Avec les spyware de la Hacking Team, il n’est plus nécessaire de jailbreaker les iPhones pour les infecter

Le monde de la sécurité a tremblé quand Hacking Team s’est fait pirater. Le public a découvert à cette occasion qu’un grand nombre de gouvernements clients de cette société cherchaient à compromettre les appareils iOS et Android.

Il y a peu de temps, le monde de la sécurité a véritablement tremblé quand Hacking Team a fait la une de l’actualité. Ce fournisseur italien de logiciels espions, qui commercialise des logiciels capables de capturer entre autres les données de Skype, les messages, les géolocalisations, les communications échangées sur les réseaux sociaux, l’audio et les images, s’est fait pirater.

Le public a notamment ainsi découvert qu’un grand nombre de gouvernements, dans le monde entier, tous clients de Hacking Team, cherchaient activement à compromettre les appareils iOS et Android, certainement dans le but d’accéder aux données stockées ou celles auxquelles lesdits appareils ont accès.

Les derniers rapports publics ont clamé haut et fort que les logiciels espions de Hacking Team ne pouvaient infecter que les appareils iOS jailbreaké. Afin d’informer les utilisateurs iOS des risques potentiellement encourus, il a été nécessaire de se pencher plus en avant sur les informations divulguées et le compte-rendu rendu est sans appel: ce n'est pas le cas.

Apple arrive à protéger ses utilisateurs de la majorité des logiciels malveillants, toutefois, il convient de constater que les logiciels espions de Hacking Team ont bien réussi à infecter des appareils non jailbreakés.

Il y a deux jours encore, avant qu’Apple ne l’abroge à juste titre, Hacking Team disposait d’un certificat d’entreprise Apple lui permettant d’installer des applications comportant la signature de ce certificat sur n’importe quel appareil iOS, jailbreaké ou non. Hacking Team utilisait ce certificat pour signer une application, un véritable logiciel espion niché dans l’application originale Newsstand, afin qu’elle puisse être téléchargée sur n’importe quel appareil iOS. Ce faisant, ils contredisaient leurs propres propos, figurant sur une page de tarifs certainement obsolète, et d’après lesquels les appareils iOS visés devaient être jailbreakés.

En quoi consiste un certificat d’entreprise ?

Apple a créé des certificats d'entreprise pour permettre aux entreprises de développer et de distribuer des applications personnalisées sans qu’elles ne soient examinées par Apple ou uniquement disponibles sur l’App Store d'Apple. Cette pratique est courante parmi les entreprises qui créent et distribuent leurs propres applications pour leurs employés. Il est en échange demandé aux entreprises de n’installer ces applications que sur les appareils des employés. Techniquement toutefois, un certificat d'entreprise peut être utilisé pour installer une application sur n’importe quel appareil iOS. Lorsqu’une société abuse de ce certificat d’entreprise, elle outrepasse l'excellent travail que fait Apple en matière de vérification des applications pour en garantir la sécurité, et ouvre grandes les portes de la distribution intempestive de logiciels malveillants.

Apple a de son côté créé des avertissements de sécurité pour informer les utilisateurs des risques encourus en cas d'installation d’applications ne provenant pas de l'App Store. Cependant, un défi majeur se pose puisque les utilisateurs sont de plus en plus conditionnés à ignorer ces avertissements de sécurité.

Les utilisateurs d'iPhone peuvent-ils alors télécharger des applications ne provenant pas de l'App Store ?

Les utilisateurs peuvent télécharger des applications ne venant pas du marché officiel sur des téléphones non jailbreakés. En téléchargeant des applications signées par des certificats d'entreprise ou de développeurs, les utilisateurs iOS peuvent installer sur leurs appareils des applications qui ne sont pas passées par le rigoureux processus d’examen d’Apple, intégré à l'App Store. En effet, vu que l'App Store est un environnement relativement sûr, la plupart des menaces les plus récentes sur iOS ayant affecté des appareils non jailbreakés ont été diffusées sur iOS en abusant du canal de distribution d’entreprise. Il est primordial que les utilisateurs n’installent des applications que de sources en lesquelles ils ont toute confiance, qu’elles proviennent d’un magasin d'applications, de leur service informatique ou d'une autre tierce partie.

Comment Hacking Team ont-ils réussi à installer leur logiciel espion sur des iPhones non jailbreakés ?

