{"id":20644,"date":"2023-06-01T16:48:53","date_gmt":"2023-06-01T14:48:53","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20644"},"modified":"2023-06-02T09:00:50","modified_gmt":"2023-06-02T07:00:50","slug":"triangulation-attack-on-ios","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/triangulation-attack-on-ios\/20644\/","title":{"rendered":"Une histoire de triangle"},"content":{"rendered":"

Bonjour \u00e0 tous, aujourd\u2019hui nous avons une nouvelle tr\u00e8s importante.<\/span><\/p>\n

Les experts de Kaspersky ont d\u00e9couvert une cyberattaque extr\u00eamement complexe et centr\u00e9e sur les professionnels, qui utilise les appareils mobiles d\u2019Apple. L\u2019objectif de cette attaque est d\u2019introduire discr\u00e8tement un logiciel espion dans les iPhones des employ\u00e9s de l\u2019entreprise, qu\u2019ils soient cadres sup\u00e9rieurs ou interm\u00e9diaires.<\/span>
\n<\/span>
\n<\/span>L\u2019attaque est r\u00e9alis\u00e9e \u00e0 l\u2019aide d\u2019un iMessage invisible contenant une pi\u00e8ce jointe malveillante qui, en utilisant un certain nombre de vuln\u00e9rabilit\u00e9s dans le syst\u00e8me d\u2019exploitation iOS, est ex\u00e9cut\u00e9e sur l\u2019appareil et installe un logiciel espion. Le d\u00e9ploiement du logiciel espion est totalement cach\u00e9 et ne n\u00e9cessite aucune action de la part de l\u2019utilisateur. En outre, le logiciel espion transmet discr\u00e8tement des informations priv\u00e9es \u00e0 des serveurs distants : enregistrements du microphone, photos des messageries instantan\u00e9es, g\u00e9o-localisation et donn\u00e9es relatives \u00e0 un certain nombre d\u2019autres activit\u00e9s du propri\u00e9taire de l\u2019appareil infect\u00e9.\u00a0<\/span><\/p>\n

L\u2019attaque est men\u00e9e aussi discr\u00e8tement que possible, mais l\u2019infection a \u00e9t\u00e9 d\u00e9tect\u00e9e par Kaspersky Unified Monitoring and Analysis Platform (KUMA), une solution <\/span>SIEM<\/span><\/a> native pour la gestion des informations et des \u00e9v\u00e9nements ; le syst\u00e8me a d\u00e9tect\u00e9 une anomalie dans notre r\u00e9seau provenant d\u2019appareils Apple. Une enqu\u00eate plus approfondie de notre \u00e9quipe a montr\u00e9 que plusieurs dizaines d\u2019iPhones de nos employ\u00e9s \u00e9taient infect\u00e9s par un nouveau logiciel espion extr\u00eamement sophistiqu\u00e9 sur le plan technologique, que nous avons baptis\u00e9 \u00ab\u00a0Triangulation\u00a0\u00bb.<\/span><\/p>\n

En raison de la nature ferm\u00e9e d\u2019iOS, il n\u2019y a pas (et il ne peut pas y avoir) d\u2019outils de syst\u00e8me d\u2019exploitation standard pour d\u00e9tecter et supprimer ce logiciel espion sur les smartphones infect\u00e9s. Pour ce faire, vous devez recourir \u00e0 des outils externes.<\/span><\/p>\n

Une indication indirecte de la pr\u00e9sence de Triangulation sur l\u2019appareil est la d\u00e9sactivation de la capacit\u00e9 \u00e0 mettre \u00e0 jour iOS. Pour une reconnaissance plus pr\u00e9cise de l\u2019infection, vous devrez prendre une copie de sauvegarde de l\u2019appareil et la v\u00e9rifier \u00e0 l\u2019aide d\u2019un utilitaire sp\u00e9cial. Des recommandations plus d\u00e9taill\u00e9es sont pr\u00e9sent\u00e9es dans cet <\/span>article technique sur Securelist<\/span><\/a>. Nous d\u00e9veloppons \u00e9galement un utilitaire de d\u00e9tection gratuit que nous mettrons \u00e0 disposition apr\u00e8s l\u2019avoir test\u00e9.<\/span><\/p>\n

En raison des particularit\u00e9s du blocage des mises \u00e0 jour d\u2019iOS sur les appareils infect\u00e9s, nous n\u2019avons pas encore trouv\u00e9 de moyen efficace de supprimer le logiciel espion sans perdre les donn\u00e9es de l\u2019utilisateur. Pour ce faire, il faut r\u00e9initialiser les iPhones infect\u00e9s aux param\u00e8tres d\u2019usine, installer la derni\u00e8re version du syst\u00e8me d\u2019exploitation et l\u2019ensemble de l\u2019environnement utilisateur en repartant de z\u00e9ro. Sinon, m\u00eame si le logiciel espion est supprim\u00e9 de la m\u00e9moire de l\u2019appareil apr\u00e8s un red\u00e9marrage, Triangulation est toujours en mesure de r\u00e9infecter par le biais des vuln\u00e9rabilit\u00e9s d\u2019une version d\u00e9pass\u00e9e d\u2019iOS.<\/span><\/p>\n

