Predator à l'origine de l'urgence pour l'iPhone

La semaine dernière, Apple a publié en urgence des mises à jour iOS 16.7 et iOS 17.0.1 afin de combler des vulnérabilités 0-day affectant l'iPhone. Des patchs à appliquer concernent toutefois les produits du groupe de Cupertino dans leur ensemble.

Signalées par les chercheurs en sécurité du Citizen Lab de l'Université de Toronto et du Threat Analysis Group (TAG) de Google, les vulnérabilités CVE-2023-41993 (exécution de code à distance dans Safari ; WebKit), CVE-2023-41991 (contournement de la validation des signatures par une application malveillante) et CVE-2023-41992 (élévation de privilèges dans le noyau) ont été exploitées pour l'installation d'un spyware.

Pas Pegasus, mais Predator

Avec l'exploitation en chaîne de ces trois vulnérabilités, le spyware en question n'est pas Pegasus de NSO Group. C'est un spyware commercial Predator du même acabit développé par Cytrox, selon un rapport du Citizen Lab. Le TAG de Google fait autrement référence à une exploitation en chaîne d'Intellexa ; sachant que Cytrox fait partie d'une alliance portant le nom d'Intellexa.

Pour le développement d'outils de surveillance présentant un risque d'utilisation abusive au regard des droits de l'homme, Cytrox et Intellexa figurent sur la liste noire Entity List du département du Commerce des États-Unis (PDF). Quatre entités sont concernées en Grèce, Hongrie, Irlande et Macédoine du Nord.

Entre mai et septembre 2023, les vulnérabilités CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993 ont été utilisées via des attaques ayant recours à des liens envoyés par SMS et des messages WhatsApp pour cibler l'ancien député égyptien Ahmed El-Tantawy. Elles ont eu lieu à la suite de l'annonce de son intention de participer à l'élection présidentielle de 2024 en Égypte.

" Lorsque El-Tantawy a visité certains sites web n'utilisant pas HTTPS, un dispositif installé à la frontière du réseau Vodafone en Égypte l'a automatiquement redirigé vers un site web malveillant, afin d'infecter son iPhone avec le spyware Predator de Cytrox ", écrit le Citizen Lab.

Les appareils Android pas épargnés

L'institut de recherche souligne que l'Égypte est un pays connu pour être un client de Cytrox pour le spyware Predator. Elle ajoute que le téléphone d'Ahmed El-Tantawy avait été infecté par Predator deux ans auparavant, en novembre 2021.

Google indique que la vulnérabilité CVE-2023-4762, touchant le moteur JavaScript V8 (Chromium) et corrigée en début de mois dans Chrome, a été exploitée dans le cadre d'une autre chaîne d'exploitation pour installer le spyware Predator sur des appareils Android en Égypte.

Apple confirme que le mode de confinement (Lockdown Mode) permet de bloquer des attaques. Google met en avant le mode HTTPS-First de Chrome (mettre à niveau les navigations en HTTPS) pour réduire la probabilité de diffusion d'exploits par injection de réseau dans le cadre d'une attaque de type man-in-the-middle.