Trois options semblent possibles :

  • Une application OS X télécharge en parallèle automatiquement une application iOS sur un appareil quand il est branché via USB. Le téléchargement comprendrait un kit de débridage pouvant fonctionner sur les anciennes versions d'iOS.
  • Une application de bureau Windows présente un comportement similaire.
  • Sur votre appareil mobile, en cliquant sur un lien de téléchargement sur un site Web, dans e-mail, etc.

Il est possible que pour procéder à cette attaque spécifique, il a été nécessaire d’avoir un accès physique à l'appareil. Toutefois, comme Hacking Team détenait un certificat d'entreprise, il est possible d'écarter le risque que d’autres attaques similaires se produisent par l'intermédiaire d'un navigateur Web (drive-by download), d’un e-mail d’hameçonnage ou tout autre moyen à distance.

Une fois sur l’appareil, l'application s’installe elle-même comme un journal dans l'application originale Newsstand et présente une icône invisible et un nom d'application vierge. Toutefois, l’application est bien présente dans Newsstand et dans les réglages généraux de l’appareil. Une fois installée l’application demande que vous lui accordiez un accès aux données qu’elle désire. C’est à ce moment-là qu’elle commence à suivre les contacts, le calendrier et les géolocalisations de l’utilisateur.

L'application demande l'autorisation d'accéder à toutes ces informations, il est donc probable que le vecteur d'attaque de cette application consiste à s’installer secrètement sur l’appareil de l’utilisateur ciblé afin que toutes les autorisations lui soient accordées. L’application capture également ce qui est saisi sur le clavier. Le dossier des plugins contient un programme malveillant qui ajoute une nouvelle option de clavier à l'appareil.

Une fois encore, il est nécessaire qu’une personne ait un accès physique à l'appareil pour configurer le clavier et que le clavier de Hacking Team soit utilisé par défaut. Cependant, ce clavier semble identique au clavier intégré à iOS et la victime ne se douterait pas qu’elle l’utilise et que, par là même, tout ce qu’elle saisit est envoyé à un serveur distant.

Il est important de noter que, bien qu’Apple prenne en charge l’utilisation d’un clavier de tiers, certaines limites sont imposées et ledit clavier ne fonctionnera pas dans un  champ de mot de passe. Cet outil ne sera donc pas en mesure de dérober les mots de passe d’applications et sites Web correctement mis en œuvre. Il pourra toutefois être utilisé pour voler les noms d'utilisateur, le contenu des e-mails et d’autres données sensibles.

Deux leçons importantes sont à retenir en matière de sécurité mobile à la suite du scandale Hacking Team survenu il y a quelques jours.

  1. Il est maintenant impossible d'ignorer que des attaquants dans le monde entier ont l'intention de compromettre autant les appareils iOS et que ceux sous Android, et qu’ils ont accès à la technologie pour le faire.
  2. Pour ce qui concerne plus spécifiquement iOS, il n’est pas nécessaire qu’un appareil soit jailbreaké pour qu’il soit infecté. Le fait que Hacking Team détenait un certificat d'entreprise lui a donné la possibilité d'infecter tous les appareils iOS. Du coup, le nombre de victimes potentielles s’élève bien au-delà des 8% estimés de personnes, dans le monde entier, dont l’appareil est jailbreaké.

Alors, comment réagir face à cela ? Tout d'abord, rien ne sert de paniquer car les chances que le logiciel de surveillance de Hacking Team soit installé sur votre appareil sont faibles. Pour le vérifier, vous pouvez :

  • Ouvrir l’application Réglages et vérifier qu’aucune application installée ne comporte pas de nom
  • Ouvrir l’application Réglages puis Général, Clavier et Claviers et vérifier que seuls les claviers que vous avez installés vous-même sont repris dans la liste.
Voici, par ailleurs, quelques conseils d’ordre général pour rester en sécurité :
  • Verrouiller son portable en y configurant un mot de passe. Un grand nombre de logiciels espions vendus sur le marché exigent que l'attaquant accède physiquement à votre appareil pour installer un logiciel. Configurer un mot de passe sur votre portable lui rendra la tâche beaucoup plus difficile.
  • Ne pas télécharger d’applications en provenance de marchés tiers ou de liens en ligne. Les logiciels malveillants sont également diffusés ainsi. Téléchargez seulement sur des marchés officiels et approuvés tels que l'Apple App Store et Google Play.
  • Ne pas débrider son appareil, sauf si l'on sait vraiment ce que l'on fait. Vu que les appareils iOS jailbreakés sont intrinsèquement moins protégés, ils sont plus vulnérables aux attaques lorsque certaines mesures de protection ne sont pas correctement activées.