Ouvrir le menu principal

iGeneration

Recherche

Opération Triangulation : une attaque sophistiquée et mystérieuse qui visait des iPhone

Florian Innocente

jeudi 28 décembre 2023 à 13:45 • 16

iPhone

« La plus sophistiquée des chaines d'attaque que nous ayons vue », c'est en ces termes que Kaspersky décrit un malware découvert l'été dernier sur les iPhone. À l'époque, le FSB (Service fédéral de sécurité de la Fédération de Russie, ex-KGB) avait accusé Apple d'avoir collaboré avec la NSA pour espionner les iPhone d'utilisateurs travaillant dans les missions diplomatiques russes de certains pays membres de l'OTAN et ailleurs à travers le monde.

La Russie bannit l

La Russie bannit l'iPhone de son administration par crainte d'espionnage

Ce malware a pu fonctionner pendant au moins quatre ans avant d'être détecté et identifié sous le nom d'opération "Triangulation". En référence à une étape de l'infection où le logiciel "dessine" une forme triangulaire dans la mémoire de l'appareil ciblé. Après des mois d'étude de ce malware et de son fonctionnement, Kasperksy n'en a pas trouvé toutes les clefs. Un premier compte-rendu très technique de ses découvertes a été publié, d'autres suivront pour détailler chacune des étapes de l'infection qui débutait par la réception d'un iMessage contenant un PDF, que l'app de messagerie traitait, sans aucune action requise de l'utilisateur.

Car le processus est complexe — il rebondissait sur quatre vulnérabilités jamais identifiées — et témoigne d'un très haut niveau de compréhension des arcanes matériels des iPhone (le malware pouvait aussi fonctionner sur des iPod touch, iPad, Mac, Apple TV ou Apple Watch). Kaspersky a fini par comprendre que le logiciel utilisait une fonction matérielle cachée et inconnue (ou de peu de monde).

Les étapes successives d'exploitation de failles pour aboutir à l'infection. Source : Kaspersky.

Les adresses MMIO (Memory-Mapped I/O) sont des registres mémoires dans le processeur dont le malware se sert pour communiquer avec des périphériques ou autres composants matériels comme le GPU ou la RAM. La liste de ces adresses n'est pas un secret et peut être récupérée, mais certaines n'y figuraient pas. Ces adresses inconnues étaient toutes liées au composant graphique. La raison de leur présence n'est pas explicable en l'état, peut-être étaient-elles là à des fins de débogage ?

De même, les chercheurs de Kaspersky ne s'expliquent pas comment les auteurs du malware ont pu les repérer. Certaines ont pu l'être par hasard ou à force de recherches et d'essais, mais cela n'explique pas toutes les découvertes faites ensuite pour réussir, au final, à contourner les protections en place. Le malware ne survivait pas à un redémarrage de l'appareil mais son propriétaire faisait l'objet par la suite d'une nouvelle attaque pour réimplanter l'intrus.

Quant à l'identité ou l'origine possible des auteurs, Kaspersky se garde de désigner un pays ou un gouvernement. Il n'y aurait pas de traces ou d'empreintes qui permettent de relier ce malware à des entités précédemment connues. Apple de son côté a corrigé les failles par des mises à jour pour iOS 15 et iOS 16.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Quel iPad choisir ? Notre guide d’achat 2025

02/04/2025 à 20:30

• 5


La première beta d’iOS/iPadOS 18.5 disponible pour les développeurs

02/04/2025 à 20:00

• 10


La Sonos Era 100 remplace la One en passant à 229 € (-50 €)

02/04/2025 à 18:45

• 8


Switch 2 : quels seront les jeux disponibles dès le lancement ?

02/04/2025 à 17:23

• 22


La Nintendo Switch 2 sera disponible le 5 juin à 469 €

02/04/2025 à 16:15

• 104


Begone rafraichit son interface pour mieux bloquer les appels indésirables

02/04/2025 à 15:30

• 47


UPDF : 3 ans déjà ! Profiter de 41 % de remise sur le meilleur éditeur PDF du marché 🎉

Partenaire


iOS 18.4 : un étrange bug fait réapparaître de vieilles apps désinstallées

02/04/2025 à 12:30

• 40


Gros ravalement de façade pour l’app Plex sur iOS

02/04/2025 à 11:15

• 19


🆕 AirPods Max : Apple a repoussé la sortie du firmware pour l'audio lossless

02/04/2025 à 09:38

• 77


Apple Invitations passe en version 1.1

01/04/2025 à 22:30

• 28


Non, nous ne sommes pas le 1er mars sur l'icône du calendrier, et Apple a un problème de cohérence dans ses systèmes

01/04/2025 à 21:15

• 32


Quel iPhone choisir ? Notre guide d'achat 2025

01/04/2025 à 20:30

• 15


Comme Siri, Alexa+ ne tient pas encore toutes les promesses d'Amazon

01/04/2025 à 17:15

• 11


iOS 18.4 : le réseau Localiser officiellement lancé en Corée du Sud

01/04/2025 à 16:30

• 11


Promo : -200 € sur des iPhone 16 Pro, Pro Max et 16 Plus

01/04/2025 à 14:45

• 6