Pendant des mois, n’importe quel iPhone pouvait être compromis par un hack mystérieux et surpuissant. Sans aucune interaction requise, et sans jamais émettre la moindre alerte, votre iPhone aurait pu être sous écoute. Vos mots de passe, vos photos, et toute votre activité pouvait être enregistrée puis exfiltrée.
C’est ce qu’ont découvert des chercheurs de Kaspersky, lorsqu’ils se sont fait infectés eux-mêmes. Ils en ont fait une série d'articles, ainsi qu’une conférence passionnante, où ils retracent comment ils ont découvert cette attaque.
On a tenté de couvrir ça pour le rendre plus clair, car curieusement cette affaire a fait peu de bruit, alors qu’elle est passionnante.
Un gros merci à Mathis Hammel qui a accepté notre invitation pour nous en parler et nous aider à y voir plus clair. https://twitter.com/MathisHammel
(désolé pour le son du micro qui a un peuuuuu saturé)
NOTRE DISCORD : https://discord.gg/p5Ywq7mCV3
POUR NOUS SOUTENIR : https://patreon.com/Sylvqin | https://fr.tipeee.com/sylvqin
En échange, on vous propose une offre inégalée :
- un petit podcast sur les vidéos qui sont sorties avec des anecdotes, un point sur les sorties à venir, et du papotage absolument exclusif et fascinant. (quand on a le temps)
- les vidéos en avant-première (quand on peut on ne promet rien hein mais on va essayer)
- un accès à une partie privée sur le Discord
Co-écrit comme d'hab avec Jules le sang : http://twitter.com/julesintel
Chaîne secondaire: @administrateur
Twitter http://twitter.com/sylvqin
Twitch: http://twitch.tv/sylvqin
TikTok: https://www.tiktok.com/@sylvq1
C’est ce qu’ont découvert des chercheurs de Kaspersky, lorsqu’ils se sont fait infectés eux-mêmes. Ils en ont fait une série d'articles, ainsi qu’une conférence passionnante, où ils retracent comment ils ont découvert cette attaque.
On a tenté de couvrir ça pour le rendre plus clair, car curieusement cette affaire a fait peu de bruit, alors qu’elle est passionnante.
Un gros merci à Mathis Hammel qui a accepté notre invitation pour nous en parler et nous aider à y voir plus clair. https://twitter.com/MathisHammel
(désolé pour le son du micro qui a un peuuuuu saturé)
NOTRE DISCORD : https://discord.gg/p5Ywq7mCV3
POUR NOUS SOUTENIR : https://patreon.com/Sylvqin | https://fr.tipeee.com/sylvqin
En échange, on vous propose une offre inégalée :
- un petit podcast sur les vidéos qui sont sorties avec des anecdotes, un point sur les sorties à venir, et du papotage absolument exclusif et fascinant. (quand on a le temps)
- les vidéos en avant-première (quand on peut on ne promet rien hein mais on va essayer)
- un accès à une partie privée sur le Discord
Co-écrit comme d'hab avec Jules le sang : http://twitter.com/julesintel
Chaîne secondaire: @administrateur
Twitter http://twitter.com/sylvqin
Twitch: http://twitch.tv/sylvqin
TikTok: https://www.tiktok.com/@sylvq1
Catégorie
📚
ÉducationTranscription
00:00 Cet iPhone pourrait être piraté sans que je le sache.
00:02 Mon micro, mes données de localisation, tous mes contacts, mots de passe ou même mes messages,
00:06 tout pourrait être siphonné en continu sans que je m'en rende compte.
00:09 Et pour être infecté, personne n'aurait eu besoin d'y toucher.
00:11 Ils auraient juste eu besoin de mon numéro de téléphone.
00:13 Ce scénario fait bien flipper et c'est pourtant ce qu'ont découvert des chercheurs de Kaspersky ces derniers mois.
00:18 Car ils en ont été victimes eux-mêmes.
00:19 Et ils ont raconté tout ça dans une conférence et une série d'articles passionnants
00:23 qui retracent comment ils ont découvert ce malware extrêmement sophistiqué sur leurs iPhones.
00:26 Évidemment, tout ça est extrêmement technique donc on va faire le maximum pour rendre ça accessible.
00:31 Alors on pourra pas tout aborder, déjà qu'ils ne révèlent pas tout,
00:33 mais aussi car on va se concentrer sur le plus intéressant.
00:35 Pour nous épauler, on a donc la chance d'avoir Mathis Hamel,
00:37 un ami consultant en cybersécurité que je vous conseille de suivre sur Twitter ou sur Twitch.
00:41 Bon, je le harcèle pour qu'il reprenne les lives.
00:43 D'ailleurs, moi aussi je live chaque semaine donc passez me voir par pitié.
00:46 Mais avant ça, si vous avez peur de voir vos données traîner sur Internet,
00:49 laissez-moi vous parler du sponsor qui nous accompagne aujourd'hui.
00:52 Incogni.
00:53 Si vous traînez sur Internet, il y a de grandes chances que vos données personnelles soient récoltées
00:57 par les sites que vous visitez puis vendues sans que vous le sachiez.
