Trois failles de sécurité d’iOS collectivement nommées Trident ont été identifiées par la société Lookout conjointement avec le laboratoire Citizen Lab de l’Université de Toronto au Canada.
Selon les experts en sécurité mobile, iOS a fait l’objet d’une attaque mobile sophistiquée, ciblée et persistante utilisant trois vulnérabilités appelées Trident. Elles permettent l’introduction dans l’appareil iOS et l’espionnage discret des victimes en récupérant de l’information de diverses applications telles que Gmail, Facebook, Skype, WhatsApp, Calendar, FaceTime, Line, Mail.Ru, et d’autres.
TRIDENT était activement utilisé par une organisation appelée NSO Group via son spyware Pegasus. L’analyse de Lookout a permis de déterminer que ce malware exploite les faiblesses IOS zero-day suivantes :
1. CVE-2016-4654: Webkit de corruption de mémoire – Une vulnérabilité du WebKit JavaScript Safari permet d’infecter un mobile quand l’utilisateur clique sur un lien
2. CVE-2016-4655: Une fuite d’information du AppleKeyStore – Une vulnérabilité kernel base mapping vulnerability qui fait fuir l’information et permet au hacker de calculer l’emplacement du kernel’s dans la mémoire
3. CVE-2016-4656: Corruption de la mémoire Kernel qui conduit à Jailbreak – Des vulnérabilités 32 et 64 bit iOS kernel-level qui permet à l’attaquant de s’introduire silencieusement dans l’appareil et d’installer un logiciel d’espionnage.
Lookout a alerté Apple qui vient de lancer, ce jour, un patch de mise à jour 9.3.5.
Un militant emirati des droits de l’Homme espionné
Ces failles ont été exploitées par la société israélienne NSO, spécialisée
dans les logiciels d’espionnage grâce à des produits pouvant lire les messages, intercepter les appels et les sons enregistrés sur les téléphones. Le logiciel espion de NSO a été découvert après que Ahmed Mansoor, un militant des droits de l’Homme émirati, eut donné l’alerte. Après avoir reçu des textos suspicieux avec un lien Internet, le dissident a averti le Citizen Lab de l’université de Toronto, spécialisé dans la censure informatique, qui travaille donc avec la société de cybersécurité californienne Lookout. John Scott-Railton, l’un des auteurs du rapport sur cette attaque de Citizen Lab, a expliqué avoir retrouvé le groupe NSO à partir du lien reçu par M. Mansoor. Toutefois, ils n’ont pas découvert quel pays ou entité avait utilisé le logiciel israélien pour espionner le militant émirati…
Document d’analyse technique de Lookout sur Pegasus et Trident