Situation :
Google Project Zero, un lab spécialisé dans la cherche des vulnérabilités, a publié un descriptif détaillant des vulnérabilités zero-day qu’ils ont découvert en février sur iOS (iPhone) qui était activement exploité.

Il y avait un certain nombre de sites web avec une popularité limité (1000 visiteurs par semaines) qui était victime d’un « watering hole attack » (où l’attaquant cherche à compromettre un groupe ciblé d’utilisateurs en infectant les sites web qui sont connus pour être visités par ces membres). Tous les visiteurs de ces sites web, qui utilisaient un iPhone entre iOS 10 et iOS 12 ont été infectés sans discrimination. 4 différentes chaines d’exploitation utilisant 14 vulnérabilités ont été utilisées entre septembre 2016 et janvier 2019. Les vulnérabilités en question ont été corrigées depuis.

Analyse :
Une vulnérabilité est un bug dans un programme qui permet à une personne malveillante (qui l’exploiterait) d’avoir plus des privilèges/accès/autorisations/capacités que ce qui était prévu par le programmeur. Avec la complexité actuelle des programmes et systèmes d’exploitation, une seule vulnérabilité ne peut, en général, pas donner un accès complet à un système. Il faut en combiner plusieurs (chaines d’exploitation). Par exemple : une pour attaquer le navigateur web, une pour sortir des restrictions du système d’exploitation (sandbox escape) et une pour modifier le système. Une vulnérabilité zero-day indique que la compagnie qui publie l’application (Apple en l’occurrence) n’est pas au courant de la vulnérabilité pendant qu’elle est activement exploitée par des hackeurs.

Une fois un visiteur naviguait sur un des sites web infectés depuis son iPhone, celui-ci se faisait infecter (sans aucune notification) et permettait aux hackeurs d’accéder à la position GPS de l’appareil, espionner ses communications, accéder à ces documents, etc.

Avis personnel :
Ceci est encore un rappel que notre environnement digital (ordinateur, smartphone, IoT, etc.) est très vulnérable et que des personnes malveillantes les attaques régulièrement. Il ne faut pas rentrer dans de la paranoïa, mais être conscient du risque et agir en fonction (surtout lorsqu’on est une cible potentiel de crime organisé ou de gouvernement.

Les sites web en question n’ont pas été publiés, mais il semble clair qu’ils visaient un groupe (ethnique, géographique ou idéologique spécifique). Ce genre d’action nous fait clairement penser à des hackeurs étatiques, car le crime organisé s’en serait pris à des sites web beaucoup plus populaires que 1’000 visiteurs par semaine…

Steven Meyer – Partner & CEO – ZENData Sarl