Cette révélation fait suite à celles communiquées le 29 août 2019 par des chercheurs employés par Google. Ces dernières mettaient en avant des “chaînes d’exploits” pour iPhone trouvés sur un site web. Concrètement, il suffisait qu’un iPhone visite un de ces sites pour que les téléphones des utilisateurs passent sous le contrôle de l’attaquant en profitant de plusieurs vulnérabilités d’où le terme « chaîne ».

Une révélation mais pas pour tout le monde : on peut pirater des iPhones à distance

Des entreprises à la morale douteuse sont connues pour fournir de telles chaînes d’exploits1. Elles ont pour nom GammaGroup, Hacking Team ou NSO. D’autres acteurs sont montrés du doigt comme certaines start-ups israéliennes très offensives [3], sans parler des Etats-Unis, de la Russie ou de la Chine.

En revanche, c’est la première fois qu’un watering hole [1] pour iPhone est dévoilé de la sorte. En examinant le contenu de ces sites, ils avaient constaté que les exploits étaient tout aussi présents pour Android et Windows, mais de telles chaînes étaient déjà connues.Le problème c’est qu’Apple vend ses iPhones, entre autres, en mettant en avant la sécurité de ses téléphones. Or la “sécurité” revêt de nombreux aspects : sensibilité aux vulnérabilités, protection de la vie privée, etc…
Devant l’ampleur de cette révélation, Apple a publié un communiqué de presse [4].

La réponse d’Apple

Apple avance le fait que les sites contaminants n’ont pas une grosse audience, ce qui limite fortement l’impact de la contamination. Mais cela ne répond en fait pas au problème : la réalité, c’est qu’il est possible de prendre le contrôle complet d’un iPhone à distance sans que l’utilisateur ne le sache. Et pire, il n’a aucun moyen simple de savoir s’il est compromis. Apple conteste également la durée pendant laquelle ces sites ont opéré. Enfin, l’entreprise mentionne qu’elle travaille elle-même à un correctif pour certaines des vulnérabilités (sans préciser lesquelles).

Au final, ce communiqué ne fait qu’allumer des contre-feux au vrai problème : des chaînes d’exploits existent sur les iPhones et Apple est totalement opaque vis-à-vis de la sécurité de ses produits. La conséquence est simple : les utilisateurs n’ont aucune visibilité sur leur niveau de risques, ils sont donc en incapacité totale de déterminer si leur téléphone a été compromis, par qui et comment. C’est bien là le cœur du problème.

La sécurité selon Apple : un monde fermé voire opaque

Ces problèmes sont dénoncés depuis longtemps par une partie de la communauté de la sécurité. Ils proviennent de la manière dont Apple se protège. Reconnaissons-le d’emblée, en ce qui concerne la sécurité des iPhones, Apple a construit un magnifique produit au cours du temps. Mais cette stratégie de sécurité n’est pas pertinente sur le long terme. Leur objectif est de garder un maximum de monde en dehors du système, en interdisant tout examen à des tiers. Il est ainsi quasiment impossible à un utilisateur de déterminer si son iPhone est compromis sans recourir à des outils qui exploitent des vulnérabilités.

En cadenassant l’accès à son téléphone depuis des années, Apple évite les problèmes de malware et autres fausses applications comme il y en a tant dans l’univers Android. Mais c’est une autre menace qu’Apple a laissé émerger : un marché très gris des vulnérabilités.

Septembre 2019 : une vulnérabilité dévoilée

Le 27 Septembre, une vulnérabilité iPhones (du 4S au X) est dévoilée. Dénommée Checkm8, elle affecte la bootROM [2] et donne accès au device qu’Apple tente de préserver des regards indiscrets. Pour résumer, Checkm8 n’est pas exploitable à distance car un accès physique au téléphone est nécessaire. Par ailleurs, il n’a pas de persistance car il faut relancer l’exploit à chaque reboot. Enfin, il ne permet pas de passer outre la Secure Enclave  [3]. 
Ceci signifie donc qu’Apple ne peut pas corriger la vulnérabilité sur les iPhones déjà en circulation. Le problème principal est qu’un attaquant qui aurait accès au téléphone pourrait facilement y installer une version piégée d’iOS et donc voler les informations de son utilisateur.

Apple savait qu’une vulnérabilité existait puisqu’ils y ont remédié, mais il est impossible de savoir depuis combien de temps. Durant l’été, Apple a réintroduit une ancienne vulnérabilité, qu’ils avaient corrigée quelques mois auparavant. Mais l’entreprise a également silencieusement sorti un correctif pour la bootROM sans en avertir personne. Il est donc probable que celle-ci ait été analysée, découverte et exploitée par des personnes mal intentionnées.

À défaut d’être un énorme risque pour la sécurité, la découverte de cette nouvelle vulnérabilité a surtout le mérite de révéler publiquement une situation anormale, où l’éditeur a la connaissance d’une faille de sécurité, tout comme les attaquants, grâce au patch d’Apple, mais pas les utilisateurs.

Les iPhones sont-ils sécurisés ?

Les iPhones sont solides en termes de sécurité, à n’en pas douter. Néanmoins, cela ne veut pas dire, contrairement à ce qu’Apple essaie de laisser penser, qu’ils sont invulnérables. Certes, la stratégie d’Apple lui a permis de construire un produit robuste et qui n’est pas infecté par des malwares. Cependant, les attaques les plus sournoises le sont d’autant plus qu’un utilisateur n’a aucun moyen de se savoir compromis. Le ticket d’entrée pour prendre le contrôle à distance d’un tel téléphone est élevé … mais le temps des hackers à capuche dans leur garage est révolu.

Aujourd’hui, les attaquants sont structurés et disposent de moyens financiers et / ou techniques conséquentes. Il est dommage que l’éditeur ne donne pas les moyens à ses utilisateurs de se protéger et de savoir s’ils sont compromis.

^{[1] Vulnérabilité iOS publiées par Google : https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html}

^{[2] https://twitter.com/axi0mx/status/1177542201670168576}

^{[3] https://www.businessinsider.com/inside-the-israel-offensive-cybersecurity-world-funded-by-nso-group-2019-8?IR=T}

^{[4 ]https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/}
---------------------------------------------------------------------------------------------------------------------
1 Un exploit, en simplifiant un peu, est un programme permettant de rentrer dans un ordinateur.

2 Un watering hole est une stratégie d’attaque cyber pour attirer vers un site web piégé des victimes appartenant à un même groupe (organisation, région, industrie, …)

[2] La bootROM contient le tout premier code de démarrage du téléphone, celui qui initialise la « root of trust ». Ce code étant en ROM (Read Only Memory), il ne peut être modifié une fois implanté dans le sillicium.

[3] La secure enclave est l’équivalent du TEE (Trusted Execution Environment) dans le monde Apple, c’est-à-dire une puce dédiée à exécuter le code de sécurité (ex : crypto, et quelques paramètres critiques).