Ce rapport sur l\u2019op\u00e9ration Triangulation n\u2019est que le d\u00e9but de l\u2019enqu\u00eate sur cette attaque sophistiqu\u00e9e. Nous publions aujourd\u2019hui les premiers r\u00e9sultats de l\u2019analyse, mais il reste encore beaucoup de travail \u00e0 accomplir. Au fur et \u00e0 mesure de l\u2019enqu\u00eate, nous publierons de nouvelles donn\u00e9es dans un <\/span>article d\u00e9di\u00e9 sur Securelist<\/span><\/a> et nous ferons le point sur le travail accompli lors du Security Analyst Summit international qui se tiendra en octobre (<\/span>suivez l\u2019actualit\u00e9 sur le site<\/span><\/a>).<\/span><\/p>\n

Nous sommes convaincus que Kaspersky n\u2019\u00e9tait pas la cible principale de cette cyberattaque. Les jours \u00e0 venir apporteront plus de clart\u00e9 et de d\u00e9tails sur la prolif\u00e9ration mondiale du logiciel espion.<\/span><\/p>\n

Nous pensons que la raison principale de cet incident est la nature ferm\u00e9e d\u2019iOS. Ce syst\u00e8me d\u2019exploitation est une \u00ab\u00a0bo\u00eete noire\u00a0\u00bb dans laquelle des logiciels espions comme Triangulation peuvent se cacher pendant des ann\u00e9es. La d\u00e9tection et l\u2019analyse de telles menaces sont rendues plus difficiles par le monopole d\u2019Apple sur les outils de recherche, ce qui en fait le refuge id\u00e9al pour les logiciels espions. En d\u2019autres termes, <\/span>comme je l\u2019ai dit plus d\u2019une fois<\/span><\/a>, les utilisateurs ont l\u2019illusion d\u2019une s\u00e9curit\u00e9 associ\u00e9e \u00e0 l\u2019opacit\u00e9 totale du syst\u00e8me. Les experts en cybers\u00e9curit\u00e9 ne savent pas ce qui se passe r\u00e9ellement dans iOS. L\u2019absence de nouvelles sur les attaques n\u2019indique pas du tout l\u2019impossibilit\u00e9 des attaques elles-m\u00eames \u2013 comme nous venons de le voir.<\/span><\/p>\n

Je voudrais vous rappeler que ce n\u2019est pas<\/span> le premier cas<\/span><\/a> d\u2019attaque cibl\u00e9e contre notre entreprise. Nous sommes conscients que nous travaillons dans un environnement tr\u00e8s agressif et nous avons d\u00e9velopp\u00e9 des proc\u00e9dures appropri\u00e9es de r\u00e9ponse aux incidents. Gr\u00e2ce aux mesures prises, l\u2019entreprise fonctionne normalement, les processus commerciaux et les donn\u00e9es des utilisateurs ne sont pas affect\u00e9s et la menace a \u00e9t\u00e9 neutralis\u00e9e. Nous continuons \u00e0 vous prot\u00e9ger, comme toujours.<\/span><\/p>\n

P.S. Pourquoi \u00ab\u00a0Triangulation\u00a0\u00bb ?<\/span><\/p>\n

Pour reconna\u00eetre les sp\u00e9cifications logicielles et mat\u00e9rielles du syst\u00e8me attaqu\u00e9, Triangulation utilise la technologie <\/span>Canvas Fingerprinting<\/span><\/a> et dessine un triangle jaune dans la m\u00e9moire de l\u2019appareil.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Nos experts ont r\u00e9cemment d\u00e9couvert une attaque cibl\u00e9e perp\u00e9tr\u00e9e par le cheval de Troie nomm\u00e9 Triangulation contre nos employ\u00e9s.<\/p>\n","protected":false},"author":13,"featured_media":20645,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[29,161,165,17],"class_list":{"0":"post-20644","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apple","10":"tag-cheval-de-troie","11":"tag-ios","12":"tag-iphone"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/triangulation-attack-on-ios\/20644\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/triangulation-attack-on-ios\/25750\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/triangulation-attack-on-ios\/21185\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/triangulation-attack-on-ios\/10677\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/triangulation-attack-on-ios\/28444\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/triangulation-attack-on-ios\/26053\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/triangulation-attack-on-ios\/26373\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/triangulation-attack-on-ios\/28855\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/triangulation-attack-on-ios\/27787\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/triangulation-attack-on-ios\/35467\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/triangulation-attack-on-ios\/11476\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/triangulation-attack-on-ios\/48353\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/triangulation-attack-on-ios\/21332\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/triangulation-attack-on-ios\/30186\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/triangulation-attack-on-ios\/33936\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/triangulation-attack-on-ios\/28861\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/triangulation-attack-on-ios\/26351\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/triangulation-attack-on-ios\/32064\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/triangulation-attack-on-ios\/31748\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20644","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20644"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20644\/revisions"}],"predecessor-version":[{"id":20648,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20644\/revisions\/20648"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20645"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20644"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20644"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20644"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}