Ces derniers mois, de nouvelles informations ont filtré sur les vulnérabilités compromettant les appareils Apple. Voici quelques précisions sur ces découvertes et plusieurs enseignements importants à tirer de cette actualité.
La vulnérabilité
En février, un chercheur de Trellix a annoncé la découverte d’une nouvelle grande catégorie de bugs concernant les iPhone, iPad et Mac. À partir du moment où un pirate parvient à accéder à un appareil, il peut utiliser cette vulnérabilité pour exécuter du code contournant le mécanisme de protection lié à la signature de code. Ce faisant, il peut potentiellement accéder à la quasi-totalité des ressources via l’appareil de la victime, à savoir les photos, journaux d’appels, messages texte, calendriers et données de géolocalisation. Il risque, de surcroît, de prendre le contrôle à distance de la caméra et du microphone de l’appareil en question, et même d’en effacer intégralement le contenu.
Principe de fonctionnement
Cette vulnérabilité trouve sa source dans NSPredicate, une classe (ou fonctionnalité de création d’objets) permettant aux développeurs de filtrer des listes d’objets sur un appareil. Si, par sa nature, cette fonctionnalité peut sembler anodine, elle constitue en réalité un langage de script très complet qui peut être exploité pour bénéficier d’un accès et d’un contrôle sans entraves.
La réalité : les appareils Apple sont vulnérables
Au fil des années, l’approche d’Apple en matière de sécurité a toujours été mise à l’honneur, et à juste titre. Sur ses appareils iOS, mais également de plus en plus macOS, l’entreprise recourt à la signature de code. Concrètement, seules les applications comportant la signature chiffrée d’un développeur de confiance peuvent s’exécuter. Les hackers ont donc indéniablement davantage de difficultés à exécuter des malwares sur du matériel Apple.
Néanmoins, aussi intéressants soient-ils, ces systèmes de protection ne sont pas pour autant infaillibles. NSPredicate est en la parfaite illustration. Fondamentalement, cette classe permet à quiconque ayant accès à un appareil de contourner la signature de code pour exécuter un malware.
Loin d’être les premières, ces vulnérabilités sont simplement les dernières en date
Les vulnérabilités révélées en février ne sont que les dernières en date d’une série de découvertes concernant des failles dans les produits Apple. C’est précisément un mois plus tôt, en janvier, qu’Apple a publié un avis de sécurité relatif à une faille de sécurité critique sur d’anciens appareils. Dans sa publication, l’entreprise faisait mention d’une exploitation active. Elle a publié des correctifs qui ont permis de remédier à un certain nombre de vulnérabilités, et notamment de colmater les failles du navigateur WebKit susceptibles d’entraîner l’exécution de code.
Précisons qu’en février, ce n’était pas la première fois que NSPredicate faisait l’actualité. Dès septembre 2021, Citizen Lab faisait état d’une faille baptisée FORCEDENTRY. Il s’agissait d’une vulnérabilité de type zéro clic, signifiant qu’un appareil pouvait être infecté sans que l’utilisateur ne clique sur un lien. FORCEDENTRY a été exploitée par la société israélienne NSO Group, qui a développé le logiciel espion Pegasus. Il a notamment été découvert qu’un militant des droits de l’homme bahreïni a vu son iPhone piraté par Pegasus via cette vulnérabilité
Le piratage en question a eu recours à deux techniques principales, dont l’une consistait à mettre à profit NSPredicate pour contourner la signature de code. Depuis lors, Apple a effectué un certain nombre de modifications pour remédier aux risques représentés par NSPredicate, mais de récentes révélations prouvent que ces correctifs n’en étaient pas réellement, ou n’ont du moins pas eu l’effet escompté.
Principaux enseignements
L’actualité récente met en évidence certaines réalités fondamentales pour les équipes de sécurité :
• On ne peut pas compter sur les architectures « sécurisées » des matériels. N’importe quel appareil peut s’avérer vulnérable. Ancien ou nouveau, sous Android ou sous iOS, avec ou sans correctifs, peu importe : les acteurs malveillants trouvent toujours les moyens de compromettre des appareils mobiles.
• On ne peut pas compter sur les correctifs et la remédiation. Force est de constater qu’une faille apparue en 2021 continue à représenter un risque pour les utilisateurs des appareils et les entreprises. Alors que différentes mesures correctives ont été mises en œuvre et plusieurs correctifs publiés, des vulnérabilités subsistent.
• On ne peut pas compter sur les utilisateurs. Même si de nouvelles mises à jour sont disponibles, plusieurs semaines, voire plusieurs mois s’écoulent parfois avant que les utilisateurs ne les installent. De plus, les collaborateurs sont susceptibles d’être touchés rendant alors ces garde-fous inutiles. En effet, si une attaque par hameçonnage (phishing) est suffisamment sophistiquée, même des employés correctement formés risquent d’être abusés ; incités à divulguer des secrets, ils ouvrent alors la porte aux malwares.
Ne pas s’enfermer dans le déni
Il est toujours tentant de réduire son niveau de stress en niant l’existence d’un risque ou en espérant y échapper. Les entreprises tentent alors de se rassurer et de se convaincre de leur invulnérabilité puisqu’elles utilisent un nouvel appareil, qu’elles mettent régulièrement à jour leur parc, ou que leur plateforme est protégée par la signature de code. Or, ces dernières années ces convictions ont été ébranlées à maintes reprises. S’enfermer dans le déni ou se raccrocher à de faux espoirs n’est jamais une stratégie judicieuse et peut s’avérer particulièrement désastreuse pour les équipes de sécurité. Les appareils et applications mobiles représentent aujourd’hui le premier vecteur d’attaque d’une entreprise. Les ressources de cette dernière sont toujours plus exposées aux menaces mobiles, notamment l’hameçonnage, les attaques réseau, les applications malveillantes et les appareils compromis. Les stratégies, pratiques et technologies de sécurité doivent être en adéquation avec cette réalité.
Pour combattre les menaces que représentent aujourd’hui les appareils mobiles vulnérables, il est évident que les équipes de sécurité doivent recourir à des outils évolués de protection contre les menaces mobiles capables de s’adapter au paysage actuel. Ces solutions sont primordiales si les entreprises entendent se prémunir contre les attaques les plus sophistiquées sur les appareils mobiles. En outre, elles fournissent aux équipes de sécurité des données stratégiques indispensables pour conserver une longueur d’avance sur des cyberattaques toujours plus sophistiquées.
Aucune réponse