00:59 Ça peut être votre nom, vos adresses e-mail, votre activité en ligne ou même des trucs plus critiques
01:03 comme votre numéro de téléphone, votre adresse ou vos habitudes de consommation.
01:06 Cette masse de données finit ensuite généralement chez des courtiers en données
01:09 qui sont des gros entreprises spécialisées dans le profilage commercial.
01:11 Ils revendent tout ça à d'autres boîtes qui cherchent à vous cibler commercialement
01:14 et c'est ainsi que vous recevez des e-mails et des appels intempestifs.
01:17 Mais je vous rassure, pour lutter contre ça, il y a des moyens.
01:19 Déjà car c'est votre droit, en Europe on a le RGPD qui garantit le droit à l'oubli.
01:23 Mais il faudrait contacter l'entièreté des courtiers qui vendent de la donnée,
01:26 vérifier si vous y êtes, demander des suppressions en boucle et vous battre avec ceux qui ne veulent pas.
01:30 Ça paraît chiant, hein ?
01:31 Eh bien, excellente nouvelle car Incogni fait tout ça pour vous.
01:33 En vous abonnant à leur service, vous pouvez reprendre le contrôle de votre vie privée sur Internet.
01:37 Et tout est extrêmement simple.
01:38 Il vous suffit de vous inscrire, accorder le pouvoir à Incogni de contacter ces entreprises à votre place
01:42 et c'est réglé.
01:43 Autant vous dire que moi je trouve ça super pratique.
01:45 Car même en ayant les compétences pour le faire, c'est tellement plus simple de déléguer cette tâche.
01:48 Et je suis pas le seul à trouver ça cool.
01:49 Corben a fait le test de son côté et visiblement ça marche plutôt pas mal.
01:52 93 courtiers avaient des infos sur lui.
01:54 Il a pu suivre tout le processus en direct avec un dashboard que je trouve très bien foutu.
01:57 Et avec le code "SILVK1" ou en passant par notre lien en description,
02:00 vous bénéficierez d'une réduction de 60% sur votre abonnement annuel.
02:03 Incogni se chargera donc de faire supprimer toutes vos données,
02:05 mais aussi de s'assurer qu'elles ne reviennent pas sur le marché.
02:07 Alors si ça vous intéresse, n'hésitez pas et nous on retourne voir cette sombre histoire de hack.
02:13 Tout commence dans les locaux de Kaspersky à Moscou en fin 2022.
02:17 Parmi tous les employés qui bossent régulièrement sur les questions de cybersécurité,
02:20 il y a une équipe spécialisée.
02:22 La Great Team.
02:23 Ce sont des normes crack qui sont spécialisées sur les APT,
02:26 c'est-à-dire les groupes de hack les plus dangereux du moment.
02:28 C'est donc eux qui sont chargés de comprendre comment ces groupes agissent,
02:30 mais aussi comment fonctionne leur virus.
02:32 D'habitude ils regardent tout ça un peu de loin, on appuie à leurs clients,
02:35 mais ce jour-là, l'alerte vient de chez eux.
02:37 Et ils découvrent quelque chose de louche sur leur réseau.
02:39 Et qui plus est, un réseau Wi-Fi où il n'y a que leurs iPhones qui sont connectés.
02:43 Alors qu'est-ce qui se passe ?
02:44 Eh bien leur système de sécurité détecte une activité suspecte,
02:47 du trafic vers des noms de domaines qui n'ont rien à faire là.
02:49 Et à chaque fois, juste avant, une requête iMessage qui vient des serveurs d'Apple.
02:53 Et le problème c'est qu'aucun des chercheurs ne comprend ce que c'est.
02:55 S'ils utilisent bien leurs iPhones,
02:56 ils n'ont pourtant pas reçu ou émis de messages aux horaires indiqués.
02:59 Alors certes, il y a du trafic régulier en background,
03:02 mais là, ce truc avec les domaines est vraiment très suspect.
03:04 Première alerte.
03:05 Et en creusant un peu, ils se rendent compte que tous ces noms de domaines ont des points communs.
03:08 Ils sont tous déposés chez Namecheap, un hébergeur de domaines,
03:11 ils sont tous protégés par Cloudflare et ils sont toujours nommés de la même façon.
03:14 Deuxième alerte.
03:15 Mais rien ne semble montrer que leur iPhone est infecté.
03:17 Tout fonctionne normalement.
03:19 Il n'y a pas d'erreur particulière ni de comportement suspect.
03:21 Juste ces connexions louches, encore et encore.
03:23 À partir de là, ils se doutent que quelque chose ne va pas,
03:25 alors ils passent en mode contre-espionnage.
03:27 Ils n'en discutent pas à l'oral et ils mettent de côté leurs téléphones.
03:30 Et lorsqu'ils les analysent, ils les isolent dans des boîtes de faraday,
03:32 histoire d'être sûr de bloquer toutes les communications.
03:34 Le mode opératoire à partir de là, c'est de vérifier ce qui se passe sur les téléphones
03:38 et aussi du côté des serveurs.
03:39 Premièrement, le téléphone.
03:41 Ils vont essayer avec des outils classiques de forensics,
03:43 mais ils ne fonctionnent pas sur ces versions d'iOS.
