Selon diverses informations, la faille de sécurité sur l’iPhone révélée la semaine dernière aurait peut-être été plus large qu’on ne le pensait à l’origine, et concernerait également les appareils Android et Windows. Des sources qui ont évoqué le sujet avec Forbes ont affirmé que les attaques, qui utilisaient des sites Web malveillants pour installer un logiciel de surveillance sur des périphériques victimes, ont peut-être fait partie d’une longue campagne en provenance de Chine.
Ces attaques, découvertes par des chercheurs de Google, auraient été utilisées pour cibler des appareils utilisés par le groupe ethnique ouïghour musulman dans le cadre d’une opération de répression menée par l’État chinois.
Le rapport de la semaine dernière par l’équipe de sécurité de l’équipe Project Zero de Google a révélé qu’un certain nombre de sites Web malveillants ont pu pirater l’iPhone d’une victime à leur insu. Une fois accessibles en cliquant sur un lien de redirection, les appareils ont ensuite été infectés par un logiciel malveillant capable de transmettre des données telles que les coordonnées, les fichiers médias et même la position GPS.
Les périphériques jusqu’à iOS 12 inclus ont été affectés, les hackers étant capables de détecter quelles applications l’utilisateur ont été installées, aspirant les données de services populaires tels que Instagram, WhatsApp et Telegram, ainsi que les produits Google tels que Gmail et Hangouts.
Les ouïghours ciblés
La campagne aurait utilisé des sites ouïghours pour attirer des victimes de la région, ce qui aurait permis de cibler des groupes spécifiques d’utilisateurs. Ces dernières années, les ouïghours ont fait l’objet d’une surveillance étroite de la part des autorités chinoises, en particulier dans la province du Xinjiang, et les récents chiffres des Nations Unies indiquent que plus d’un million d’ouïghours ont été arrêtés.
Google et Apple n’ont pas commenté les rapports, qui affirment également que les attaques ont été mises à jour au fil du temps, à mesure que différents systèmes d’exploitation et de nouveaux smartphones et modèles de PC ont été publiés.
Cependant, Microsoft déclare ne pas avoir reçu d’informations de la part de l’équipe de Google. « Le Project Zero de Google était très précis dans son article de blog que les attaques récemment annoncées utilisent des exploits spécifiques à l’iPhone et ne nous ont pas révélé d’informations analogues », a déclaré un porte-parole de Microsoft. « Microsoft s’est fermement engagée à enquêter sur les problèmes de sécurité signalés et, si de nouvelles informations étaient divulguées, nous prendrons les mesures nécessaires pour protéger les clients ».
Google a informé Apple des failles en février, avec une nouvelle version d’iOS publiée peu de temps après avoir corrigé le problème.
