La cellule US-CERT du gouvernement américain tire la sonnette d’alarme. Elle vient d’émettre un bulletin d’alerte relatif à une menace informatique baptisée Masque Attack et visant les terminaux iOS d’Apple.
Découverte en juillet dernier par l’éditeur californien FireEye, cette technique permet l’installation de logiciels malveillants déguisés en programmes légitimes… et capables de remplacer des applications déjà présentes sur l’appareil. Elle est notamment à l’origine du malware Wirelurker, qui s’est illustré la semaine dernière en s’infiltrant sur des iPhone lors de la synchronisation par USB avec des Mac.
Masque Attack peut toutefois fonctionner sans ordinateur ni connexion filaire. Il suffit d’un simple lien hypertexte pour déclencher le téléchargement d’une application malicieuse. Afin de tromper l’utilisateur et le pousser à valider l’installation, les pirates reprennent au détail près l’interface d’une application légitime (FireEye utilise Gmail dans sa démonstration).
Ils exploitent surtout une faiblesse d’iOS en matière de gestion des certificats de conformité. Ces derniers ne sont pas vérifiés lors de l’installation d’une application qui dispose du même identifiant (de type ‘.com.google.Gmail’) qu’un logiciel déjà installé. Les principales solutions d’administration des terminaux mobiles (MDM, pour « Mobile Device Management ») ne sont pas capables de déjouer ce stratagème.
Le risque est encore plus grand dans les entreprises qui disposent de leurs propres applications pour lesquelles Apple propose, via un certificat unique, un déploiement sans passer par l’App Store – et donc son processus de contrôle qualité. Dans ce cas, les API privées d’iOS peuvent permettre une surveillance généralisée des activités des salariés.
Ces fausses versions d’applications cherchent notamment à voler des identifiants de connexion et les mots de passe associés. Capables d’espionner la plupart des communications électroniques, elles accèdent également aux différents caches, y compris ceux qui contiennent éventuellement des jetons de sessions, facilitant l’usurpation d’identités numériques.
Du côté d’Apple, on estime qu’il n’y a pas péril en la demeure : les protections intégrées à iOS permettent d’éviter l’installation d’applications potentiellement dangereuses. FireEye explique pour sa part avoir notifié la firme de Cupertino le 26 juillet dernier… et avoir testé l’attaque avec succès sur toutes les dernières versions du système d’exploitation (7.1.2, 8.0, 8.1, 8.1.1 bêta).
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous l’histoire d’Apple ?
Crédit photo : bacho – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…