Apple annonce le dépôt d'une plainte aux États-Unis contre NSO Group à l'origine du spyware Pegasus vendu à des États et qui a visé des utilisateurs d'iPhone. La société israélienne assure que sa technologie a pour but d'aider les agences gouvernementales de renseignement et autorités habilitées à lutter contre le terrorisme et les crimes graves.
Pegasus a néanmoins refait parler de lui à la suite de révélations d'un consortium de médias internationaux sous l'égide de Forbidden Stories concernant l'espionnage de journalistes, militants, personnalités publiques ou encore de responsables politiques de divers pays.
" Les acteurs financés par des États comme NSO Group dépensent des millions de dollars pour des technologies de surveillance sophistiquées sans avoir à rendre des comptes. Il faut que cela change ", déclare Craig Federighi.
Le vice-président de l'ingénierie logicielle chez Apple souligne que les appareils de son groupe sont les plus sécurisés du marché pour le grand public, et que seulement un très petit nombre de clients d'Apple sont touchés par des menaces de cybersécurité. Une précision indispensable pour l'image de marque d'Apple.
Pour l'installation de Pegasus, un exploit 0-day (sans correctif disponible) et 0-click (aucune interaction de l'utilisateur) dans la messagerie iMessage d'Apple a été utilisé. Baptisé FORCEDENTRY, il a ciblé la bibliothèque CoreGraphics de rendu des images d'Apple. Pour la charge utile, des fichiers avec l'extension .gif étaient en réalité des fichiers PDF.
La vulnérabilité exploitée a été corrigée dans iOS 14.8. Apple ajoute que même si le spyware de NSO Group continue d'évoluer, aucune preuve d'attaque à distance réussie n'a été observée contre des appareils fonctionnant avec iOS 15 et les versions ultérieures.
Pour déployer FORCEDENTRY, Apple précise que les attaquants ont créé des identifiants Apple afin d'envoyer des données malveillantes à l'appareil d'une victime. Pour autant, les serveurs d'Apple n'ont pas été piratés ou compromis lors des attaques. Selon Apple, NSO Group a enfreint les conditions d'utilisation d'iCloud pour exploiter le spyware.
Apple se lance dans la bataille en justice et plus encore
En plus d'un combat pour la responsabilité de NSO Group dans la surveillance et le ciblage d'utilisateurs Apple, le groupe de Cupertino demande à la justice américaine d'interdire à NSO Group d'utiliser tout logiciel, service ou appareil de sa marque.
Rappelons que les États-Unis ont déjà placé NSO Group sur sa liste noire avec l'interdiction d'utiliser des technologies américaines pour ses activités. Par ailleurs, Pegasus est un outil connu de longue date et pas uniquement pour des produits Apple. WhatsApp a déjà intenté une action en justice contre NSO Group. La plainte de la filiale de Meta avait reçu un large soutien de géants de la high-tech... mais pas d'Apple.
Hormis sa plainte en justice, Apple indique qu'une contribution à hauteur de 10 millions de dollars (en plus de dommages-intérêts obtenus) visera à soutenir les organisations qui mènent des recherches sur la cybersurveillance. Une assistance technique est également évoquée pour le groupe de chercheurs de Citizen Lab qui a aidé à découvrir les exploits de NSO Group. Une manière pour Apple de soigner sa relation parfois tendue avec la communauté de la sécurité informatique.
" Des milliers de vies ont été sauvées dans le monde grâce aux technologies de NSO Group utilisées par ses clients. Les pédophiles et les terroristes peuvent agir librement dans des refuges technologiques, et nous fournissons aux gouvernements les outils légaux pour les combattre. NSO Group continuera de défendre la vérité ", a réagi un porte-parole de NSO Group (CNBC).