette question pourrait vous intéresser après la révélation de la faille de sécurité de WhatsApp. WhatsApp propose un cryptage de bout en bout, ce qui permet aux utilisateurs de se sentir en sécurité. Comme l'explique la société sur son site Web, "Tout comme vos messages, les appels WhatsApp sont cryptés de bout en bout afin que WhatsApp et les tiers ne puissent pas les écouter." Et c'est vrai, chaque message ou appel est crypté de manière unique et transparente, de sorte que le contenu ne peut être lu ou entendu par personne d'autre que l'expéditeur/appelant et le destinataire. Cependant, ce cryptage ne signifie rien si le logiciel lui-même présente une vulnérabilité qui pourrait être exploitée pour installer un logiciel espion qui piratera efficacement l'ensemble de l'appareil, comme c'est le cas avec WhatsApp. Plus généralement, la question est : les logiciels peuvent-ils vraiment être sécurisés ? Évidemment, il est impossible de donner des garanties sur ce front, donc la réponse courte est non ; pas vraiment. Etienne Greeff, CTO et co-fondateur de SecureData, a déclaré : "Les systèmes d'exploitation sous-jacents peuvent sembler très sécurisés, comme iOS, mais l'ensemble de l'écosystème, y compris toutes les applications sur le système d'exploitation, est si complexe et complexe qu'il devient très difficile d'avoir une sécurité complète. De plus, certains des outils de sécurité "zero-day" utilisés pour protéger ces systèmes complexes auraient été efficaces." Nous avons demandé à Greeff d'expliquer un peu pourquoi les outils de sécurité mentionnés dans le zero-day, qui sont des applications typiques sécurité/antivirus, aurait été inefficace. Il explique : "L'espace mémoire d'Android est tel qu'aucun autre processus ne peut accéder à la mémoire d'autres processus. Au mieux, ces outils vérifient qu'ils ne sont pas eux-mêmes un virus... Dans le cas du problème de WhatsApp, cette fonctionnalité exploitait le application qui aurait été opaque pour d'autres outils de sécurité présumés, en raison de la limitation de la mémoire."
(Image : © Crédit image : Pixabay) Daniel Follenfant, directeur principal des tests d'intrusion, NTT Security Consulting Services, a noté que la sécurisation des applications était une lutte constante, et si elles étaient étanches, nous n'aurions évidemment pas à les mettre à jour. Permanence avec correctifs de sécurité.
Follenfant a noté que "n'importe quel utilisateur de Windows aura vu des correctifs passer tout le temps, mais nous continuons de croire qu'ils surveilleront les vulnérabilités de sécurité et les corrigeront, comme WhatsApp l'a fait."
"Nous ne devons pas oublier que les fournisseurs surveilleront et examineront ces vulnérabilités. Aujourd'hui, la concurrence et les applications mobiles signifient que si vous (en tant que fournisseur) ne prenez pas les mesures nécessaires, vous perdrez vos utilisateurs et ils passeront à autre chose."
Il est clair que les entreprises promettant de protéger vos données sensibles, telles que WhatsApp, doivent être à la pointe de la sécurité et agir rapidement pour minimiser les dommages causés par une faille de sécurité, avec des solutions rapides, comme ce fut le cas. ici.
L'autre nouvelle (relativement) plus positive concerne les dégâts potentiels : il ne faut pas oublier que l'attaque de WhatsApp n'était pas une campagne globale, contrairement à la plupart des malwares. Nous parlons de victimes choisies parmi les victimes d'une attaque sophistiquée, y compris des avocats et des journalistes.
Comme le rapporte The Guardian, les cibles connues comprennent un avocat des droits humains basé au Royaume-Uni et un chercheur d'Amnesty International.
Il est donc probable qu'à moins que votre travail n'aille dans cette direction et implique des données sensibles ou potentiellement intéressantes, il ne soit probablement pas ciblé. De toute façon, seul un petit nombre de personnes ont été touchées, et même si le nombre exact est inconnu, il y a un chiffre "au moins dans les dizaines" selon plusieurs personnes. Mot WhatsApp.
Il n'y a aucun moyen de s'assurer que votre compte n'a pas été compromis, mais rappelez-vous que si vous n'avez pas reçu d'appel WhatsApp d'un numéro inconnu (ou un appel manqué), c'est probablement clair.
Même si vous n'êtes pas susceptible d'être touché personnellement, la possibilité de propager un tel logiciel espion invasif via une application de messagerie sécurisée reste une préoccupation majeure. Et le problème est que les services de messagerie cryptés populaires comme WhatsApp, qui compte 1.500 milliard d'utilisateurs, représentent une cible aussi importante et juteuse que les parties très motivées avec les médias financiers.
Par conséquent, ces types de services seront inévitablement recherchés par des pirates intelligents et ingénieux qui, s'ils sont découverts comme un exploit, pourraient en profiter pour fournir une forme sophistiquée de logiciel espion qui intègre de puissantes capacités de surveillance et la capacité de fonctionner. Faufilez-vous dans le filet. L'appareil de la victime.
Etienne Greeff a en outre noté que l'incident de WhatsApp "montre les effets de poches étatiques très profondes sur les citoyens ordinaires".
"Le groupe NSO existe parce que les gouvernements et les organismes publics ont la capacité de payer six sommes zero-day qu'ils peuvent utiliser à leurs propres fins politiques."
Il est important de vous assurer que votre système d'exploitation et vos applications sont toujours à jour (Crédit image : Pexels) (Image : © Pexels)