Des restrictions pour plus de sécurité : le nouveau Lockdown Mode d’Apple

Cette nouvelle fonctionnalité d’Apple promet de renforcer la sécurité contre les attaques ciblées.

En juillet 2022, Apple a annoncé un nouveau paramètre de sécurité pour ses dispositifs. Connu comme « Lockdown Mode » (mode de verrouillage), il restreint de façon significative les fonctionnalités de votre smartphone, tablette ou ordinateur portable Apple. Il a été conçu afin de réduire le taux de réussite des attaques ciblées, dont les hommes politiques, les journalistes, les militants ou autres peuvent être victimes. Le Lockdown Mode devrait arriver plus tard cette année avec la sortie de iOS 16 (smartphones), iPadOS 16 (tablettes) et macOS Ventura (ordinateurs portables et de bureau).

Pour les utilisateurs ordinaires, ce mode d’exploitation va certainement faire plus de mal que de bien. C’est pourquoi Apple ne le conseille qu’aux utilisateurs qui pourraient être victimes d’une attaque ciblée à cause de leur activité. Dans cet article, nous analysons les pours et les contres de ce mode de verrouillage, nous comparons les nouvelles restrictions avec les capacités des exploits connus sur les smartphones Apple, et nous essayons de comprendre pourquoi ce mode, certes utile, n’est pas un remède miracle.

Le Lockdown Mode en détail

Avant la fin de l’année, avec la sortie des nouvelles versions iOS, votre smartphone ou votre tablette Apple (s’il s’agit d’un modèle assez récent, c’est-à-dire après 2018), va disposer d’une nouvelle fonctionnalité dans les réglages : le Lockdown Mode.

Écran d'activation du Lockdown Mode sur un smartphone Apple

Écran d’activation du Lockdown Mode sur un smartphone Apple. Source

Une fois le mode activé, le téléphone redémarre et quelques petites caractéristiques (vitales pour d’autres personnes) ne fonctionnent plus. Par exemple, les pièces jointes reçues sur iMessage seront bloquées et certains sites pourraient ne pas fonctionner correctement dans le navigateur. Il vous sera également plus difficile de joindre les personnes avec lesquelles vous n’aviez pas de contact. Toutes ces restrictions cherchent à clore les points d’entrée les plus souvent utilisés par les cybercriminels.

Si nous examinons le Lockdown Mode de plus près, nous constatons qu’il applique les restrictions suivantes sur votre dispositif Apple :

  1. Vous ne pouvez voir dans les conversations iMessage que les messages et les images qui vous sont envoyés. Toutes les autres pièces jointes sont bloquées.
  2. Certaines technologies seront désactivées dans les navigateurs, et c’est notamment le cas de la compilation à la volée.
  3. Toutes les invitations de communication reçues via les services Apple seront bloquées. Par exemple, vous ne pourrez pas passer un appel FaceTime si vous n’avez jamais parlé avec l’autre utilisateur.
  4. Si votre smartphone est verrouillé, il ne pourra pas interagir avec votre ordinateur ou tout autre dispositif externe connecté avec un câble.
  5. Il vous sera impossible d’installer des profils de configuration ou d’inclure le smartphone dans une application de gestion de terminaux mobiles (MDM).

Les trois premières mesures cherchent à limiter les vecteurs d’attaques ciblées les plus souvent utilisés sur les dispositifs Apple : un iMessage infecté, un lien vers un site malveillant ou un appel vidéo entrant.

La quatrième a été conçue pour protéger votre iPhone au cas où on essaierait de le connecter à un ordinateur, lors d’un moment d’inattention, afin de voler des informations précieuses en exploitant une vulnérabilité du protocole de communication.

La cinquième restriction rend impossible la connexion du smartphone à un système MDM. Normalement, les entreprises utilisent souvent une application MDM à des fins de sécurité, notamment pour effacer les données d’un téléphone perdu. Pourtant, cette fonctionnalité peut aussi être utilisée pour voler des informations puisque l’administrateur MDM a un large contrôle sur le dispositif.

Dans l’ensemble, le Lockdown Mode semble être une bonne idée. Peut-être que nous pourrions tous accepter ces quelques inconvénients si cela nous garantit une meilleure protection ?

