Zero-day iOS : La course contre la montre d’Apple

Sécurité : Le commerce des failles de sécurité zero-day dans iOS anime toute une industrie prête à verser des centaines de milliers de dollars pour s’offrir les vulnérabilités. Face à cela, Apple doit courir après les patchs et reforme son bug bounty, décrié par les chercheurs.

Apple a publié une nouvelle mise à jour pour son système d’exploitation mobile, visant à corriger deux failles zero-day, dont l’une d’entre elles aurait été exploitée par NSO Group, selon CitizenLab.

La vulnérabilité, identifiée CVE-2021-30860 ou par le nom FORCEDENTRY, permettait à un attaquant d’exécuter du code sur l’appareil de la cible, en l’incitant à ouvrir un fichier PDF piégé. Elle ne nécessitait pas d’interaction de l’utilisateur et permettait de prendre le contrôle de l’appareil visé, à l’insu de son propriétaire.

Elle fonctionnait sur iOS, mais aussi sur macOS et watchOS.

Apple a réagi rapidement

Selon les chercheurs de CitizenLab à l’origine de la découverte, des traces d’exploitation de cette faille ont été découvertes en mars sur le téléphone d’un militant visé par le logiciel Pegasus, un logiciel d’interception judiciaire vendu par la société israélienne NSO Group. C’est ce même logiciel qui a été accusé d’avoir été utilisé par des services de renseignement étrangers pour espionner plusieurs personnalités et membres du gouvernement français au début du mois de juillet.

Comme le rappelle Le Monde, c’est bien cette faille qui avait été mise en cause lors des révélations de juillet sur l’infection de plusieurs téléphones par le logiciel Pegasus. Le quotidien explique que les premiers éléments communiqués à Apple en juillet par l’équipe d’Amnesty International n’avaient pas permis à l’éditeur d’identifier avec précision la vulnérabilité à l’origine des compromissions.

CitizenLab a communiqué de nouveaux éléments provenant du téléphone compromis, analysé en mars, le 7 septembre à Apple. La société a mis au point un correctif diffusé hier, une rapidité qui lui fait honneur.

Une de patchée, dix de trouvées

Pour Apple, le défi est de taille : l’éditeur a en effet positionné son iPhone comme l’un des téléphones disposant des meilleures garanties de sécurité pour ses utilisateurs. Il est donc fréquemment utilisé par des gens souhaitant se protéger contre les intrusions et l’espionnage. Malheureusement, les logiciels édités par Apple ne sont pas exempts de vulnérabilités, et un écosystème de sociétés aux pratiques douteuses s’est constitué pour contourner les protections de l’iPhone. Premier maillon de la chaîne, les courtiers en failles zero-day, qui achètent et revendent des failles découvertes par des chercheurs.

L’un des acteurs les plus connus du secteur, Zerodium, n’hésite pas à afficher sur son site un barème indicatif des prix pour différentes failles zero-day : pour une faille iMessage permettant l’exécution de code à distance et l’élévation de privilège sans interaction de l’utilisateur, comme c’était le cas pour la faille FORCEDENTRY, Zerodium explique pouvoir monter jusqu’à 1,5 million de dollars. Certaines failles iOS peuvent monter jusqu’à 2 millions.

Les courtiers en failles acquièrent les informations sur les failles zero-day auprès de chercheurs en sécurité. Ils monnayent ensuite cette information auprès de sociétés et de gouvernements qui souhaitent concevoir des outils d’espionnage ou de surveillance. Certains de ces clients, comme NSO Group, qui a développé Pegasus, ou Gamma Group, qui commercialise le logiciel espion Finfisher, sont des acteurs privés. D’autres sont des services de renseignements et des gouvernements. Officiellement, ces outils sont exclusivement réservés à la lutte contre le terrorisme et aux enquêtes des forces de l’ordre, mais les révélations récentes sur l’usage de Pegasus montrent que tous les clients de ces courtiers ne sont pas forcement à cheval sur les droits humains, et que les traces d’infections se retrouvent sur les appareils de militants ou d’opposants politiques.

L’arbre qui cache la forêt

Face à cela, Apple doit compter sur le travail de ses ingénieurs, mais aussi sur son programme de bug bounty pour récupérer les informations : Apple promet de verser des primes pouvant monter jusqu’à 1 million de dollars pour une faille permettant l’exécution de code à distance sans interaction utilisateur. Soit le type de faille signalé par CitizenLab, et que les courtiers en vulnérabilités sont prêts à acheter pour le double du prix.

Malheureusement, ce programme de bug bounty ne fait pas que des heureux. Dans un article du Washington Post publié la semaine dernière, de nombreux chercheurs soulignent le manque de bonne volonté des équipes d’Apple à l’égard du programme de bug bounty de la société. Manque de communication, primes au rabais, temps de correction des bugs excessivement long : à lire les plaintes des chercheurs interrogés par le quotidien américain, on se dit que la correction de la faille FORCEDENTRY en moins d’une semaine fait plutôt figure d’exception.

En dehors des vulnérabilités « médiatiques », comme celle identifiée par les équipes de CitizenLab, Apple est apparemment moins rapide pour diffuser des correctifs. Un chercheur rebuté par la mauvaise réputation d’Apple pourrait être tenté de mettre sa bonne conscience de côté et de revendre des vulnérabilités découvertes à des courtiers en faille, qui promettent des récompenses bien plus conséquentes.

Une histoire de chiffres

Le total des primes distribuées par le programme d’Apple est à ce sujet assez éloquent : le programme de bug bounty de Google a redistribué 6,7 millions de dollars en prime sur l’année 2020, Microsoft 13,7 millions de dollars sur l’année 2020/2021. Apple a de son côté redistribué 3,7 millions de dollars.

Pour les journalistes du Washington Post, la culture d’entreprise d’Apple s’accommode mal avec les exigences des chercheurs en sécurité, qui souhaiteraient une plus grande transparence de sa part sur le paiement des primes et la correction des vulnérabilités.

Apple semble néanmoins vouloir évoluer sur ces pratiques, et a fait savoir au Washington Post qu’un nouveau directeur avait été engagé pour son programme de bug bounty. Les primes devraient aussi être revues à la hausse. Le constructeur n’a néanmoins rien voulu officialiser auprès des journalistes, peut-être pour se garder la primeur de l’annonce à l’occasion de sa conférence de rentrée prévue ce soir.

Source : ZDNet.com

Catégories