Qu'est-ce qu'un programme malveillant sans clic et comment fonctionnent les attaques sans clic ?

Ces dernières années, les attaques sans clic ont parfois fait parler d'elles. Comme leur nom l'indique, les attaques sans clic ne nécessitent aucune action de la part de la victime, ce qui signifie que même les utilisateurs les plus avancés peuvent être la proie de graves cyberpiratages et de logiciels espions.

Les attaques sans clic sont généralement très ciblées et utilisent des tactiques sophistiquées. Elles peuvent avoir des conséquences dévastatrices sans que la victime se rende compte que quelque chose ne tourne pas rond en arrière-plan. Les termes « attaques sans clic » et « exploits sans clic » sont souvent utilisés de manière interchangeable. Parfois, on parle également d'attaques sans interaction ou attaques entièrement à distance.

Qu'est-ce qu'un programme malveillant sans clic ?

Traditionnellement, les logiciels d'espionnage s'appuient sur la conviction de la personne ciblée de cliquer sur un lien ou un fichier compromis pour s'installer sur son téléphone, sa tablette ou son ordinateur. En revanche, avec une attaque sans clic, le logiciel peut être installé sur un appareil sans que la victime clique sur un lien. Par conséquent, les programmes malveillants sans clic sont beaucoup plus dangereux.

L'interaction réduite qu'impliquent les attaques sans clic permet de réduire les traces de toute activité malveillante. Ce fait, auquel s'ajoute le fait que les vulnérabilités que les cybercriminels peuvent exploiter pour mener des attaques sans clic sont assez rares, les rend particulièrement prisés par les attaquants.

Même les attaques de base sans clic laissent peu de traces, ce qui rend leur détection extrêmement difficile. En outre, les mêmes fonctionnalités qui rendent les logiciels plus sûrs peuvent souvent rendre les attaques sans clic plus difficiles à détecter.  Les piratages sans clic existent depuis des années, et le problème s'est généralisé avec l'utilisation croissante des smartphones qui stockent une multitude de données personnelles. Alors que les individus et les organisations sont de plus en plus dépendants des appareils mobiles, le besoin de rester informé à propos des vulnérabilités sans clic n'a jamais été aussi grand.

Comment fonctionne une attaque sans clic ?

En général, l'infection à distance de l'appareil mobile d'une cible nécessite une certaine forme d'ingénierie sociale. Par exemple, l'utilisateur doit cliquer sur un lien malveillant ou installer une application malveillante pour fournir à l'attaquant un point d'entrée. Ce n'est pas le cas des attaques sans clic, qui ne nécessitent pas d'ingénierie sociale.

Un piratage sans clic exploite les failles de votre appareil et utilise une faille dans la vérification des données pour s'introduire dans votre système. La plupart des logiciels utilisent des processus de vérification des données pour éviter les violations informatiques. Cependant, il existe des vulnérabilités persistantes de type zero-day qui ne sont pas encore corrigées et qui constituent des cibles potentiellement lucratives pour les cybercriminels. Des pirates informatiques avertis peuvent exploiter ces vulnérabilités de type zero-day pour exécuter des cyberattaques, qui peuvent être mises en œuvre sans aucune action de votre part.

Les attaques sans clic visent souvent les applications de messagerie ou d'appel vocal, car ces services sont conçus pour recevoir et interpréter des données provenant de sources non fiables. Les attaquants utilisent généralement des données spécialement formées, comme un message texte ou un fichier image caché, pour injecter du code qui compromet l'appareil.

Une hypothétique attaque sans clic pourrait fonctionner comme suit :

• Les cybercriminels détectent une vulnérabilité dans une application d'emails ou de messagerie.
• Ils exploitent la vulnérabilité en envoyant un message soigneusement conçu à la cible.
• La vulnérabilité permet aux acteurs malveillants d'infecter l'appareil à distance par des emails très volumineux.
• L'email, le message ou l'appel du pirate informatique ne restera pas nécessairement sur l'appareil.
• À la suite de cette attaque, les cybercriminels peuvent lire, modifier, divulguer ou supprimer des messages.

Le piratage peut être une série de paquets réseau, de demandes d'authentification, de messages texte, de MMS, de messages vocaux, de sessions de vidéoconférence, d'appels téléphoniques ou de messages envoyés sur Skype, Telegram, WhatsApp, etc. Tous ces éléments peuvent exploiter une vulnérabilité dans le code d'une application chargée de traiter les données.

Le fait que les applications de messagerie permettent d'identifier les personnes grâce à leur numéro de téléphone, qui est facilement localisable, signifie qu'elles peuvent être une cible évidente pour les entités politiques et les opérations de piratage commercial.

Les particularités de chaque attaque sans clic varient en fonction de la vulnérabilité exploitée. L'une des principales caractéristiques des piratages sans clic est leur capacité à ne laisser aucune trace, ce qui rend leur détection très difficile. Cela signifie qu'il n'est pas facile d'identifier qui les utilise et dans quel but. Toutefois, les services de renseignement du monde entier les utiliseraient pour intercepter les messages de criminels et de terroristes présumés et surveiller leurs déplacements.

Exemples de programmes malveillants sans clic

Une vulnérabilité sans clic peut avoir une incidence sur divers appareils, allant d'Apple à Android. Parmi les exemples les plus connus d'exploits sans clic, citons :

Apple sans clic, entrée forcée, 2021 :

En 2021, un militant des droits de l'homme bahreïni a vu son iPhone piraté par un logiciel espion puissant vendu aux États-nations. Le piratage, découvert par des chercheurs de Citizen Lab, avait déjoué les protections de sécurité mises en place par Apple pour résister aux compromissions secrètes.