Les fonctionnalités versus les bugs

Avant d’analyser cette problématique, voyons à quel point la solution d’Apple est radicale. Si on y réfléchit bien, c’est tout le contraire de ce qu’indique les normes établies dans ce secteur. Les choses se déroulent généralement de cette façon : le développeur met au point une nouvelle fonctionnalité, la déploie puis se bat pour corriger les bugs dans le code. Avec le Lockdown Mode, Apple propose de bloquer certaines options existantes et pratiques afin d’obtenir une meilleure protection.

Voici un exemple simple, et purement théorique. Imaginons que le développeur d’une application de messagerie ajoute la possibilité d’échanger de beaux émojis animés, et même de créer le vôtre. Puis il s’avère que cet émoji pourrait provoquer un redémarrage constant du dispositif des destinataires. Ce n’est pas l’idéal.

Afin d’éviter cette situation, cette fonctionnalité aurait dû être laissée de côté, ou devrait être analysée plus longtemps pour vérifier qu’il n’y a pas de vulnérabilité. Il était plus important de lancer et de monétiser le produit le plus rapidement possible. Lors de cette bagarre en coulisses entre la sécurité et le confort, ce dernier l’emporte toujours. Du moins c’était le cas jusqu’à présent puisque le nouveau mode d’Apple considère que la sécurité est plus importante que tout le reste. Un seul mot peut décrire ce changement de situation : super.

Est-ce que cela signifie que les iPhones qui n’ont pas le Lockdown Mode sont vulnérables ?

Les dispositifs mobiles d’Apple sont déjà bien sécurisés ; ce point est important après leur dernière annonce. Il n’est pas facile de voler les données d’un iPhone, et Apple se plie en quatre pour que cela ne change pas.

Par exemple, les informations biométriques qui vous permettent de débloquer votre smartphone ne sont stockées que sur le dispositif ; elles ne sont pas envoyées au serveur. Les données conservées dans le téléphone sont chiffrées. Le code PIN qui déverrouille votre dispositif ne peut pas être victime d’une attaque par force brute : l’appareil se bloque après plusieurs erreurs. Les applications du smartphone s’exécutent en isolation les unes des autres et ne peuvent généralement pas accéder aux données stockées par d’autres applications. Chaque année, il est de plus en plus difficile de pirater un iPhone. Ce niveau de sécurité est plus que suffisant pour la plupart des utilisateurs.

Pourquoi renforcer la sécurité ?

Cette question ne concerne qu’un nombre réduit d’utilisateurs dont les données sont si précieuses que ceux qui veulent les obtenir sont prêts à tout. Dans ce contexte, cela signifie qu’ils consacrent beaucoup de temps et d’argent au développement d’exploits complexes capables de déjouer les systèmes de protection connus. Ces attaques informatiques sophistiquées ne concernent qu’une dizaine de milliers de personnes dans le monde entier.

Nous connaissons ce chiffre approximatif grâce au Projet Pegasus. En 2020, une liste a divulgué les noms et les numéros de téléphone de 50 000 personnes qui auraient été, ou auraient pu être, victimes d’une attaque qui a utilisé un logiciel espion développé par NSO Group. Cette entreprise israélienne a longtemps été critiquée pour développer « légalement » des outils de piratage pour ses clients, dont divers services de renseignement du monde entier.

NSO Group a nié tout lien entre ses solutions et la liste des cibles, mais on a appris plus tard que les technologies de l’entreprise ont bel et bien été utilisées pour attaquer des militants, des journalistes et des politiques (y compris des chefs d’État et du gouvernement). Le développement d’exploits, même légaux, est un commerce douteux qui peut provoquer la fuite de méthodes d’attaques extrêmement dangereuses que n’importe qui peut utiliser.

Les exploits pour iOS sont-ils vraiment sophistiqués ?

La complexité de ces exploits peut être évaluée en prenant l’exemple d’une attaque de type zéro-clic analysée par l’équipe Project Zero de Google en fin d’année dernière. Normalement, la victime doit au moins cliquer sur un lien pour activer le programme malveillant des cybercriminels, mais « zéro-clic » signifie que l’utilisateur n’a rien à faire pour que le dispositif soit compromis.

