July 24, 2021

Apple sous pression sur la sécurité de l’iPhone après les allégations de logiciels espions de NSO

Apple a subi des pressions pour collaborer davantage avec ses rivaux de la Silicon Valley afin de repousser la menace commune de la technologie de surveillance, après qu’un rapport a allégué que le logiciel espion Pegasus de NSO Group avait été utilisé pour cibler des journalistes et des militants des droits humains.

Amnesty International, qui a analysé des dizaines de smartphones ciblés par les clients de NSO, a déclaré que les affirmations marketing d’Apple concernant la sécurité et la confidentialité supérieures de ses appareils avaient été “déchirées” par la découverte de vulnérabilités, même dans les versions les plus récentes de ses iPhones et de ses logiciels iOS.

« Des milliers d’iPhones ont potentiellement été compromis », a déclaré Danna Ingleton, directrice adjointe de l’unité technique d’Amnesty. “C’est une préoccupation mondiale – tout le monde est en danger, et même les géants de la technologie comme Apple sont mal équipés pour faire face à l’échelle massive de la surveillance à portée de main.”

Les chercheurs en sécurité affirment qu’Apple pourrait faire plus pour résoudre le problème en travaillant avec d’autres entreprises technologiques pour partager des détails sur les vulnérabilités et vérifier leurs mises à jour logicielles.

“Apple fait malheureusement un mauvais travail dans cette collaboration”, a déclaré Aaron Cockerill, directeur de la stratégie chez Lookout, un fournisseur de sécurité mobile, décrivant iOS comme une “boîte noire” par rapport à Android de Google, où il est “beaucoup plus facile d’identifier les comportements malveillants ”.

Amnesty a travaillé avec le journalisme à but non lucratif Histoires interdites et 17 partenaires médias sur le « Pegasus Project » pour identifier les cibles présumées de la surveillance.

NSO, qui affirme que sa technologie n’a été conçue que pour cibler des suspects criminels ou terroristes, a décrit les affirmations du projet Pegasus comme de « fausses allégations » et « pleines d’hypothèses erronées et de théories non corroborées ».

Amnistie recherche a constaté que plusieurs tentatives de vol de données et d’écoute sur les iPhones avaient été effectuées via iMessage d’Apple à l’aide d’attaques dites « zéro clic », qui fonctionnent sans que l’utilisateur n’ait besoin d’appuyer sur un lien.

Bill Marczak, chercheur au Citizen Lab, un groupe à but non lucratif qui a largement documenté les tactiques de NSO, a déclaré que les conclusions d’Amnesty suggéraient qu’Apple avait un “problème majeur de cinq alarmes rouges clignotantes avec la sécurité d’iMessage”.

Un type similaire d’attaque Pegasus “zéro clic” a été identifié en utilisant WhatsApp Messenger appartenant à Facebook en 2019.

Will Cathcart, directeur de WhatsApp, a qualifié les dernières révélations de « réveil pour la sécurité sur Internet ». Dans une série de tweets, il a souligné les mesures prises par des sociétés technologiques telles que Google, Microsoft et Cisco qui ont cherché à repousser Pegasus et d’autres outils commerciaux de logiciels espions.

Mais Apple, avec qui Facebook a une querelle de longue date sur les contrôles de confidentialité de l’iPhone, était absent de sa liste de collaborateurs.

« Nous avons besoin que davantage d’entreprises et, surtout, de gouvernements, prennent des mesures pour responsabiliser le groupe NSO », Cathcart mentionné.

Alors qu’Apple fait “un excellent travail de protection des consommateurs”, a déclaré Cockerill de Lookout, il “devrait être plus collaboratif avec des entreprises comme la mienne” pour se protéger contre des attaques telles que Pégase.

“La grande différence entre Apple et Google est la transparence”, a déclaré Cockerill.

Apple a insisté sur le fait qu’il collaborait avec des chercheurs externes en sécurité, mais a choisi de ne pas faire connaître les activités. Cela comprenait le versement de millions de dollars par an en récompenses de « prime de sécurité » pour avoir détecté des vulnérabilités et fourni son matériel aux chercheurs.

« Depuis plus d’une décennie, Apple est le leader du secteur en matière d’innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité Je suis d’accord L’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé du marché », a déclaré Apple dans un communiqué.

“Les attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques”, a poursuivi Apple. « Bien que cela signifie qu’ils ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données. »