Des espions russes ont utilisé des exploits iPhone provenant d'un entrepreneur américain de la défense

Une piste troublante d'exploits

Le groupe Threat Analysis de Google a identifié une série d'outils sophistiqués de piratage d'iPhone utilisés par un groupe d'espionnage d'État russe et une organisation criminelle en ligne chinoise, et des sources d'un entrepreneur américain de la défense gouvernementale ont confirmé que certains de ces outils provenaient de leurs propres travaux de développement. La révélation soulève des questions urgentes sur la façon dont les capacités offensives cyber développées à des fins de sécurité nationale se retrouvent entre les mains d'adversaires étrangers.

La découverte, rapportée par TechCrunch, représente l'un des exemples les plus concrets à ce jour du problème de prolifération des exploits dont les experts en cybersécurité avertissent depuis des années. Bien que les gouvernements investissent massivement dans le développement de capacités offensives cyber, les outils et les techniques peuvent se propager par une variété de canaux — des ventes délibérées par des fournisseurs de logiciels espions commerciaux au vol, aux fuites et à la redécouverte indépendante des mêmes vulnérabilités par plusieurs acteurs.

La boîte à outils et ses capacités

Les chercheurs de Google ont identifié les outils de piratage grâce à leur surveillance continue des acteurs de menace parrainés par l'État. La boîte à outils a ciblé des vulnérabilités dans iOS, le système d'exploitation mobile d'Apple, permettant aux attaquants d'accéder aux iPhones sans exiger que la cible clique sur un lien malveillant ou prenne une quelconque action — une capacité connue sous le nom d'exploit zero-click.

Les exploits zero-click sont la catégorie la plus précieuse et la plus dangereuse des outils de piratage mobile. Ils exploitent des failles dans la façon dont les téléphones traitent les données entrantes, telles que les messages, les courriers électroniques ou les paquets réseau, pour exécuter du code malveillant avant que l'utilisateur ne soit conscient de quoi que ce soit. Le développement de ces exploits nécessite une expertise technique approfondie et des ressources importantes, ce qui explique pourquoi ils sont principalement associés aux agences gouvernementales et à l'industrie des logiciels espions commerciaux.

Les vulnérabilités spécifiques exploitées par la boîte à outils ont depuis été corrigées par Apple, mais la fenêtre d'exposition avant le déploiement de ces correctifs a laissé un nombre indéterminé d'appareils vulnérables à la surveillance.

Comment les outils se propagent à travers les frontières

Le cheminement d'un laboratoire de développement d'un entrepreneur américain de la défense aux opérations de renseignement russe n'est pas encore entièrement compris. Plusieurs scénarios sont possibles. Les outils auraient pu être volés par une intrusion informatique ciblant l'entrepreneur lui-même — une forme d'attaque de la chaîne d'approvisionnement que les agences de renseignement sont connues pour poursuivre. Alternativement, les outils ou les informations de vulnérabilité sous-jacentes auraient pu être partagés par des courtiers intermédiaires qui opèrent sur le marché gris des exploits.

Le marché commercial des exploits est un écosystème mondial où les chercheurs en vulnérabilités, les courtiers et les clients gouvernementaux commercent des capacités offensives. Bien que les États-Unis et ses alliés soient des participants majeurs, le marché sert également des clients que les gouvernements occidentaux préféreraient exclure. Les courtiers peuvent vendre le même exploit à plusieurs clients sans la connaissance ou le consentement du développeur original.

Une troisième possibilité est la redécouverte indépendante — les chercheurs en Russie et aux États-Unis auraient pu découvrir et exploiter les mêmes vulnérabilités d'iOS séparément. Cependant, les similitudes structurelles dans les boîtes à outils que Google a identifiées suggèrent une connexion plus directe que le développement parallèle.

Implications pour les entrepreneurs de la défense

L'implication d'un entrepreneur américain de la défense ajoute une couche de responsabilité que les cas précédents de prolifération des exploits manquaient. Lorsque des entreprises de logiciels espions commerciaux comme NSO Group vendent à des gouvernements étrangers, le transfert est au moins intentionnel, même s'il est controversé. Dans ce cas, l'entrepreneur aurait apparemment perdu le contrôle des outils qui ont été développés à des fins légitimes de sécurité nationale.

Les entrepreneurs de la défense travaillant sur des capacités offensives cyber opèrent selon des exigences de sécurité strictes, y compris l'infrastructure réseau classifiée, les autorisations du personnel et la surveillance des agences gouvernementales qui les parrainent. Une violation suffisamment grave pour compromettre les outils d'exploitation déclencherait probablement des enquêtes à la fois de l'entrepreneur et de ses clients gouvernementaux.

Le défi plus large de la prolifération

Cet incident met en évidence une tension fondamentale dans le domaine cyber offensif. Les gouvernements soutiennent que le développement des exploits est nécessaire pour la collecte de renseignements, la lutte contre le terrorisme et les opérations militaires. Mais chaque outil qui est développé représente un risque de prolifération potentiel. Contrairement aux armes nucléaires, qui nécessitent une infrastructure physique massive, les outils cyber sont des logiciels — ils peuvent être copiés, volés et déployés n'importe où dans le monde avec une infrastructure minimale.

La communauté de la cybersécurité a longtemps plaidé pour une plus grande transparence et responsabilité sur le marché des exploits, y compris la divulgation obligatoire des vulnérabilités aux fournisseurs affectés et les restrictions sur la vente d'outils offensifs aux gouvernements ayant de piètres antécédents en matière de droits humains. L'Arrangement de Wassenaar, un régime international de contrôle des exportations, inclut des dispositions couvrant la technologie de surveillance, mais l'application reste inégale.

Ce qui se passe ensuite

La divulgation de Google suscitera probablement l'intérêt du Congrès, en particulier des législateurs déjà préoccupés par l'impact de l'industrie des logiciels espions commerciaux sur la sécurité nationale. La constatation que les outils développés aux États-Unis sont utilisés contre des cibles alliées pourrait renforcer les arguments en faveur de contrôles plus stricts sur le développement et la distribution cyber offensives. Pour les utilisateurs d'iPhone, les conseils immédiats restent constants : maintenir les appareils à jour avec la dernière version d'iOS, car Apple corrige régulièrement les vulnérabilités que ces outils exploitent.

Cet article est basé sur le reportage de TechCrunch. Lire l'article original.