L’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky a révélé fin octobre 2023, lors de son événement annuel, le Security Analyst Summit (SAS), de nombreux éléments sur l’opération Triangulation dont l’éditeur a été victime. Le mode opératoire précis des attaquants a été détaillé, mettant au jour les vulnérabilités des systèmes iOS et les failles ayant permis cette attaque.

Au début de l’été 2023, Kaspersky a découvert une attaque ciblant les appareils iOS. Baptisée « Opération Triangulation », cette campagne emploie une méthode sophistiquée pour distribuer des exploits zéro-clic via iMessage. L’objectif étant de prendre le contrôle complet de l’appareil et des données de l’utilisateur.

Les experts de la cellule GReAT (Global Research & Analysis Team) de Kaspersky ont déterminé que l’objectif principal des agents malveillants pouvait être de surveiller les utilisateurs visés en cachette, y compris des membres du personnel de Kaspersky. En raison de la complexité de l’attaque et de la nature fermée de l’écosystème iOS, une équipe dédiée a été constituée, consacrant beaucoup de temps et de ressources à la réalisation d’une analyse technique détaillée.

« Nous ne savons pas qui a attaqué Kaspersky, en tout cas pas officiellement. Kaspersky n’a rien écrit là-dessus et cela pourrait être, en caricaturant un peu, aussi bien le gouvernement américain que le gouvernement russe. Et quand je dis ‘américain’, je parle plutôt des pays de la sphère anglo-saxonne », déclare Fred Raynal, CEO de Quarkslab.

Ce qui surprend dans cette attaque, c’est son côté hautement sophistiqué. « Les attaques zéro-clic sont des attaques qui coûtent cher à créer. Une attaque comme celle-ci est vraiment très organisée. Elle a été conçue par des gens qui ont d’importants moyens technologiques, elle n’est pas à la portée de n’importe qui. Elle relève forcément d’un gouvernement », complète Fred Raynal.

Triangulation : cinq vulnérabilités exploitées

Les chercheurs de Kaspersky ont identifié un premier point d’entrée par l’intermédiaire d’une vulnérabilité de la bibliothèque de traitement des polices de caractère. Le second, une vulnérabilité extrêmement puissante et facilement exploitable dans le code de mappage de la mémoire, a permis aux acteurs de la menace d’accéder à la mémoire physique de l’appareil. En outre, les attaquants ont exploité deux autres vulnérabilités pour contourner les fonctions de sécurité matérielle du dernier processeur Apple.

Kaspersky a également découvert qu’outre la capacité d’infecter les appareils Apple à distance via iMessage sans action de l’utilisateur, les attaquants ont disposé d’une plateforme pour mener des attaques via le navigateur web Safari. Cela a conduit à la détection et à la correction d’une cinquième vulnérabilité.

Une fois que le code malveillant (l’implant) est présent sur le téléphone, les attaquants sont en mesure d’accéder à tout son contenu, et ils peuvent surveiller ce que fait l’utilisateur : sa position GPS, ses photos, ses messages, ses appels, etc.

iOS, une boîte noire où les logiciels espions peuvent se cacher

Dans une série de quatre posts publiés sur LinkedIn, Fred Raynal a décortiqué le mode opératoire de l’opération « Triangulation ». Il explique la raison pour laquelle il a écrit ces publications : « Je voulais montrer que les attaques sur iPhone existent, contrairement au discours d’Apple et de sa communauté qui affirme que si vous possédez un iPhone, vous ne serez pas être attaqué. Mais c’est juste que ce ne sont pas les mêmes attaquants, ni les mêmes modes d’attaque, que sur Android ».

Eugene Kaspersky, fondateur et PDG de l’entreprise éponyme, va dans le même sens dans un article de blog daté du 1er juin 2023 « Nous pensons que la raison principale de cet incident est la nature fermée d’iOS. Ce système d’exploitation est une ‘boîte noire’ dans laquelle des logiciels espions comme Triangulation peuvent se cacher pendant des années. La détection et l’analyse de telles menaces sont rendues plus difficiles par le monopole d’Apple sur les outils de recherche, ce qui en fait le refuge idéal pour les logiciels espions. »

« En d’autres termes, comme je l’ai dit plus d’une fois, les utilisateurs ont l’illusion d’une sécurité associée à l’opacité totale du système. Les experts en cybersécurité ne savent pas ce qui se passe réellement dans iOS. L’absence de nouvelles sur les attaques n’indique pas du tout l’impossibilité des attaques elles-mêmes – comme nous venons de le voir », renchérit le fondateur de Kaspersky.

Apple a officiellement publié des mises à jour de sécurité qui corrigent les quatre vulnérabilités « zero-day » découvertes par les chercheurs de Kaspersky (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Ces vulnérabilités affectent un large éventail de produits Apple, notamment les iPhones, les iPods, les iPads, les appareils macOS, l’Apple TV et l’Apple Watch.

« Les fonctions de sécurité matérielle des appareils équipés de puces Apple plus récentes renforcent considérablement leur résistance aux cyberattaques. Mais ils ne sont pas immunisés pour autant. L’opération Triangulation rappelle qu’il faut faire preuve de prudence lorsqu’on manipule des pièces jointes iMessage provenant de sources inconnues. Les stratégies employées dans le cadre de l’opération Triangulation nous fournissent des indications précieuses, et nous rappellent que trouver un équilibre entre la confidentialité et l’accessibilité du système peut contribuer à améliorer la sécurité », conclut Boris Larin, chercheur principal en sécurité au GReAT de Kaspersky.

Afin d’éviter d’être victime d’une attaque ciblée par un acteur de la menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Mettez régulièrement à jour votre système d’exploitation, vos applications et votre logiciel antivirus afin de corriger les vulnérabilités connues.
  • Méfiez-vous des mails, messages ou appels vous demandant des informations sensibles. Vérifiez l’identité de l’expéditeur avant de communiquer des informations personnelles ou de cliquer sur des liens suspects.
  • Donnez à votre SOC l’accès aux dernières informations sur les menaces.
  • Améliorez les compétences de votre équipe de cybersécurité pour qu’elle puisse faire face aux dernières menaces ciblées grâce à la formation.
  • Pour la détection au niveau des points d’accès, l’investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.