Projet Pegasus : l’une des attaques les plus sophistiquées de l’histoire de l’informatique

Edward Back - Futura Sciences - 17/12
Suite au scandale Pegasus, les spécialistes du Project Zero de Google ont réussi à mettre la main sur la version iOS du malware. Ils y ont découvert une attaque d’une complexité rare, allant...

Suite au scandale Pegasus, les spécialistes du Project Zero de Google ont réussi à mettre la main sur la version iOS du malware. Ils y ont découvert une attaque d'une complexité rare, allant jusqu'à simuler un ordinateur par le biais d'un « simple » GIF animé.

Avec 50.000 personnes ciblées, dont 1.000 en France, le scandale Pegasus est une des plus grosses affaires d'espionnage. Pour infiltrer les téléphones des victimes, NSO Group a créé des attaques pour exploiter plusieurs failles, dont un « zéro-clic » baptisé Forcedentry. Ce dernier a pu ouvrir une brèche dans la sécurité de l'iPhone pour installer Pegasus sans la moindre interaction de l'utilisateur.

Les chercheurs en cybersécurité du Project Zero de Google ont pu décortiquer la version iOS du malware pour en comprendre son fonctionnement. Contrairement à de précédentes versions, la victime n'était pas invitée à ouvrir un lien. Ici, la faille se trouve dans l'affichage des images animées GIF dans l'application iMessage.

Un ordinateur contenu dans un GIF

Lorsque l'application tente d'afficher en boucle un fichier GIF, elle fait appel à l'un des 20 codecs d'image à sa disposition selon le type de fichier. Cela inclut un codec pour PDF. Pour infecter un iPhone, NSO Group a donc créé un fichier PDF qui est ouvert par l'interpréteur PDF CoreGraphics, qui à son tour fait appel au codec JBIG2. La faille se trouve dans ce dernier, avec lequel il est possible de provoquer un dépassement de tas (heap overflow).

Toutefois, JBIG2 ne peut pas interpréter de script, ce qui limite les possibilités à de simples fonctions logiques. Les développeurs chez NSO Group ont donc utilisé 70.000 commandes pour simuler une architecture d'ordinateur rudimentaire capable d'exécuter un script afin d'infiltrer l'appareil. Il...
[Courte citation de 8% de l'article original]

Loading...