Masque Attack permet à de fausses applications de s’installer sur iOS
Et pas besoin de câble USB cette fois
Le 14 novembre 2014 à 10h37
5 min
Société numérique
Next
La technique « Masque Attack » permet sur iOS de faire installer par l’utilisateur une application malveillante se faisant passer pour légitime. Comme pour Wirelurker la semaine dernière, ces fausses applications utilisent un certificat spécial pour les entreprises. Mais selon Apple, aucun utilisateur n’a été touché par cette menace pour l’instant.
La semaine dernière, le malware Wirelurker avait fait parler de lui à cause de la capacité qu’il avait de se glisser sur des appareils iOS non-jailbreakés. Pour ce faire, une application vérolée téléchargée sur OS X utilisait le câble USB pour envoyer une fausse application. Pour les appareils classiques, il n’y avait a priori pas de danger car l’application envoyée ne faisait rien de particulier. Par contre, en cas de jailbreak, le malware ne se privait pas de récolter de nombreuses données. Apple invitait alors les utilisateurs à ne récupérer leurs logiciels pour OS X que depuis le Mac App Store ou depuis des sources de confiance.
Il suffit d'accepter une invitation à installer une application
Et voilà qu’une autre menace fait son apparition. Nommée « Masque Attack », elle exploite un vecteur un peu différent car elle ne passe pas cette fois par le Mac, mais par un simple lien dans un navigateur. Depuis un appareil iOS, cliquer sur le lien propose de télécharger une application ou un jeu, mais l’utilisateur récupère en fait sans le savoir une fausse version d’une application réelle, comme Gmail. Elle se comporte pratiquement comme la vraie et est de fait difficile à détecter, mais elle récupère évidemment des informations personnelles sur les échanges.
Le problème a été découvert par la société de sécurité FireEye qui explique que pour s’installer, la fausse application s’appuie sur un certificat fourni aux entreprises pour pouvoir déployer en interne leurs propres créations. Une méthode déjà utilisée par Wirelurker, sauf que cette fois, la « Masque Attack » n’a pas besoin d’une connexion USB ni d’un logiciel vérolé pour OS X. Puisque la méthode est exploitable dans tous les pays, l’US-CERT a émis un bulletin d’alerte.
Pour Apple, il n'y a pas de quoi paniquer
Il y a plusieurs fausses applications et elles appliquent toutes le même stratagème. À chaque fois, le but est de récupérer les identifiants de l’utilisateur et de se servir des API à disposition pour effectuer certaines tâches, notamment surveiller certaines activités. Toutes les données qui peuvent être captées le seront et FireEye précise que l’application pourra aller fouiller dans certains caches.
Pour Apple cependant, il n’y a pas urgence, même si FireEye indique avoir prévu Cupertino dès le 26 juillet du problème. D’ailleurs, l’efficacité de l’attaque a été testée sur les versions 7.1.1, 7.1.2, 8.0, 8.1 et 8.1.1 bêta d’iOS, avec succès. Mais la firme indique : « Nous avons conçu OS X et iOS avec des protections intégrées qui aident à protéger les clients et à les avertir avant qu’ils n’installent des applications potentiellement dangereuses. Nous ne sommes au courant d’aucun utilisateur affecté par cette attaque. Nous encourageons les clients à ne télécharger des applications que depuis des sources de confiance telles que l’App Store et à faire attention à tout avertissement quand ils en téléchargent. Les clients professionnels installant des applications personnalisées devraient en installer depuis le site sécurité de leur entreprise ».
N'installer rien qui ne provienne de l'App Store
En fait, pour un utilisateur classique, la seule source possible d’installation est l’App Store. De fait, il devrait se méfier immédiatement de toute proposition de téléchargement qui ne renverrait pas directement vers une fiche de la boutique mobile. Par ailleurs, un avertissement peut apparaître pour signaler que le développeur n’est pas connu et qu’il y a un problème de confiance : mieux vaut dans ce cas refuser et désinstaller l’application. Il n’est d’ailleurs pas impossible que vous soyez confronté au problème, le vecteur d’attaque pouvant toujours être utilisé.
Le souci réside dans la manière dont Apple fournit des certificats spéciaux aux entreprises en cas de déploiement interne. Certaines grosses structures disposent en effet d’applications spécifiques pour lesquelles la firme propose une installation sur des appareils sans passer par l’App Store et ses étapes de validation. Le certificat permet alors auxdites applications d’être reconnues comme authentiques. Un seul certificat est nécessaire pour toutes les créations d’une entreprise. Apple pourrait donc révoquer un ou plusieurs certificats, mais en attendant, la consigne est simple : il n’y a pas de raison de paniquer, mais il faudra faire quand même attention à ce qui vous est proposé.