03:45 Alors ils passent par le backup iTunes de leurs iPhones,
03:47 qui, aussi étonnant que cela puisse paraître, est encore très utilisé,
03:50 car il permet d'obtenir une copie presque parfaite de votre iPhone.
03:53 C'est aussi une excellente façon de fouiller sans éveiller le moindre soupçon.
03:56 Et là encore, il n'y a aucune trace habituelle qu'on pourrait retrouver lors d'un hack.
03:59 Mais en fouillant toute la structure, ils finissent enfin par trouver un début de piste.
04:02 Des dossiers de pièces jointes complètement vides.
04:04 Alors forcément, s'il y a des dossiers qui sont créés,
04:06 ça veut dire qu'il y avait une pièce jointe dedans à un moment.
04:09 Quand tu fais un peu de reverse, tu te dis qu'il y a un truc un peu bizarre qui se passe.
04:13 Tu as de l'activité, mais derrière tout est nettoyé.
04:17 Ça forcément, c'est qu'il y a du monde qui est passé par là.
04:21 Et puis en allant regarder d'autres fichiers,
04:22 ils se penchent sur une base de données, datausage.sqlite,
04:25 qui enregistre les connexions réseau du téléphone.
04:28 Là encore, vous avez compris, rien de suspect de prime abord.
04:30 Si ce n'est les traces d'un processus qui n'a rien à faire là.
04:33 Backup agent, c'est un processus qui existe bel et bien sur iOS,
04:36 mais qui est obsolète depuis déjà plusieurs années.
04:38 Et en plus, qui n'est pas du tout censé recevoir ou envoyer des données.
04:42 Ce qui est pourtant le cas ici.
04:43 On a donc de toute évidence une pièce jointe reçue par les iPhones
04:46 et qui est immédiatement supprimée,
04:47 et qui envoie ensuite des données sur des sites étranges.
04:49 Au moins, ça progresse.
04:50 À partir de là, ce qui serait vraiment pratique,
04:52 ce serait d'avoir la pièce jointe en question.
04:54 Sauf qu'elle n'apparaît jamais sur les backups.
04:56 Alors, les chercheurs de Kaspersky vont tenter d'intercepter
04:59 tout le trafic des iPhones grâce à un proxy.
05:01 On appelle ça du "man in the middle".
05:03 Il n'y a plus qu'à attendre une réinfection.
05:05 Et pour le savoir, ils mettent d'ailleurs en place un bot de télégramme
05:07 pour recevoir des alertes quand c'est le cas.
05:09 Kaspersky devrait pouvoir à ce moment-là
05:10 intercepter tout ce qui rentre ou sort de l'iPhone.
05:13 Sauf qu'en réalité, Apple protège tout ce qui passe par iMessage.
05:16 Impossible de lire en clair ce qui se passe
05:17 et impossible donc de choper cette foutue pièce jointe.
05:20 Bon, ils ont malgré tout pas mal progressé.
05:21 Ils ne peuvent pas aller plus loin pour le moment côté iPhone.
05:23 Alors, ils vont voir ce qui se passe après l'infection initiale
05:25 du côté des requêtes vers le serveur.
05:27 Sauf que le serveur attend une clé spéciale pour accepter la requête.
05:30 Une clé qui repose sur une autre clé privée gérée par le serveur.
05:33 Sauf que Kaspersky ne dispose pas de ces clés
05:34 mais ils vont réussir à générer leurs propres clés publiques et privées
05:37 et à les utiliser en faisant croire grâce au proxy
05:39 que tout est OK et ça passe.
05:41 En gros, Kaspersky vient juste de changer la clé
05:43 et la serrure de la porte qu'il voulait ouvrir.
05:45 Et derrière cette URL, il y a un script.
05:47 Et le taf d'une partie de ce script, c'est d'afficher ceci.
05:50 Un triangle jaune.
05:52 Ce triangle jaune permet de savoir quel processeur graphique vous avez,
05:55 la résolution de votre écran, la version du navigateur,
05:58 et donc sûrement de l'OS et plein d'autres choses.
06:01 Juste en affichant un triangle.
06:03 On appelle ça du Canvas Fingerprinting.
06:05 C'est ça, tu vas avoir différents moteurs de render en fonction des navigateurs.
06:08 Typiquement sur comment tu gères les pixels qui sont au bord du triangle.
06:11 La liasing entre la surface pleine et le background.
06:15 Ces petites valeurs de pixels là qui peuvent être
06:18 quasiment toujours identiques d'un iPhone à l'autre.
06:20 En fait, même juste un bit de différence, ça te permet d'identifier exactement
06:23 sur quel iPhone tu vas être.
06:25 Mais c'est vrai que, intuitivement, moi je me dis que
06:28 à quel point c'est efficace ce truc là.
06:30 Bon, apparemment, ça marche bien mais...
06:32 Mais ouais, c'est surprenant qu'ils fassent ça comme ça plutôt que de juste récolter en masse.
06:36 Mais c'est aussi une manière de le faire de manière super discrète.
06:39 Alors pourquoi ils font tout ça ?
06:41 Eh ben, on sait pas trop.
