Le 17 août 2022, Apple annonçait la disponibilité d’une mise à jour urgente pour régler deux vulnérabilités. Il s’agissait de deux failles de cybersécurité permettant à un attaquant de prendre le contrôle total d’un produit Apple comme votre iPhone.
Comment de telles vulnérabilités ouvrent les portes aux criminels et comment mieux se protéger? C’est ce que je vais expliquer en utilisant les dernières vulnérabilités détectées chez Apple pour illustrer mes propos.
Dans une bonne architecture comme celle d’Apple, la cybersécurité est construite par couche. Chaque composant bénéficie de certains privilèges d’accès. Idéalement, les privilèges strictement nécessaires pour que le composant fonctionne, rien de plus. C’est pour cette raison que vous devez explicitement donner des privilèges d’accès supplémentaires pour qu’une application utilise votre caméra, votre micro et ainsi de suite.
La première vulnérabilité se situe au niveau d’un composant nommé le «Web Kit». Ce composant est une fenêtre entre votre appareil et l’Internet. Dans son état vulnérable, le «Web Kit» permettrait à un contenu WEB malicieux d’exécuter du code sur votre appareil. En vous leurrant pour que vous chargiez un site WEB construit à cet effet, un attaquant pourrait donc exécuter du code sur votre appareil sans votre consentement. Il pourrait s’y établir un camp de base. Cependant, en raison de la cybersécurité par couche, il n’aurait probablement pas les privilèges suffisants pour accéder à vos fichiers, vos photos, votre microphone et autres données sensibles.
Une fois installé dans son camp de base et dans l’objectif de se rendre au sommet, l’attaquant devra exploiter l’autre vulnérabilité publiée le même jour. Cette vulnérabilité se trouve au niveau du «kernel», c’est-à-dire le cœur du système. Les commandes passées par le «kernel» ont tous les droits. La seconde vulnérabilité permet à notre attaquant situé au camp de base d’exécuter une commande comme s’il était le cœur de votre appareil. Dans ce contexte, tout est permis, ouvrir le microphone, copier vos données, prendre des photos, s’octroyer tous les privilèges, etc.
Les attaques se font par étape
Les cyberattaques se font comme l’ascension d’une montagne, par étape. Des chercheurs chez Lockheed Martin ont adapté un modèle d’attaque à la sécurité de l’information. Il s’agit du «Cyber Kill Chain». Ce modèle simplifie la compréhension des étapes d’une attaque informatique. Si, pour chaque étape du «Cyber Kill Chain», vous avez des mesures défensives en place, l’ascension de la montagne sera très difficile pour un attaquant.
Les étapes d’une attaque selon le modèle de «Cyber Kill Chain»
1- La reconnaissance:
L’attaquant collecte de l’information sur vous et sur votre entreprise et identifie les vecteurs d’attaques qu’il pourrait exploiter. Ces informations lui permettent d’établir une stratégie.
Dans l’exemple d’Apple, l’attaquant pourrait utiliser différents stratagèmes, simples et rapides, pour savoir si vous utilisez des produits Apple. Il doit ensuite imaginer de quelles façons il pourra exploiter les vulnérabilités sur votre appareil et pour quels objectifs malicieux.
2- L’armement:
L’attaquant doit s’outiller adéquatement avant de partir en mission ou s’équiper convenablement avant d’escalader la montagne. Il peut construire ou acquérir un logiciel malveillant lui permettant d’atteindre la cible.
Dans notre exemple, il doit avoir en sa possession le code permettant d’exploiter les vulnérabilités du «Web Kit» et du «kernel». Ces logiciels malveillants ne sont pas toujours facilement accessibles. Ils sont parfois complexes à produire ou très dispendieux à acquérir. Dans le cas des vulnérabilités d’Apple, les trousses pour les exploiter ne sont pas facilement accessibles à l’heure d’écrire ces lignes. J’ai vu des publications très informelles où l’on parlait d’un prix de 8 millions de dollars américains pour mettre la main sur la trousse d’exploitation. Pour d’autres vulnérabilités, l’acquisition de maliciel est simple et gratuite.
