Le Project Zero de Google, une équipe d’analystes de sécurité qui se concentre sur la recherche de vulnérabilités dans les logiciels qui pourraient être exploitées par des pirates, a publié son analyse de l’exploit ForcedEntry.
L’exploit ForcedEntry a été réalisé par la société de cyberarmement NSO Group, basée en Israël. NSO Group, connue pour ses logiciels espions, a utilisé ForcedEntry pour exploiter une vulnérabilité dans la plateforme iMessage d’Apple et déployer son logiciel espion Pegasus.
Le Project Zero a utilisé un échantillon de ForcedEntry fourni par le Citizen Lab de l’Université de Toronto, qui a été le premier à découvrir l’exploit de NSO.Dans son analyse approfondie de l’exploit, Project Zero indique que ForcedEntry utilise une attaque sans clic, ce qui signifie que pour que le piratage fonctionne, la victime n’a pas besoin de cliquer sur un lien ou d’accorder une permission. Le piratage a contourné les défenses iOS zéro-clic d’Apple et, en utilisant iMessage d’Apple, a pris le contrôle des appareils pour installer Pegasus, un logiciel du groupe NSO utilisé pour l’espionnage.
ForcedEntry a exploité la manière dont iMessage accepte et interprète des fichiers comme les GIF pour tromper la plateforme et lui faire ouvrir un fichier PDF malveillant sans aucune intervention de l’utilisateur. L’exploitation a utilisé une faiblesse dans une ancienne technologie de compression conçue pour créer des fichiers PDF compressés à partir de la numérisation d’un document avec un scanner physique. Cette même technologie est encore utilisée par les ordinateurs aujourd’hui.
ForcedEntry utilise un script composé de commandes logiques écrites directement dans le fichier PDF masqué. Cela lui permet d’établir et d’exécuter toute l’attaque tout en se cachant dans iMessage, ce qui la rend encore plus difficile à trouver. Le fait que ForcedEntry utilise une telle technologie la rend unique, car de nombreuses attaques analogues doivent utiliser le serveur de commande et de contrôle pour donner des instructions au logiciel malveillant implanté.
Une énorme attaque
À propos de l’attaque ForcedEntry, le chercheur principal du Citizen Lab, John Scott-Railton, a déclaré : « Il s’agit là de capacités dignes d’un État-nation. La plongée technique de Project Zero est importante non seulement parce qu’elle explique les détails du fonctionnement de ForcedEntry, mais aussi parce qu’elle révèle à quel point les logiciels malveillants développés par des particuliers peuvent être impressionnants et dangereux ».
En septembre, le Citizen Lab de l’Université de Toronto a signalé que le groupe NSO, basé en Israël, utilise son exploit ForcedEntry pour pirater et installer son logiciel espion Pegasus sur les smartphones de certains utilisateurs. Pegasus était utilisé pour lire des messages, suivre des appels et des localisations, et collecter des informations sensibles à partir d’applications. Le logiciel espion pouvait également accéder à la caméra et au microphone du téléphone. Après le rapport, Apple a publié une série de correctifs pour contenir l’attaque ForcedEntry et corriger la vulnérabilité dans iMessage.
