Attaques zero-click : l’espionnage à l’ère des smartphones

En exploitant les failles de sécurité des smartphones, les attaques zero-click permettent d’infiltrer l’appareil d’une cible sans nécessiter d’actions de celle-ci. Ces offensives touchent aujourd’hui aussi bien des états que des entreprises de taille moyenne.

« Les attaques zero-click ne datent pas d’hier. En 1988, le ver Morris, virus informatique éponyme de son concepteur, avait infecté sans intervention humaine 6 000 ordinateurs aux États-Unis (soit 10% de l’Internet de l’époque) et causé des dégâts estimés à plusieurs millions de dollars », déclare Hervé Debar, chercheur en cybersécurité à Télécom SudParis. En se connectant aux serveurs de messagerie nécessairement en accès ouvert, ce programme exploitait des défauts dans plusieurs logiciels serveurs pour les infecter. Cet évènement peut être considéré comme l’une des premières attaques zero-click, un type de cyberattaque fonctionnant grâce à l’exploitation des failles de sécurité de l’appareil cible sans nécessiter d’action de la victime.

Aujourd’hui, ce genre d’offensive peut-être facilement mis en œuvre sur des smartphones pour deux raisons. Premièrement, ce sont des appareils qui ont des mécanismes de protection moins performants que ceux des ordinateurs. Deuxièmement, ils vont nécessiter des processus plus complexes pour présenter des vidéos et des images. Cela signifie que les codes permettant d’afficher ces contenus sont plus complexes que ceux des ordinateurs. Par conséquent, les attaquants peuvent y introduire et y dissimuler plus facilement des programmes malveillants et exploiter les failles de sécurité. Selon Hervé Debar, « ils doivent toutefois connaître certaines informations personnelles de la cible tels que son numéro de téléphone ou son adresse IP pour identifier son téléphone. C’est un type d’attaque ciblée qui peut difficilement être déployée à grande échelle puisqu’elle nécessite de recueillir les données de nombreux utilisateurs ».

Les attaques zero-click se déroulent généralement de la manière suivante : l’attaquant envoie à sa cible un message avec un contenu spécifique qui sera reçu dans une application. Ce peut être du son, des images, des vidéos, des gifs ou des fichiers pdf incluant un programme malveillant. Une fois le message reçu, le téléphone du destinataire va le traiter en passant par des applications pour que le contenu s’affiche sans que l’utilisateur ne clique dessus. En même temps que ces applications fonctionnent, les failles présentes dans leur code vont-être exploitées par l’attaquant pour exécuter des programmes conduisant à l’installation du logiciel espion sur l’appareil cible, à l’insu de la victime.

Les failles zero-day : des vulnérabilités d’intérêt économique et politique

Les failles exploitées dans les attaques zero-click sont appelées « failles zero-day ». Ce sont des vulnérabilités qui n’ont pas été découvertes par le fabricant ou qui n’ont pas encore reçu de correctifs. Leur détection fait aujourd’hui l’objet d’un marché international : le marché zero-day. Ce marché regroupe des entreprises faisant appel à des hackers pour identifier ces défaillances. Une fois la faille identifiée, le hacker produit un document expliquant les spécificités de celle-ci et peut la vendre plusieurs milliers de dollars à l’entreprise ayant lancé l’offre. Il peut s’agir du fabricant qui l’achète pour lancer sa résolution. Mais il peut aussi s’agir d’une autre entreprise, qui peut revendre la faille à des clients, souvent des états, pour qu’ils puissent pratiquer l’espionnage. Selon Hervé Debar, entre 100 et 1 000 vulnérabilités sont détectées sur les appareils chaque année. 

Les attaques zero-click sont fréquemment menées à des fins de vol ou d’espionnage. Dans le premier cas, l’objectif peut être de valider un paiement de la victime et ainsi détourner son argent. Dans le second, le but peut être de récupérer des données sensibles sur une personne précise. L’exemple le plus récent est l’affaire Pégasus, qui implique une cinquantaine de milliers de victimes potentielles regroupant des personnalités politiques et médiatiques. « Ces offensives peuvent-être un moyen de récupérer des informations secrètes sur des projets industriels, économiques ou politiques. Elles permettent au responsable de se dissimuler et de rendre difficile l’identification de l’origine de l’attaque, ce qui les rend particulièrement dangereuses », souligne Hervé Debar. En plus des états et des multinationales, les petites et moyennes entreprises sont également très touchées par ce genre d’offensives. Elles sont particulièrement vulnérables à cause de leurs faibles moyens financiers pour mettre en place une gestion professionnelle de l’informatique, contrairement aux grosses organisations.

À lire aussi sur I’MTech : Cybersécurité : un coût élevé pour l’entreprise

Des langages informatiques plus sécurisés

Il existe toutefois des actions pouvant limiter le risque de se faire toucher par ces assauts. Pour Hervé Debar, « la première chose à faire est d’utiliser son sens critique. Trop de personnes tombent dans le piège en ouvrant des messages pourtant suspects. » Il faut également séparer les téléphones personnels des téléphones professionnels. De cette façon, l’attaquant ne pourra pas avoir accès à toutes les données de la victime. Une autre astuce est la mise en place de sauvegardes sur un disque dur externe. « En transférant ses données sur celui-ci, elles ne seront pas uniquement disponibles sur le réseau. En cas d’attaques, elles seront récupérables et en sécurité si l’on débranche le disque après les sauvegardes », ajoute le chercheur. Pour se protéger, les organismes peuvent également mettre en place des systèmes de détection d’intrusion (IDS) et des systèmes de prévention des intrusions (IPS) pour surveiller les flux de données et les accès aux informations.

Afin de lutter contre les cyberattaques, les chercheurs travaillent sur des langages informatiques alternatifs. Ada, un langage de programmation datant des années 1980, est aujourd’hui utilisé dans les domaines de l’aéronautique, du secteur ferroviaire ou de la sécurité aérienne. Depuis une dizaine d’années, le langage Rust a quant à lui permis de résoudre certains problèmes liés à la gestion de la mémoire tampon qu’il était possible de rencontrer avec C et C++, des langages couramment utilisés pour développer des systèmes d’exploitation. « Ces nouveaux langages sont mieux contrôlés que les langages de programmation classiques. Ils incluent des protections automatiques qui empêchent des erreurs commises par les programmeurs. Cela permet l’élimination de certaines failles et donc de certaines attaques », souligne l’expert. Cependant, « l’écriture des programmes demande du temps, ce qui implique un investissement financier important de la part des entreprises. Or certaines ne sont pas toujours prêtes à le fournir. Cela peut donc conduire à des erreurs de programmation engendrant des failles exploitables par des individus ou des organisations malveillantes », conclut le chercheur.

Rémy Fauvel