3- La livraison:
Comme un tireur, notre attaquant doit pouvoir se rapprocher de sa cible. L’attaquant doit trouver un moyen de mettre en contact votre appareil avec le logiciel malveillant. Le courriel est souvent utilisé comme moyen de livraison. Les clés USB et les sites WEB sont aussi de bons vecteurs de livraison.
Dans le cas qui nous intéresse, l’attaquant doit leurrer la victime pour qu’elle visite une page WEB qui chargera le code malveillant conçu pour exploiter la vulnérabilité du «Web Kit» et ensuite du «kernel».
4- Exploitation:
Il s’agit de l’exécution du code malveillant sur la cible. C’est le tireur qui appuie sur la gâchette.
Dans notre exemple, la victime a mordu à l’appât et a navigué sur le site WEB contenant le logiciel malveillant. Ce dernier a été en mesure de s’exécuter sur l’appareil.
5- L’installation:
L’étape d’installation consiste à établir une présence permanente et légitime sur la cible. Après tous les efforts effectués pour livrer le logiciel malveillant, on ne voudrait pas devoir recommencer simplement parce que la victime ferme son navigateur. L’attaquant veut donc établir un camp de base permanent sur l’appareil de la victime.
La documentation expliquant comment nos deux vulnérabilités peuvent être exploitées n’est pas encore facilement disponible, mais on peut s’imaginer que le logiciel malveillant va créer un programme permanent qui pourra redémarrer au besoin.
6- Commandement et contrôle:
Cette étape sert à établir un canal de communication avec le quartier général de l’attaquant. Le logiciel malveillant installé sur sa cible doit trouver un moyen de communiquer avec l’attaquant qui le contrôle. Le lien de communication servira à passer des commandes au logiciel malveillant et potentiellement à exfiltrer vos données.
Dans le contexte d’Apple, une fois que le logiciel malveillant est installé sur votre appareil, il doit communiquer avec l’attaquant pour que ce dernier puisse le contrôler et tirer profit des privilèges d’accès habituellement réservé au «Kernel».
7 — Action sur l’objectif:
Cette étape consiste à réaliser les méfaits prévus. Les méfaits peuvent être brutaux comme le sabotage, le chiffrement et la destruction, ou ils peuvent être silencieux comme l’espionnage et le vol de propriété intellectuelle. À cette étape, l’attaquant a gravi les échelons de la «Cyber Kill Chain» et s’est donné les moyens d’accomplir son crime.
Pour notre appareil Apple, cela signifie que l’attaquant détient le contrôle et il peut faire tout ce qu’il veut.
La protection par couches réduit les risques
Vous pouvez constater qu’il n’est pas toujours simple d’exploiter une vulnérabilité pour réaliser un méfait. L’attaquant doit franchir plusieurs étapes avant de pouvoir effectuer une action malveillante. Si chaque étape est complexifiée par des contrôles de sécurité, l’attaquant aura probablement un meilleur retour sur son investissement en allant attaquer quelqu’un d’autre.
La reconnaissance peut être complexifiée en protégeant les interfaces publiques de vos services TI et en étant discret sur les réseaux sociaux.
En faisant une gestion efficace des vulnérabilités, l’étape d’armement se complexifie.
En utilisant des logiciels de protection de courriel et de filtrage WEB, la proportion des livraisons réussies diminue drastiquement.
En utilisant une protection adéquate sur vos postes et serveurs, vous réduisez les chances de succès des étapes d’exploitation et d’installation. Un bon logiciel de type EDR «Endpoint Detection and Response» va probablement détecter que quelque chose d’anormal se produit. Une bonne équipe de sécurité pourra analyser le problème et l’éliminer.
En contrôlant le trafic réseau sortant, vous serez en mesure de capter et bloquer les communications associées à l’étape de commandement et contrôle. Vous pourrez aussi identifier où se cache le logiciel malveillant espion.
Finalement, une bonne architecture où chaque composant est sécurisé comme s’il était directement sur l’Internet permet de limiter les impacts des méfaits. L’attaquant pourra peut-être poser action sur un objectif, mais il ne pourra pas frapper l’organisation dans son ensemble sans déployer des efforts titanesques.
Par opposition, si vous n’avez rien pour ralentir l’attaquant dans son ascension, il vous suffira de lui fournir par accident un accès à un dispositif vulnérable ou mal protégé et son ascension sera très rapide et sans effort.