L'affaire Pegasus rebondit. Ce logiciel capable d'espionner les téléphones Android et iOS d'opposants partout dans le monde, a fait beaucoup parler de lui au coeur de l'été. Et c'est loin d'être terminé : on apprend désormais qu'une nouvelle faille zero day zero day et zero clic affectant le service iMessage d'Apple a été exploitée par Bahreïn entre juin 2020 et février 2021 pour percer les conversations et messages de 9 militants. D'après le rapport de TheCitizenLab, Bahreïn a acheté le logiciel espion Pegasus de NSO Group en 2017, bien avant le pic d'activité observé depuis juillet 2020 qui a éveillé les soupçons des chercheurs en sécurité et les a incité à s'intéresser de près à ce phénomène.

« Au moins quatre des militants ont été piratés par LULU, un client de Pegasus qui est lié au gouvernement de Bahreïn, connu pour se servir de logiciels espions. « Deux des militants piratés résident maintenant à Londres et au moins un y était lorsqu'ils ont été piratés. Dans nos recherches, nous avons seulement vu le gouvernement du Bahreïn espionner dans son pays et au Qatar en utilisant Pegasus mais jamais en Europe. Ainsi, l'opposant bahreïni à Londres a peut-être été piraté par un opérateur Pegasus associé à un autre gouvernement », souligne CitizenLab. Les deux victimes vivant actuellement en exil à Londres sont les Bahreïnis Moosa Abd-Ali et Yusuf Al-Jamri. Ce dernier a trouvé asile en Grande-Bretagne après avoir été torturé en 2017 par les services de renseignements du Bahreïn.« L'iPhone 7 d'Al-Jamri semble avoir été piraté avec Pegasus avant septembre 2019. Nous n'avons pas pu déterminer s'il a été piraté à Bahreïn ou à Londres. Une analyse forensics plus poussée pourrait permettre d'établir une date plus précise du piratage », précise TheCitzenLab. Le piratage de l'iPhone 8 de Moosa Abd-Ali aurait quant à lui été réalisé au alentours de septembre 2020.

L'exploit zero-day et zero clic trop fort pour Apple ?

Concernant les vecteurs d'attaques utilisés pour cibler ces victimes, TheCitizenLab en met deux en avant particulièrement pernicieux affectant iMessage d'Apple et cumulant des caractéristiques zero day et zero clic. A savoir tout d'abord la faille KISMET, utilisée en septembre 2020 affectant les versions iOS 13.5.1 à 13.7. Et une seconde, FORCEDENTRY, employée de février jusqu'en juillet 2021 également problématique : « nous avons commencé à voir le déploiement par NSO Group d'un autre exploit iMessage sans clic qui contournait la fonctionnalité BlastDoor d'Apple », explique l'organisation. « Lorsque l'exploit FORCEDENTRY était déclenché sur un appareil, les logs du terminal affichaient des plantages associés à IMTranscoderAgent. Ils semblaient être des erreurs de segmentation générées en appelant la fonction copyGifFromPath:toDestinationPath:error sur les fichiers reçus via iMessage. Les crash semblaient être de deux types : de type 1, indiquant que la chaîne d'événements déclenchée par l'appel de copyGifFromPath:toDestinationPath:error s'est finalement écrasée tout en appelant apparemment la fonctionnalité d'ImageIO pour le rendu des données Adobe Photoshop PSD. Et de type 2, indiquant que la chaîne d'événements déclenchée en appelant copyGifFromPath:toDestinationPath:error a finalement planté lors de l'appel de la fonctionnalité de CoreGraphics pour décoder les données encodées JBIG2 dans un fichier PDF. L'exploit FORCEDENTRY zero-day a été opéré avec succès sur les versions d'iOS allant de la 14.4 à la 14.6.

Suite à son enquête, TheCitizenLab a mis au courant Apple de sa découverte qui a confirmé enquêter de son côté. Interpellée par ThreatPost, la société a apporté quelques précisions : « Les attaques telles que celles décrites par Citizen Lab sont très ciblées et il n'y a donc rien à craindre pour la plupart des gens, en tout cas », a temporisé Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité d'Apple. « De telles attaques sont très sophistiquées, coûtent des millions de dollars à développer, et ont souvent une durée de vie courte. Elles sont utilisées pour cibler des individus spécifiques. En tant que tels, elles ne sont pas une menace pour l'écrasante majorité de nos utilisateurs ». Une réponse loin d'être rassurante, tendant à montrer qu'elle dépasse de loin les capacités de la firme à protéger ses terminaux et ses systèmes contre de telles menaces. « BlastDoor n'est pas la solution ultime pour sécuriser iMessage. Apple a considérablement renforcé les défenses dans iOS 15 et continuera de le faire. La sécurité est après tout, un processus dynamique, et Apple s'efforce constamment de répondre aux récentes menaces à mesure qu'elles émergent », a déclaré un autre porte-parole du groupe à notre confrère.