06:42 Ce qui est sûr, c'est qu'ils cherchent à savoir quel type de matos ils sont en train d'infecter.
06:45 C'est ce qu'on appelle un validator.
06:47 S'ils sont satisfaits, ils balancent la suite de l'attaque.
06:49 Sinon, ils sont contents de supprimer toutes les traces de leur passage.
06:51 Et dans cette suppression, il y a deux lignes de code qui vont particulièrement interpeller les chercheurs.
06:56 Une requête pour supprimer un fichier .watchface.
06:59 C'est-à-dire un fichier de 4 ans d'Apple Watch qui peut se partager par iMessage.
07:03 De toute évidence, c'est un très bon candidat pour être la piège jointe qu'ils cherchent désespérément depuis le début.
07:08 Alors étonnamment, ils ne mentionnent qu'une seule fois ce fichier .watchface dans un de leurs articles.
07:12 Dans le reste de la conférence, ils disent que c'est un point PDF qui a lancé l'infection.
07:15 Alors on a trouvé ça curieux, on a écrit à un des chercheurs qui nous a dit
07:18 "La suite au prochain épisode dans un autre article".
07:21 En attendant, nous on aime bien croire que c'est un fichier .watchface plutôt qu'un PDF.
07:24 Dans le doute, vous savez tout.
07:26 Ok, on va s'arrêter là sur cette partie, on va repartir au début, chercher cette pièce jointe.
07:30 Dans tous les cas, ils ont enfin une preuve concrète qu'il y a bel et bien une pièce jointe qui se fait supprimer.
07:34 Alors c'est leur motif à creuser de ce côté, et ils vont se taper des journées sur mon tréfone
07:37 à éplucher toutes les docs possibles des pièces jointes d'iMessage et leur chiffrement.
07:41 Ce qui était plutôt une bonne idée car ils vont découvrir quelque chose d'essentiel.
07:45 Si Apple chiffre très bien tout ce qui passe sur iMessage, genre les numéros ou les messages,
07:48 il y a une exception à ça.
07:50 Et c'est les pièces jointes.
07:51 Avec un peu de savoir-faire, enfin surtout une équipe de cybersécurité assez béton,
07:55 il va être possible de les récupérer.
07:56 En gros, une pièce jointe d'iMessage, c'est deux choses.
07:59 Le fichier qui est chiffré et la clé pour le déchiffrer.
08:02 Et Kaspersky se rend compte d'un truc très intéressant.
08:04 Si le téléchargement du fichier est corrompu en cours de route,
08:06 alors le téléchargement ne se termine pas correctement.
08:08 Et dans ce cas précis, si le téléchargement s'annule, la suite de l'attaque ne se lancera pas.
08:12 Et dans la suite de l'attaque, il y a quoi ?
08:14 Les fonctions pour supprimer toutes les traces suspectes.
08:16 Et dans ces traces, coup de bol, il y a justement la clé qui permet de déchiffrer la pièce jointe.
08:20 Kaspersky peut donc désormais choper le fichier chiffré et la clé pour le déverrouiller.
08:24 À partir de là, c'est super parce qu'ils ont la pièce jointe compromettante,
08:27 leur watch face ou le PDF, on ne sait pas trop,
08:29 et c'est donc parti pour des mois de travail afin de comprendre ce qui se passe vraiment.
08:32 Il découvre alors que la pièce jointe va activer une faille Zero Day basée sur TrueType,
08:35 un format de police créé par Apple dans la fin des années 80,
08:38 toujours très utilisé aujourd'hui,
08:39 et qui comportait une faille extrêmement vieille, jamais trop remarquée jusque-là.
08:43 Ouais, c'était des vieilles fonctions, donc les fonctions "adjust" qui ne sont plus utilisées
08:47 et qui ne sont plus du tout dans la spec officielle de TrueType,
08:50 mais qui sont quand même là dans l'implémentation des iPhones,
08:53 et malheureusement, il y a une vulne dessus, donc...
08:56 On est donc face à des gens qui ont une connaissance extrêmement pointue,
08:59 ou alors qui ont passé un peu trop de temps à fouiller,
09:01 ou alors qui ont cette faille depuis très très longtemps.
09:03 Elle travaille sur une section mémoire,
09:05 sauf qu'en fait, de la manière où c'est implémenté,
09:08 tu peux t'arranger pour qu'elle aille modifier juste un octet,
09:12 enfin une valeur, à l'extérieur de cette zone mémoire-là,
09:15 et en fait, à partir de ça, tu peux prendre le contrôle sur la section suivante,
09:18 et en fait, de fil en aiguille, tu peux exécuter le code que tu veux
09:21 en utilisant juste ce petit octet d'erreur.
09:24 Bon, sur ce passage-là, on va lever un peu le pied sur la technique,
09:28 car voici des fonctions que je ne peux clairement pas vous expliquer.
09:31 Je vais pas mentir, j'y comprends rien du tout.
09:32 Mais tout est en description si vraiment vous voulez vous pencher dessus.
09:35 Mais dans l'idée, tout ça permet de préparer le terrain
09:37 pour la suite de l'attaque qui va se dérouler en JavaScript.
