Apple corrige de graves failles de sécurité sur iOS grâce à un militant des droits de l’homme
Apple corrige de graves failles de sécurité sur iOS grâce à un militant des droits de l’homme
Par Martin Untersinger
Ces trois importantes failles ont été découvertes grâce à la vigilance d’un activiste émirati, visé par une attaque informatique sophistiquée.
L’activiste Ahmed Mansoor, grâce à qui trois importantes failles d’iOS viennent d’être corrigées. | Jon Gambrell / AP
A partir de jeudi 25 août, les détenteurs d’appareils Apple pourront installer une mise à jour de iOS, le logiciel qui équipe iPhone et autres iPad, corrigeant trois importantes failles de sécurité. Elles ont été découvertes par Ahmed Mansoor, un activiste émirati défenseur des droits de l’homme.
Comme le racontent le site spécialisé Motherboard et le New York Times, ce militant de 46 ans a reçu le 10 août sur son iPhone plusieurs messages contenant des liens, promettant des informations sur des abus commis par le régime émirati. Intrigué, il décide de ne pas cliquer et de les transférer au Citizen Lab, une entité de l’université de Toronto spécialisée en cybersécurité.
Trois failles « zero day »
Grand bien lui en a pris : en collaboration avec l’entreprise Lookout Security, les chercheurs du Citizen Lab ont découvert que s’il avait cliqué sur les liens, se serait installé sur son iPhone un logiciel espion qui aurait pris le contrôle du smartphone, capable d’activer en douce sa caméra ou son micro et d’enregistrer ses discussions sur ses comptes WhatsApp ou Viber.
Qu’un éminent activiste soit visé par une attaque informatique n’est guère étonnant : il l’avait déjà été à deux reprises, en 2011 et en 2012. Ce qui l’est davantage, c’est que l’assaillant a utilisé trois failles dites « zero day ». Ce type de vulnérabilité est à la fois rare et précieux : il s’agit d’une faille que personne n’a encore découverte, et qui est donc parfaitement exploitable.
Ce type de vulnérabilité est encore plus rare lorsqu’elles concernent iOS, plutôt réputé pour sa sécurité. Que trois failles « zero day » fonctionnelles visant iOS soient découvertes simultanément est sinon une première, du moins rarissime.
Le débat autour des outils de surveillance
Le Citizen Lab a remonté la trace du programme espion jusqu’à NSO Group, une firme israélienne spécialisée dans les solutions d’écoute pour téléphone mobile à destination des Etats et fondée par un ancien membre des hackeurs d’élite de l’armée israélienne. Réaliser ce type de piratage de haut vol a un coût, et il est très élevé. Une faille « zero day » pour iOS s’est récemment monnayée pour 1 million de dollars.
L’identité et l’activité de la cible, le prix qu’il a fallu dépenser et le fournisseur du logiciel espion ne laisse guère place au doute, selon Citizen Labs : le commanditaire est très certainement le gouvernement émirati.
Cette nouvelle révélation risque de raviver le débat qui entoure la vente, par des entreprises occidentales, d’outils d’écoutes à destination des Etats, explique Ronald Deibert, le directeur du Citizen Lab :
« Le fait que les régimes autocratiques abusent d’outils d’écoute sophistiqués pour viser des organisations de la société civile et des défenseurs des droits de l’homme sans défense est un problème permanent et majeur. »
Peu après leur découverte, les chercheurs à l’origine de la découverte des failles ont averti Apple, qui vient donc de combler ces failles dans sa dernière mise à jour d’iOS.