Le risque cybernétique ne cesse d’augmenter. Les cyberattaques sont aujourd’hui si sophistiquées que les utilisateurs deviennent des victimes sans avoir agi eux-mêmes ni commis d’erreur.

Ce qui ressemble davantage à des méthodes d’un thriller d’espionnage, c’est la réalité. La semaine dernière encore, il a été appris qu’il avait été possible d’infiltrer le logiciel de surveillance Pegasus sur les iPhones – sans l’intervention de l’utilisateur. Les vulnérabilités zero-day dans le logiciel iMessage servaient de passerelle d’entrée. Mais qu’est-ce qui se cache exactement derrière les attaques à zéro clic ? Dans notre article de blog actuel, nous fournissons des informations.

Ce n’est pas le premier incident avec le logiciel espion Pegasus

Le logiciel espion Pegasus est connu depuis 2016. Il a été développé par la société israélienne NSO Group et sert à espionner des appareils Android et iOS. Le logiciel permet d’accéder aux données sans être détectées et d’être envoyées via Internet. L’utilisation de Pegasus est assez controversée. L’entreprise avait déjà attiré l’attention avec des gros titres négatifs en 2019. À cette époque, environ 1 400 militants des droits humains, journalistes et hommes politiques étaient surveillés par des attaques d’espionnage via Whatsapp . Selon Cathcart, le patron de WhatsApp, ces attaques ont également été menées avec l’aide du logiciel Pegasus à l’époque. Maintenant, le logiciel espion est de nouveau sous les projecteurs. Cette fois, cependant, le fait que Pegasus puisse être introduit clandestinement sur les appareils sans aucune activité humaine complique encore les choses. Avec ce qu’on appelle des attaques à zéro clic.

Le danger des attaques sans clic

Ce type d’attaque présente un tout nouveau lot de risques. Monika Bubela, analyste en renseignement cyber menaçant chez Perseus, résume la situation de menace comme suit :

« La plus grande menace des attaques à zéro clic est qu’elles ne nécessitent aucune action de la victime. Il n’y a aucun lien ou message suspect sur lequel la victime devrait cliquer. »

Ainsi, les systèmes peuvent être compromis sans aucune interaction humaine. Par exemple, recevoir simplement un message manipulé peut suffire à permettre aux attaquants de prendre le contrôle des smartphones. Même un utilisateur très attentif, avec un système bien patché et mis à jour, peut facilement devenir une victime.

Comment les cybercriminels procèdent-ils ?

Pour les attaques à zéro clic, les cybercriminels exploitent les vulnérabilités et les vulnérabilités qu’ils trouvent dans le système d’exploitation des appareils mobiles ou dans les applications installées sur l’appareil.

Les vulnérabilités dites zero-day sont particulièrement intéressantes. Ce sont des vulnérabilités de sécurité qui ne sont pas encore connues du fabricant du logiciel et qui n’ont donc pas encore été atténuées ou corrigées.

Attention ! Ce n’est qu’avec l’installation des mises à jour et correctifs de sécurité fournis que ces failles de sécurité sont comblées sur votre propre appareil et qu’une exploitation active des vulnérabilités par les cybercriminels est repoussée.

(Note de la rédaction. En lien avec le logiciel espion Pegasus, les experts ne donnent pas encore le feu vert qu’une mise à jour du système d’exploitation iOS 14.7 actuel empêchera la propagation du zéro clic.)

Pour les experts :

Monika Bubela explique en détail comment les cybercriminels peuvent finalement prendre le contrôle des appareils mobiles :

« Le malware lui-même ‘jailbreake’ un appareil iOS à l’insu de l’utilisateur. » En sécurité de l’information, un « jailbreak » désigne la levée non autorisée des restrictions sur l’utilisation des ordinateurs ou autres appareils mobiles. Cela signifie que certaines fonctions que le fabricant a bloquées par défaut sont désormais disponibles.

« Pour l’attaque zéro clic mentionnée plus haut de Pegasus sur les appareils iOS, cela signifie qu’un tiers non autorisé obtient un accès root à l’appareil iOS. En conséquence, Apple n’est plus la seule source d’applications, permettant à un attaquant de télécharger des applications non vérifiées par Apple sur l’appareil de la victime. Les appareils Android sont également vulnérables. Google en est conscient et tente de fournir des correctifs pour des malwares bien connus comme Pegasus. »

Que pouvez-vous faire ?

Dans votre travail quotidien, vous ne serez probablement pas confronté à des attaques à zéro clic – du moins pas encore. Cependant, les développements récents montrent que les attaques menées par des cybercriminels deviennent de plus en plus complexes. Donc, tôt ou tard, vous devrez peut-être gérer des attaques sans clic plus intensivement.

Dans ce cas, les attaques à zéro clic, comme déjà expliqué, peuvent toucher même des utilisateurs très attentifs. Une protection complète est donc difficilement possible, mais nous souhaitons souligner des mesures de protection importantes :

1. Effectuez instantanément des mises à jour et des mises à jour du système d’exploitation et des applications installées
2. Télécharger et installer des applications uniquement depuis les boutiques officielles d’applications iOS et Android
3. Lisez notre article détaillé sur le sujet : « Comment mieux protéger votre smartphone »