Masque Attack permet à de fausses applications de s’installer sur iOS
-
Il suffit d'accepter une invitation à installer une application
-
Pour Apple, il n'y a pas de quoi paniquer
-
N'installer rien qui ne provienne de l'App Store
Commentaires (23)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 14/11/2014 à 12h47
Le 14/11/2014 à 13h24
Sauf que sous Android une appli qui ne provient pas du market tu as un popup disant “attention vous n’êtes pas en sécurité” et il affiche dans tous les cas les autorisations auxquelles l’app aura acces. Là si je comprend bien l’application s’installe “comme si elle était validé par Apple”
" />
Après, on en revient aux régles de prudence de base sur internet …
Pour BB, tu peux installer un package hors market d’ailleurs … c’est comme sur Android : warning avant install ?
Le 14/11/2014 à 14h43
Le 14/11/2014 à 14h56
Pas besoin, c’est sécurisé
" /> (bon allez, j’arrête)
Et en fait si :http://www.avira.com/en/free-antivirus-ios
Le 14/11/2014 à 14h56
pas besoin, il n’y a pas de virus sur iOS
" />
grillé à 20s… ça m’apprendra à répondre au téléphone
Le 14/11/2014 à 15h18
Au fait c’est quoi ce téléphone qui illustre la news, on dirait une vieille télécommande high tech de domotique plutôt qu’un iPhone
" />
Le 14/11/2014 à 15h30
Le 14/11/2014 à 20h21
cette histoire ressemble quand même à une faille de type 0-day:
Apple a quand même été prévenue depuis le 26 juillet, et on ne découvre cette histoire que maintenant.
Surtout pour entendre que il n’y a rien de grave et que personne n’a été touché (à leur connaissance).
Et je crois que ce dernier truc est le pire :
Evidemment qu’un aspirateur de données/mdp et autre ne va pas se signaler sur l’appareil en indiquant être en train de couiner l’utilisateur…
Et d’antant plus que l’installation semble se faire de manière transparente: quelqu’un qui se fait avoir a très peu de chances de s’en apercevoir…
Le 14/11/2014 à 20h30
D’ailleurs, qu’est ce qui empêche la page internet d’imiter une page d’appstore?
Certes, on sera alors dans Safari, ce qui doit normalement être visible (je suis sous android, je ne peux pas vérifier ça).
Mais connaissant les gens de manière générale, beaucoup risquent de ne pas s’en apercevoir.
du coup leur remarque consistant à faire attention aux sources de leur application n’est même pas bonne:
la seule vraie parade est de démarrer manuellement l’appstore et d’y faire la recherche de soit même. donc de ne jamais rien installer de fourni par un même, et même si cela semble rediriger vers l’appstore.
(Et je n’imagine pas grand monde prendre ce genre de précautions, moi le premier)
Le 15/11/2014 à 07h06
C’est surement la prochaine étapes mon cher Gemini_power…
et là on sera dans la merde.
Le 14/11/2014 à 10h48
J’avoue avoir déjà installé des apps venant de FB, mais de toute façon, c’est sur l’appstore après.. donc c’est ou ce sera controlé
Le 14/11/2014 à 10h54
Nous ne sommes au courant d’aucun utilisateur affecté par cette attaque.
J’adore.
Comme si ça changeait quelque chose au problème…
C’est tout à fait le même genre d’évitement de question que j’entends dans des interviews de personnes politiques (“je suis pas au courant”).
Le 14/11/2014 à 10h56
Entre ces p$%`ù de pubs sur les sites qui enclenchent les fiches produits sur l’application AppStore (comportement autorisé par Apple sur iOS) et ce type de hack, je pense qu’il va y avoir plusieurs personnes qui vont se faire avoir.
Le 14/11/2014 à 11h00
Le 14/11/2014 à 11h03
+1
Le 14/11/2014 à 11h04
En même temps, que veux tu qu’ils fassent à la place:
Le 14/11/2014 à 11h04
Le 14/11/2014 à 11h24
Ben à ce moment là, autant rien dire, le résultat sera le même.
Parce qu’avec ce genre de déclaration, tu peux être certain que des utilisateurs seront certains de pas être infectés, alors qu’ils le sont.
Le 14/11/2014 à 11h26
Le 14/11/2014 à 11h54
Y’a souvent sur certains sites/ou applis pas très regardants quand à leur régie de pubs, des liens ou des chargements auto vers un appli du store, ce qui fait que si t’as le malheur de toucher le lien, tu te retrouves dans le store sans rien avoir demandé (et pas de confirmation de bascule entre les deux).
En plus avant iOS 8, un tel lien dans une appli ouvrait dans un premier temps safari (normal, adresse web) qui parcourait les différentes redirections jusqu’à ouvrir le store ensuite.
Le 14/11/2014 à 11h56
Le 14/11/2014 à 12h24
« Et pas besoin de câble USB cette fois »
" />
Apple innove de plus en plus fort
Le 14/11/2014 à 12h39
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?