Dans le cas décrit par Project Zero, il suffit d’envoyer un message malveillant à la victime sur iMessage, une application activée par défaut sur la plupart des iPhones, et de remplacer les messages habituels. En d’autres termes, si le cybercriminel connaît le numéro de téléphone de la victime et lui envoie un message, il peut ensuite contrôler le dispositif à distance.

L’exploit est très compliqué. Dans iMessage, la victime reçoit un fichier avec une extension GIF, qui n’est pas vraiment un GIF mais un fichier PDF compressé grâce à un algorithme qui était assez célèbre au début des années 2000. Le téléphone de la victime essaie d’afficher un aperçu du document. Dans la plupart des cas, c’est le code d’Apple qui est utilisé mais, dans cette situation, un programme tiers effectue la compression. Celui-ci contient une vulnérabilité ; une erreur de dépassement du tampon pas vraiment remarquable. Pour faire simple, un système computationnel séparé et indépendant est construit autour de cette vulnérabilité mineure, qui exécute le code malveillant.

En d’autres termes, l’attaque exploite certaines failles non évidentes du système, qui paraissent insignifiantes si on les analyse séparément. Pourtant, si elles sont réunies dans une chaîne, l’iPhone peut être infecté en envoyant un seul message et sans que l’utilisateur n’ait à cliquer.

Honnêtement, ce n’est pas quelque chose qu’un débutant pourrait accidentellement mettre au point. Même une équipe qui crée régulièrement des programmes malveillants ne pourrait pas le faire. Les cybercriminels cherchent une monétisation beaucoup plus directe. Un exploit si sophistiqué requiert des milliers d’heures de travail et des millions de dollars.

Rappelons une des principales fonctionnalités du Lockdown Mode : presque toutes les pièces jointes sont bloquées. Cette décision a été prise précisément pour qu’il soit beaucoup plus difficile d’effectuer une attaque zéro-clic, même si le bug est bien présent dans le code iOS.

Les autres caractéristiques du Lockdown Mode ont été créées pour fermer d’autres « points d’entrée » souvent utilisés pour les attaques ciblées : le navigateur Web, les connexions par câble à un ordinateur et les appels FaceTime entrants. Pour ces vecteurs d’attaque, il existe déjà des exploits, même s’ils ne sont pas nécessairement dans les produits Apple.

Quelles sont les probabilités pour qu’une attaque si élaborée soit utilisée contre vous si vous n’intéressez pas les services de renseignement ? Aucune, sauf si on vous attaque par erreur. Ainsi, pour un utilisateur quelconque, le Lockdown Mode n’a pas vraiment de sens. Il est inutile de rendre votre smartphone ou votre ordinateur portable moins utilisable si c’est pour réduire légèrement le risque d’être victime d’une attaque.

Il n’y a pas que le verrouillage

D’autre part, pour les utilisateurs qui pourraient être victimes de Pegasus ou d’un autre logiciel espion similaire, le nouveau Lockdown Mode d’Apple est sans aucun doute une avancée positive, mais pas un remède miracle.

En plus du Lockdown Mode, ou du moins jusqu’à ce qu’il sorte, nos experts vous recommandent de prendre d’autres mesures. N’oubliez pas que vous êtes dans une situation où une personne très puissante et très déterminée cherche à obtenir vos données. Voici quelques conseils :

  • Redémarrez votre smartphone tous les jours. Créer un exploit pour iPhone est difficile, mais faire en sorte qu’il résiste au redémarrage l’est encore plus. Vous renforcez votre protection si vous éteignez régulièrement votre téléphone.
  • Désactivez iMessage. Apple ne va pas vous le recommander, mais vous pouvez le faire. Pourquoi réduire le risque d’être victime d’une attaque sur iMessage quand vous pouvez complètement supprimer cette menace ?
  • Ne cliquez pas sur les liens. Dans ce cas, l’expéditeur importe peu. Si vous devez impérativement ouvrir un lien, utilisez un autre ordinateur et de préférence le navigateur Tor, puisqu’il cache vos données.
  • Si possible, utilisez un VPN pour masquer votre trafic. Là encore, cet outil rend plus difficile la localisation et la collecte des données de votre dispositif pour une future attaque.

Pour plus de conseils, nous vous invitons à lire l’article de Costin Raiu « Pegasus, Chrysaor et autres malwares mobiles d’APT : comment vous protéger ».

Conseils