iOS 9.3.5 corrige trois failles 0-day exploitées depuis trois ans

Apple a publié sans crier gare une mise à jour 9.3.5 pour iOS. Elle contient en fait des correctifs importants de sécurité. Les failles comblées ont été exploitées dans des attaques sophistiquées et persistantes pendant plus de trois ans.

Les utilisateurs d’un appareil sous iOS 9 sont fortement invités à installer la dernière révision du système mobile. Estampillée 9.3.5, elle se concentre sur le colmatage de trois vulnérabilités considérées comme particulièrement dangereuses. Exploitées, elles peuvent permettre à des pirates de récupérer des messages depuis de nombreuses applications comme WhatsApp, Gmail, Skype, Viber ou encore Facebook.

Ces failles sont :

• CVE-2016-4655 : fuite d’informations dans le kernel
• CVE-2016-4656 : corruption de la mémoire pouvant mener au jailbreak
• CVE-2016-4657 : corruption de mémoire dans Webkit

La découverte

La manière dont les failles ont été découvertes sort de l’ordinaire. Tout commence sur l’iPhone d’Ahmed Mansoor, défenseur des droits de l’homme, lauréat du prix Martin Ennals et basé aux Émirats Arabes Unis (EAU). Les 10 et 11 août, il reçoit des SMS contenant des liens. Il est indiqué qu’il pourra obtenir des informations sur des détenus torturés dans les prisons des EAU. Mansoor, flairant le piège, communique alors les détails à la société de sécurité Citizen Lab.

Citizen Lab s’est associée avec une autre entreprise, Lookout. À elles deux, elles ont analysé les failles 0-day, nommées pour l’occasion Trident. Elles doivent être exploitées par un malware nommé Pegasus, dont la présence est difficile à détecter. Pegasus sait se cacher et recourt à un chiffrement fort pour ses communications, tout en opérant à un niveau kernel, donc avec les droits maximum sur iOS.

Un malware écrit par une société spécialisée dans le piratage

L’analyse des entreprises a permis de débusquer des détails importants. Le code a ainsi commencé à être écrit en 2013, donc à l’époque d’iOS 7, pour ensuite être mis à jour. Mais surtout, tout semble indiquer pour Citizen Lab que Pegasus a été conçu par NSO Group, une division d’un groupe plus grand et cette fois basé aux États-Unis, Francisco Partners Management. Dans un article de Reuters datant de novembre dernier, on pouvait ainsi lire que FPM avait déboursé 120 millions en 2014 pour obtenir une bonne part de NSO. Cette dernière avait également changé de nom plusieurs fois.

Or, toujours selon Citizen Lab, il ne fait aucun doute que NSO est spécialisée dans le piratage informatique. Ses liens avec le malware tiennent dans l’utilisation d’un kit d’attaque commercialisé 8 millions de dollars pour 300 licences. Un tarif qui laisse Citizen Lab penser que le kit est utilisé dans d’autres opérations actives contre des iPhone. Il est d’autant plus dangereux qu’il peut se mettre à jour et ainsi résister au passage des différentes versions d’iOS, du moins tant que les failles sont toujours ouvertes.

Selon Citizen Lab et Lookout, ces attaques sont probablement menées contre des cibles spécifiques, comme Ahmed Mansoor. Toutefois, quand des failles 0-day utilisées pendant aussi longtemps sont découvertes, elles perdent immédiatement leur valeur et peuvent alors être récupérées pour d’autres campagnes, cette fois plus générales et massives. Il est donc recommandé aux utilisateurs de mettre à jour leur appareil dès qu’ils le pourront.