Oui Apple Blâmer l’incapacité d’arrêter Pegasus ?
Il fut un temps, il n’y a pas si longtemps, que seuls les technologues avaient entendu parler de logiciels espions comme Pegasus. Mais si vous allez à une fête ces jours-ci, il y a de fortes chances que les invités finissent par parler d’iPhones buggés.Il est difficile de trouver un signe plus évident que quelque chose a terriblement mal tourné Apple.
Ce qui fait peur à Pegasus Apocalypse, c’est l’idée d’une surveillance invisible. De toute évidence, le développeur de Pegasus NSO et les pays qui utilisent son logiciel sont plus intéressés par le contenu téléphonique appartenant aux chefs d’État, aux militants et aux journalistes politiques que le propriétaire moyen d’un iPhone – mais c’est une idée effrayante s’ils peuvent le regarder. recherché. (Si vous êtes inquiet, lisez comment vérifier si votre iPhone est infecté par le logiciel espion Pegasus de NSO.)
Pegasus peut et a été utilisé sur les téléphones Android, mais son travail sur l’iPhone a reçu plus d’attention. Le Washington Post décrit comment l’iPhone 11 de l’épouse dissidente marocaine a été piraté en lui envoyant un iMessage : une attaque dite zéro-clic alors qu’elle était en France. Même la mise à jour vers la dernière version d’iOS ne semble pas offrir de protection.
Peut-être que cette focalisation sur l’iPhone est un peu injuste Applequi semble toujours avoir plus de titres négatifs qu’il ne le mérite (sur Macworld US, Macalope n’est pas d’accord, qualifiant la menace de « non-sens sur Android »), mais ce n’est pas non plus totalement infondé, car la société Cupertino elle-même a travaillé dur pour faire de l’iPhone le modèle ultime de sécurité et de confidentialité.
hack ingénieux ou négligent Apple?
Dans un passé récent, on pensait que l’iPhone était largement à l’abri des pirates et des services gouvernementaux secrets : même les avocats et les journalistes qui étaient trop naïfs pour faire confiance aux promesses d’Apple selon lesquelles personne ne pourrait accéder aux données sur leurs appareils.Mais la question pertinente n’est pas de savoir comment cela s’est passé ; la question est de savoir si vous pouvez blâmer Apple. Oui Apple Juste victime d’un piratage astucieux, ou peut-on reprocher à Cupertino de fausses promesses publicitaires, de négligence et de cupidité ?
déjà réagi Apple: Cupertino nie que la menace ait touché de nombreux utilisateurs. Les attaques étaient trop sophistiquées, selon Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité chez Apple. Les méthodes d’attaque signalées sont de courte durée et coûtent des millions à développer. De cette façon, seuls quelques individus de grande valeur sont vulnérables à cette attaque ; elle ne constitue pas une menace pour la grande majorité des utilisateurs.
Cette affirmation n’est pas entièrement fausse. La base de données de 50 000 numéros de téléphone ne peut pas tirer de conclusions infaillibles sur le nombre de personnes surveillées, mais on pense que près de 100 des quelque 60 clients de NSO sont surveillés chaque année.
Cependant, ces chiffres relativement faibles offrent peu de consolation aux victimes telles que la fiancée de Jamal Khashoggi, Hatice Cengiz. Selon une analyse du laboratoire de sécurité d’Amnesty International, l’iPhone de Cengiz a été piraté à plusieurs reprises quatre jours seulement après l’assassinat du journaliste et dissident – bien que l’ONS le nie.
Comme de nombreux utilisateurs d’iPhone, Cengiz demandait pourquoi on lui avait dit que l’appareil était plus sécurisé que les autres téléphones. Apple Plusieurs promesses de fournir un haut niveau de sécurité des données. Certains se demandent si ce ne sont pas des promesses vides.
Problèmes avec iMessage
Pegasus n’utilise pas de programmes tiers pour accéder à l’iPhone.Les victimes sont souvent agressées Apple des applications telles que la messagerie (iMessage), Apple La musique, les photos, FaceTime et Safari, ainsi que les recherches d’Amnesty International, suggèrent qu’iMessage a fourni les exploits utilisés par les pirates.
D’après les experts, Apple Il y a un gros problème avec la suppression des exploits d’iMessage. L’une des raisons semble être que l’application ne cesse de proposer de nouvelles fonctionnalités, comme Memoji et des autocollants, qui continuent d’offrir de nouveaux points d’attaque potentiels – chaque nouvelle fonctionnalité rend l’application plus attrayante pour les utilisateurs, mais aussi plus vulnérable au piratage. Il existe également des aspects pratiques qui facilitent l’attaque : la capacité (et la plausibilité) pour des inconnus de vous envoyer un message, par exemple.
Apple Connaître ces problèmes. Pour les contrer, il s’appuie sur de nouvelles fonctionnalités de sécurité telles que BlastDoor, qui vérifie automatiquement les fichiers image et les aperçus Web et est conçu pour empêcher les logiciels malveillants.
Mais BlastDoor peut ne pas suffire. Certains experts en sécurité recommandent de désactiver complètement iMessage.
Gestion des bogues
Il y a clairement matière à amélioration dans le traitement des vulnérabilités.
Apple Exécutez un programme de primes aux bogues qui rémunère les chercheurs indépendants qui signalent les failles du système.C’est une idée intelligente, mais Apple Semble avare et indécis dans la façon dont il gère les rapports de bogues. Par exemple, le développeur Nicolas Brunner a décrit le programme comme un mensonge.il à Apple Le processus a duré 14 mois et a finalement été ignoré. « A partir d’aujourd’hui », écrit-il, « Apple Refuser tout paiement de prime, bien que le rapport en question soit très clairement conforme à leurs propres directives. «
Ceci est particulièrement choquant car les chercheurs qui ont découvert la faille iOS savaient qu’ils pouvaient être payés par une autre partie. Les entreprises qui travaillent avec NSO paieront d’énormes primes pour les bogues iOS.
Apple Faites-le toujours à votre façon. Par exemple, le service marketing de l’entreprise était considéré comme un obstacle à des normes de sécurité constamment élevées, car il insistait pour utiliser certains messages prédéterminés lors de la communication avec des experts en sécurité externes, selon un ancien employé.
Apple Certainement pas le seul fabricant de smartphones attaqué. Comme mentionné précédemment, Pegasus n’a pas épargné les smartphones Android. En fait, l’impact sur Android pourrait être pire, car les traces de Pegasus sont plus difficiles à identifier sur cette plate-forme. C’est probablement pourquoi l’iPhone est si important dans les cas établis.
mais que peut Apple Fais? La société semble négligente dans le démarrage d’une multitude de nouvelles fonctionnalités sur iMessage et doit rendre son application de chat plus sécurisée. Sa relation avec les chercheurs en sécurité peut être améliorée avec une petite mise de fonds et un peu de bonne volonté lorsqu’une vulnérabilité est découverte.
Cela pourrait en valoir la peine Apple Créez un groupe de recherche de vulnérabilités actif sous l’égide de l’équipe d’analyse des menaces de Google. Avec une telle organisation, Apple Non seulement il peut apporter plus de sécurité, mais il peut aussi améliorer son image. Cependant, le service marketing d’Apple pourrait opposer son veto au plan, ce qui témoigne du problème sous-jacent.
Cet article a été initialement publié sur Macwelt. Traduit par David Price.