09:39 Ils exploitent des failles mémoires qui leur permettent d'élever les privilèges
09:42 et de déployer un gigacode JavaScript de 11 000 lignes.
09:45 Genre, c'est très solide et c'est un peu le cœur du réacteur.
09:47 Et pour ne rien arranger, tout est imbitable vu qu'ils ont obfusqué le code.
09:50 Les hackers savaient que ce script pouvait être intercepté à un moment,
09:53 alors ils ont rendu le code dégueulasse.
09:55 L'obfuscation, c'est ça, c'est tu prends ton code
09:57 et ton but, c'est de le rendre illisible pour qui que ce soit d'autre.
10:00 Par exemple, enlever les noms de variables,
10:02 moi j'ai vu déjà des obfuscateurs en faisant du reverse
10:05 où en fait, tes noms de variables, ça va être des mix
10:07 entre des L minuscules et des I majuscules.
10:09 T'en as genre 15 d'affilé.
10:10 Et entre deux noms de variables, t'as juste un caractère qui change.
10:13 Et du coup, en fait, tu dois te retaper à la main le truc.
10:16 Donc, le comportement du logiciel, c'est exactement le même.
10:19 Sauf qu'en fait, de le relire, c'est impossible.
10:22 C'est la première...
10:24 Enfin, c'est ça, c'est la première étape
10:26 quand tu veux empêcher quelqu'un de comprendre ton code, de le reverse.
10:29 Ça va être de mettre de l'obfuscation.
10:32 Et en pleurant du sang, ils parviennent malgré tout à démêler tout ça.
10:35 Et surprise, ils découvrent deux nouvelles failles Zero Day.
10:37 La première, c'est un Integer overflow
10:39 que le groupe qualifie d'extrêmement simple et puissant.
10:41 Mais je vais laisser Mathis essayer de vous expliquer ça simplement.
10:44 Puisque c'est super simple.
10:45 Ils vont exploiter une faille dans une des fonctions du kernel.
10:48 Tu mets la somme de deux valeurs dont la somme dépasse 2^64.
10:53 Et du coup, en fait, le dernier bit, le 2^64, il va être ignoré.
10:56 Parce que du coup, tu ne peux pas stocker ça dans un registre à 64 bits.
10:59 Du coup, en fait, c'est ça, il va revenir à 0.
11:01 Et donc, en fait, le pointeur de début et de fin de ta zone de mémoire que tu réserves,
11:05 elles sont effectivement toutes les deux incluses dans la zone du processus parent.
11:10 Sauf que lieu d'avoir...
11:11 Normalement, tu as genre le début et la fin de ta zone qui sont l'une avant l'autre.
11:15 Et bien là, tu en as l'une qui fait tout le tour, qui revient et qui est là.
11:19 Et en fait, tu vas pouvoir dépasser et dire
11:21 "Moi, je vais réserver toute la mémoire du système" et te dit "OK".
11:25 Et du coup, à partir de ce moment-là, en fait,
11:27 tu as un accès complet à la mémoire physique de tout l'iPhone.
11:30 Et tu peux aller taper allégrement dans les mémoires de différents processus.
11:34 Ça, c'est ce qui est le cas sur la plupart des systèmes.
11:36 iPhone, ils ont encore une couche de protection
11:38 qui fait qu'au niveau hardware, il va y avoir une vérification en plus qui va être faite
11:42 qui ne va pas permettre de faire ce genre de truc.
11:45 Donc, dans n'importe quel système, tu pourrais aller chercher, par exemple,
11:49 directement en mémoire les mots de passe de Google Chrome, par exemple.
11:52 Ou aller lire les SMS, le signal, les trucs comme ça.
11:54 Tu peux, tu as accès complet.
11:55 Ici, ça va être un petit peu différent pour la lecture et l'écriture.
11:58 Sur iPhone, ils ont des protections physiques qui disent
12:00 "Tel process, il n'a pas le droit d'aller lire à tel endroit".
12:04 Donc, même si tu trouves une faille qui te permet d'aller lire n'importe où dans la mémoire,
12:07 donc vraiment, si tu arrives à trouver une faille dans le carnel,
12:10 eh ben, malgré tout, tu ne peux pas t'en servir.
12:13 Voilà, donc j'espère que c'était simple.
12:14 Et donc, arrive la deuxième faille.
12:16 Celle qui s'attaque directement à des zones de mémoire bien spécifiques de l'iPhone.
12:19 Mais pour ça, il faut connaître un peu le matériel sur lequel on bosse.
12:22 Sur iPhone, les puces des iPhone et des Mac, c'est du SoC, donc System On Chip,
12:27 qui fait qu'en fait, dans une puce, tu vas avoir ton processeur, ta RAM, ta carte graphique et tout ça
12:31 dans le même type, sur ta carte mère.
12:34 La mémoire est partagée entre tous les appareils.
12:36 Et du coup, pour communiquer, en fait, ils mettent des valeurs dans la mémoire
12:39 à des endroits bien précis qui leur sont réservés.
12:41 Et ça, du coup, ça leur permet de communiquer entre différents devices.
12:44 Et toutes ces zones sont dans une liste documentée et publique.
12:47 On sait par exemple que si je mets des instructions de telle adresse à telle adresse,
12:50 ça va aller au GPU.