Citizen Lab est un organisme de surveillance d'Internet basé à l'université de Toronto. Ses membres ont analysé l'iPhone 12 Pro de l'activiste et ont découvert qu'il avait été piraté par une attaque sans clic. L'attaque sans clic a profité d'une vulnérabilité de sécurité jusqu'alors inconnue dans iMessage d'Apple, qui a été exploitée pour envoyer le logiciel espion Pegasus, développé par la société israélienne NGO Group, sur le téléphone de l'activiste.

Le piratage a fait l'objet d'une importante couverture médiatique, principalement parce qu'il exploitait le dernier logiciel de l'iPhone à l'époque, à la fois iOS 14.4 et plus tard iOS 14.6, qu'Apple a publié en mai 2021. Le piratage a permis de contourner une fonctionnalité logicielle de sécurité intégrée à toutes les versions d'iOS 14, appelée BlastDoor, qui était destinée à empêcher ce type de piratage d'appareils en filtrant les données malveillantes envoyées par iMessage. En raison de sa capacité à surmonter BlastDoor, cet exploit a été baptisé ForcedEntry. En réponse, Apple a mis à niveau ses défenses de sécurité avec iOS 15.

Violation de WhatsApp, 2019 :

Cette violation tristement célèbre a été déclenchée par un appel manqué, qui a exploité une faille dans le cadre du code source de WhatsApp. Un exploit de type zero-day (c'est-à-dire une vulnérabilité cybernétique inconnue et non corrigée jusqu'alors) a permis à l'attaquant de charger un logiciel espion dans les données échangées entre deux appareils en raison de l'appel manqué. Une fois chargé, le logiciel espion s'est activé en tant que ressource d'arrière-plan, au plus profond de la structure logicielle de l'appareil.

Jeff Bezos, 2018 :

En 2018, le prince héritier Mohammed bin Salman d'Arabie saoudite aurait envoyé au PDG d'Amazon, Jeff Bezos, un message WhatsApp contenant une vidéo faisant la promotion du marché saoudien des télécommunications. Il a été rapporté que le fichier vidéo contenait un code permettant à l'expéditeur d'extraire des informations de l'iPhone de M. Bezos pendant plusieurs mois. Cela a permis de capturer des messages texte, des messages instantanés et des emails, et peut-être même d'écouter des enregistrements effectués à l'aide des microphones du téléphone.

Project Raven, 2016 :

Projet Raven fait référence à l'unité de cyberopérations offensives des Émirats arabes unis, qui comprend des responsables de la sécurité émiratis et d'anciens opérateurs des services de renseignement américains travaillant en tant que contractants. Selon les rapports, un outil connu sous le nom de Karma a été utilisé pour profiter d'une faille dans iMessage. Karma a utilisé des messages texte spécialement conçus pour pirater les iPhone de militants, de diplomates et de dirigeants étrangers rivaux afin d'obtenir des photos, des emails, des messages texte ainsi que des informations de localisation.

Comment se protéger des exploits sans clic ?

Les attaques sans clic ne reposant sur aucune interaction de la part de la victime, il n'y a pas grand-chose à faire pour se protéger. Bien que cette idée soit décourageante, il est important de se rappeler qu'en général, ces attaques visent des victimes particulières à des fins d'espionnage ou de gain financier.

Cela dit, des mesures de base en matière de cyberhygiène vous permettront de maximiser votre sécurité en ligne. Voici quelques précautions raisonnables à adopter :

• Maintenez à jour le système d'exploitation, le micrologiciel et les applications de tous vos appareils lorsque vous y êtes invité.
• Téléchargez uniquement des applications à partir de magasins officiels.
• Supprimez toutes les applications que vous n'utilisez plus.
• Évitez de « jailbreaker » ou de « rooter » votre téléphone, car cette opération supprimera la protection fournie par Apple et Google.
• Utilisez un mot de passe pour protéger votre appareil.
• Utilisez une authentification forte pour accéder aux comptes, notamment aux réseaux critiques.
• Utilisez des mots de passe forts, c'est-à-dire des mots de passe longs et uniques.
• Effectuez des sauvegardes régulières des systèmes. Les systèmes peuvent être restaurés en cas de présence de ransomwares, et le fait de disposer d'une sauvegarde à jour de toutes les données accélère le processus de récupération.
• Activez les bloqueurs de fenêtres contextuelles ou empêchez leur apparition en modifiant les paramètres de votre navigateur. Les escrocs utilisent régulièrement des fenêtres contextuelles pour diffuser des programmes malveillants.

L'utilisation d'un antivirus complet vous aidera également à assurer votre sécurité en ligne. Kaspersky Total Security offre une protection 24 heures sur 24 et 7 jours sur 7 contre les pirates informatiques, les virus et les programmes malveillants, ainsi qu'une protection des paiements et des outils de confidentialité qui vous protègent sous tous les angles. Kaspersky Internet Security for Android protégera également votre appareil Android.

Articles connexes :

• Qu’est-ce qu’une attaque zero-day ? Définition et explication
• Les différents types de menaces de programmes malveillants
• Types et attaques de ransomwares
• Comment supprimer un virus d'un iPhone ?