12:51 On trouve donc des suites de milliers d'adresses pour communiquer à chaque composant.
12:55 Sauf qu'il y a parfois des plages de milliers d'adresses dont on ne connaît pas l'utilité
12:58 et qui ne sont jamais évoquées.
13:00 C'est une zone mémoire.
13:01 Elle est inscrite nulle part, elle est documentée nulle part, elle est utilisée nulle part.
13:05 Donc probablement, c'est des trucs de debug pour les ingés de chez Apple.
13:10 Et parmi ces dizaines de milliers d'adresses,
13:12 l'Exploit va en utiliser très précisément six.
13:15 Des adresses qui vont se révéler être extrêmement utiles.
13:18 Si tu écris ces données dans ces six zones,
13:21 tu as un process qui va le faire pour toi et l'écrire en contournant complètement
13:27 ces protections hardware qui t'empêchait de le faire sur les autres zones mémoire.
13:30 Tu fais la passe décisive à ce truc-là,
13:33 qui lui va faire très gentiment mettre les valeurs que tu veux,
13:38 où tu veux dans la mémoire.
13:39 Et donc là, après, tu peux remplacer le code d'un processus que tu veux,
13:42 qui va être exécuté avec des permissions root.
13:44 Tu peux faire vraiment, tu es chez toi.
13:47 Et là, tu es roi du monde et tu peux faire vraiment ce que tu veux.
13:50 Le problème, c'est que ces six adresses MMIO un peu magiques,
13:53 ce n'est pas du tout une info publique.
13:55 Donc là, il y a plusieurs possibilités.
14:11 Soit ce sont d'énormes tryharders qui ont trouvé ça,
14:13 soit il n'y a que les ingénieurs d'Apple qui peuvent savoir ça.
14:16 Alors, est-ce qu'il y a une taupe chez eux ?
14:17 Ou est-ce que les hackers ont réussi à infiltrer leur serveur sans jamais se faire repérer ?
14:20 Eh bien, c'est impossible à dire et les rumeurs vont bon train.
14:22 Reste la dernière possibilité, qui sera de toute façon impossible à vérifier,
14:26 une collab entre une agence de renseignement, l'ANSA par exemple, et Apple.
14:29 Du côté d'Apple, ils démentent officiellement toute implication.
14:32 Et l'ANSA, comme d'hab, n'a aucun commentaire à faire à ce sujet.
14:35 À ce moment-là, c'est plié.
14:37 Ils ont tout ce qu'il faut pour s'éclater sur votre iPhone.
14:39 Genre là, maintenant, tout serait déjà parfait.
14:41 À cette étape-là, tu es déjà le roi du monde sur l'iPhone.
14:44 Et pourtant, les attaquants, ils ont encore et encore.
14:47 Ils vont ré-exploiter, ils vont remettre une payload
14:49 pour être vraiment sûr et certain qu'ils ne sont pas observés.
14:52 Pour être sûr et certain que la cible, c'est la bonne, etc.
14:55 Pour vraiment encore plus camoufler leur attaque.
14:57 Ils n'ont encore rien mis en place pour exfiltrer vos données,
14:59 mais ils pourraient juste télécharger un malware qui ferait le taf.
15:02 Et c'est ce que les chercheurs pensaient trouver après l'utilisation d'un tel exploit.
15:05 Et pourtant, non.
15:06 Car tout ça ne va servir qu'à une seule chose,
15:08 lancer la chaîne de validators qu'on a vu avant.
15:10 Eh oui, le script qui fait le gros triangle jaune et son petit frère.
15:13 Et il y a un deuxième validator qui va cette fois aller chercher davantage d'infos sur la cible.
15:17 Mais de façon beaucoup plus poussée qu'avant.
15:19 Histoire d'être sûr que c'est bien ta cible que tu es en train de péter
15:23 et que tu n'es pas sur un iPhone qui est en train d'être scruté par 15 chercheurs de sécu.
15:27 Ce serait pas le bol.
15:29 C'est vrai que ce serait quand même assez cocasse.
15:31 On veut un numéro de tel, un email, un identifiant Apple,
15:34 la liste de toutes les applications installées
15:36 et si la machine est déjà le briquet ou non.
15:38 Dès qu'ils voient qu'il y a le moindre truc, le moindre souci potentiel,
15:42 déjà il nettoie tout, il plie les gaules et il reste caché.
15:46 Il n'exécute rien du tout.
15:48 Et en plus, il envoie un petit rapport au créateur du virus
15:51 pour qu'il puisse se préparer potentiellement
15:53 et est-ce qu'effectivement il y a une défense qui soit en train de se mettre en place.
15:56 Il y a même une fonction pour détecter un éventuel antivirus.
15:59 Ce qui laisse penser que ça pourrait aussi infecter des Mac.
16:02 En fait, les architectures de Mac et d'iPhone sont très proches.
16:06 Le kernel c'est quasi le même, ils appellent ça XNU.
16:09 Tu vas avoir pareil, les puces c'est des SoC pour les deux.
16:13 Je ne sais pas si c'est exactement les mêmes fonctionnalités,
16:17 mais effectivement tu as des grosses similarités entre les deux
16:22 qui laissent entendre que soit l'exploit a été développé mais pas mis en oeuvre,
16:26 soit ils ont commencé à le développer mais ils ne sont pas allés au bout encore,
16:30 soit qu'il a été développé, mis en oeuvre et que là actuellement il est dans la nature
16:34 et que là du coup, il n'a pas du tout été détecté.
16:37 Ce qui est marrant c'est qu'ici, il n'y a plus d'obfuscation du tout.
16:40 Toutes les fonctions dont on parle ici, elles sont écrites en clair.
16:42 Les hackers ne pensaient sûrement pas que des gens arriveraient à aller jusque là,
16:45 mais pourtant Kaspersky a réussi.
16:47 Bref, si tous les feux sont verts et que vous êtes bel et bien une cible qui les intéresse,
16:50 une requête est envoyée pour vous envoyer le malware final.
16:53 Félicitations, vous venez d'être triangulé.
16:57 Votre iPhone est désormais directement connecté au hacker à n'importe quel moment.
17:00 Enfin presque, car ce virus n'est pas persistant.
17:03 C'est-à-dire que si vous redémarrez votre iPhone, vous en êtes débarrassé.
17:06 Enfin, jusqu'au prochain, il y a un message piraté qui vous enverront
17:09 dès qu'ils se seront rendu compte que ça ne fonctionne plus.
17:11 Ah bah tu peux pas le savoir du tout, hein.
17:13 T'as aucun comportement suspect, parce qu'en fait même tu vois l'enregistrement du micro
17:17 qui est normalement même un truc que tu vois pas, quoi.
17:19 Ils s'assurent que l'écran soit éteint quand ils enregistrent le micro
17:23 histoire d'être 100% sûr que tu te rendes compte de rien.
17:25 Enfin t'as vraiment aucun signe qui te dit que c'est ça ou pas, quoi.
17:29 Et au final, ils pourront prendre tout ce qu'ils veulent.
17:32 Localisation en temps réel, fichiers, processus, micro, mot de passe, album photo.
17:37 En même temps, pourquoi se priver, hein ?
17:39 Attends, ils ont quand même bien charbonné pour en arriver jusque là.
17:42 Ce serait dommage de ne pas tout récupérer, quoi.
17:44 Et dans tout ça, il y a même l'utilisation du machine learning.
17:47 Les hackers vont se servir de la puce d'Apple
17:49 qui s'occupe d'assigner automatiquement des labels à vos photos.
17:52 C'est comme ça, par exemple, que quand vous cherchez "chien" dans votre galerie,
17:54 votre iPhone vous montre uniquement des photos qui ont des chiens.
17:57 Pour ne pas avoir à traiter des centaines de milliers de photos
18:00 qu'ils reçoivent en flux continu,
18:02 au lieu d'exfiltrer les photos, ils vont d'abord exfiltrer les tags.
18:06 Donc typiquement, il y a tel mot qui a été détecté sur le truc.
18:09 Ou alors c'est un document scanné.
18:11 L'iPhone va appliquer plein de tags dès que tu emportes une photo dans la galerie.
18:15 Et du coup, ils vont utiliser ces tags-là pour derrière faire leur filtre.
18:19 Et en fait, qu'ils n'aient pas à le traiter de leur côté,
18:21 à mettre en place des suites de traitement là-dessus.
18:25 Bref, vous l'avez compris, on est sur quelque chose d'extrêmement sérieux.
18:28 Qui, étonnamment, n'a pas fait tant de trucs que ça en dehors de la sphère tech.
18:31 Et encore, c'est très précis.
18:33 Pourtant, au vu des vulnérabilités de déployer et du malware qui est mis en place,
18:36 on est clairement dans la même gamme que Pegasus.
18:39 - Fonctionnellement, l'outil est tout aussi puissant que Pegasus.
18:42 Je ne sais plus exactement comment ça marchait Pegasus,
18:45 mais je crois que c'était à peu près pareil.
18:47 Il suffit d'avoir le 0.6 de ta victime,
18:50 et tu le donnes à tes hackers.
18:53 En cinq minutes, le truc est "hop", et il tourne sur le système.
18:57 Et il aspire tout activement.
18:59 Donc ouais, fonctionnellement, c'est la même chose.
19:02 C'est les mêmes dangers.
19:04 Sauf que là, on ne sait pas qui l'utilise,
19:06 on ne sait pas qui le vend, on ne sait pas tout ça.
19:08 Donc c'est même, je dirais même presque encore plus dangereux.
19:10 Et on ne sait pas d'où ça vient.
19:12 - On parle de quatre failles zéro day, d'une infection en zéro clic,
19:15 donc sans aucune interaction de l'utilisateur,
19:17 et qui est indétectable sans faire un backup,
19:20 et de creuser très très loin.
19:22 - Pour les experts en cybersécurité,
19:24 toute cette chaîne d'attaque pourrait facilement valoir dans les plus de 10 millions de dollars.
19:27 On est sur du travail de qualité, et sur des moyens potentiellement démesurés.
19:31 Alors pourquoi est-ce que ça a fait aussi peu de bruit ?
19:33 Et bien possiblement car il n'y a aucune attribution derrière.
19:36 On ne sait pas qui attaque, et on n'est pas certains des cibles non plus.
19:39 Mais bon, vu les moyens employés, on se doute que c'est probablement
19:42 un groupe étatique derrière tout ça.
19:44 Kaspersky a décidé de la jouer safe, et ils n'ont nommé personne comme responsable.
19:47 Ils n'ont pas de preuve tangible, donc ils ne préfèrent pas s'avancer.
19:49 Et vous savez qui n'a aucun mal à s'avancer, et qui a communiqué dessus ?
19:52 Et bien la Russie, via son agence de cybersécurité,
19:54 mais également par le FSB, son agence de renseignement.
19:57 Et ils n'y vont pas avec le dos de la cuillère.
19:59 Ils balancent que c'est les Américains, tout simplement,
20:01 et plus précisément la NSA, qui serait derrière tout ça.
20:03 Et ils affirment même que ce serait en collaboration avec Apple.
20:06 Ils n'apportent aucune preuve, mais voilà, c'est sur des communiqués officiels.
20:10 Qui sortent pile le même jour que le premier rapport public de Kaspersky.
20:13 La NSA, comme d'hab', se contente de dire qu'elle n'a aucun commentaire à faire à ce sujet.
20:16 Bon, évidemment, on connaît la Russie, ils peuvent dire un petit peu ce qu'ils veulent.
20:19 D'un autre côté, il n'empêche qu'il y a malgré tout de grandes chances
20:22 que ce malware provienne d'une grande puissance.
20:24 Et c'est clairement du calibre de ce qu'a déjà pu mettre en place la NSA.
20:27 La seule trace que les hackers ont laissée, c'est une liste de 40 emails chiffrés en MD5,
20:31 depuis lesquels ils envoyaient les pièces jointes.
20:33 Elles ont été retrouvées dans un des scripts qui permettait de supprimer les iMessages
20:36 provenant des adresses mail en question.
20:38 Et il n'aura pas fallu longtemps pour les casser.
20:39 Ils les ont donc fournis à Apple, qui en saura peut-être plus sur la source de l'attaque grâce à ça.
20:43 Mais de leur côté, toujours aucune prise de parole.
20:45 On sait juste qu'ils ont patché toutes les failles suite aux travaux de Kaspersky.
20:48 Et de leur côté, les chercheurs ont sorti un soft qui vous permet d'analyser un backup iTunes
20:52 pour voir si vous avez été infecté ou non.
20:54 Il reste cependant beaucoup de mystères autour de cette affaire.
20:56 Vu les failles exploitées, on peut se demander si Apple était au courant,
20:59 voir s'ils sont impliqués.
21:00 Car on le sait, il y a plusieurs boîtes qui n'hésitent pas à collaborer avec les autorités,
21:03 voire même à filer leurs codes sources.
21:05 Mais Apple lutte pour garder son image d'indépendance.
21:08 Même lors de grosses affaires criminelles ou terroristes,
21:10 ils restent toujours sur la même ligne directrice.
21:12 Ils n'aideront ni le FBI ni la NSA à déverrouiller leurs matos.
21:15 Et sur cette affaire, ils se contentent de commenter ceci.
21:18 "Nous n'avons jamais collaboré avec un gouvernement pour insérer des bacs d'or dans nos produits
21:22 et nous ne le ferons jamais."
21:23 Ce qui est certain, c'est que cette attaque est démentielle.
21:26 Les premières traces d'infection auraient eu lieu en 2019 et ont continué jusqu'en juin 2023,
21:30 ciblant aussi bien des iPhones ayant plus de 10 ans que la dernière version de l'époque.
21:34 T'as des vulnérabilités qui s'exploitent des trucs plus ou moins récents,
21:37 mais dans le code du virus, ça peut exploiter des iPhones qui sont jusqu'à 10 ans,
21:44 qui vont exploiter des fonctions spécifiques des super vieux iPhones.
21:47 Donc, pareil, depuis combien de temps ce truc-là est actif ? On ne sait pas non plus.
21:52 Alors, on ne saura sûrement jamais qui est derrière ni ses cibles exactes,
21:56 et encore moins ce qu'ils en ont retiré.
21:57 On sait juste qu'ils ont déployé des moyens colossaux pour ça
21:59 et qu'ils ont tout mis en œuvre pour ne jamais être détectés, jusqu'à aujourd'hui.
22:03 Voilà, on espère que ça vous a plu.
22:04 Merci à Mathis d'avoir participé et répondu à nos questions, et surtout de nous avoir éclairé.
22:08 C'était vraiment pas évident.
22:09 Tous les liens sont en description si vous voulez plus de détails techniques.
22:12 On a un Tipeee, un Patreon si jamais vous voulez nous donner des sous.
22:15 On a un Discord, comme je l'ai dit, je suis sur Twitch.
22:17 Insta, TikTok, on fait des formats courts, les shorts.
22:20 J'ai un Rib que je peux vous envoyer si vraiment vous voulez nous soutenir.
22:24 D'ici là, merci. On se retrouve bientôt pour une prochaine vidéo.
22:26 Bisous, salut.
22:27 [Musique]