« `html

Kaspersky et la chasse aux vulnérabilités iOS

Kaspersky, une firme reconnue mondialement pour ses solutions de cybersécurité, a une nouvelle fois fait parler d’elle.

L’année dernière, elle avait découvert une chaîne d’attaques sophistiquée utilisant quatre vulnérabilités zero-day sur iOS, permettant ainsi d’exploiter les appareils sans aucune interaction de l’utilisateur.

Malgré l’importance de cette découverte et la contribution précieuse de Kaspersky, Apple semble avoir refusé de leur accorder la récompense prévue par leur programme de bug bounty.

Les programmes de bug bounty sont couramment utilisés par les grandes entreprises technologiques, y compris Apple, pour encourager les chercheurs et les hackers éthiques à signaler les failles de sécurité au lieu de les vendre à des acteurs malveillants.

Le but est de renforcer la sécurité proactive des systèmes en exploitation.

Dmitry Galov, responsable du centre de recherche russe chez Kaspersky, a exprimé sa frustration dans une interview avec RTVI, soulignant l’effort considérable fourni pour identifier et signaler la faille à Apple.

Galov a même proposé que Kaspersky donne la récompense à une organisation caritative, une pratique assez courante parmi les firmes de recherche.

Cependant, Apple a rejeté cette idée en invoquant des politiques internes sans fournir plus d’explications.

Les chercheurs en sécurité considèrent souvent les dons de bug bounty comme une extension de leur engagement éthique et un moyen de renforcer leur image positive au sein de la communauté.

Les détails techniques de l’attaque

En 2023, Kaspersky a détecté des comportements anormaux sur des dizaines d’iPhones connectés à son réseau.

Cette investigation a mené à la révélation d’une campagne d’espionnage baptisée « Operation Triangulation ».

Cette opération a utilisé une série de quatre vulnérabilités zero-day pour créer un exploit zero-click, ce qui signifie que l’attaque pouvait être exécutée sans que l’utilisateur n’ait à interagir avec son appareil.

Ces vulnérabilités permettaient aux attaquants d’élever leurs privilèges et d’exécuter du code à distance sur les iPhones compromis.

En d’autres termes, les utilisateurs n’avaient aucune idée que leurs appareils étaient infectés.

Une fois compromis, l’appareil redirigeait des données sensibles comme les enregistrements de microphone, les photos et la géolocalisation vers des serveurs contrôlés par les attaquants.

Kaspersky a non seulement découvert cette campagne, mais aussi procédé à l’ingénierie inverse de l’une des vulnérabilités, identifiée sous le nom CVE-2023-38606, et a informé Apple.

Ce dernier a rapidement publié des correctifs de sécurité en réponse à cette découverte, reconnaissant au passage le rôle crucial joué par l’équipe de Kaspersky.

Cependant, bien que le programme de récompenses de sécurité d’Apple puisse théoriquement offrir jusqu’à un million de dollars pour la découverte de telles failles, la compagnie n’a pas versé de prime à Kaspersky.

Une situation complexe

La raison probable de ce refus de paiement peut être liée à des sanctions économiques.

En effet, bien que Kaspersky soit une multinationale, elle est basée en Russie, un pays soumis à de strictes sanctions économiques par les États-Unis en raison du conflit en Ukraine.

Ces sanctions peuvent compliquer, voire empêcher, les transactions financières entre des entreprises américaines et celles situées en Russie.

De plus, les conditions générales du programme de bounty d’Apple stipulent spécifiquement que les récompenses ne peuvent pas être payées à des entités situées dans des pays sous embargo américain ou inscrites sur des listes de parties interdites.

Il est donc plausible qu’Apple soit contraint par la réglementation internationale dans cette situation.

En conclusion, bien que la découverte de Kaspersky ait indéniablement renforcé la sécurité des utilisateurs d’iOS, les complications géopolitiques semblent avoir empêché toute récompense financière de la part d’Apple.

Cette situation soulève des questions importantes sur la manière dont les programmes de bug bounty peuvent et doivent fonctionner dans un contexte de sanctions internationales.

Les risques cachés derrière les failles zero-day

La découverte par Kaspersky de vulnérabilités zero-day sur iOS met en lumière des risques significatifs pour les utilisateurs et les entreprises.

Les attaques zero-click, comme celles de l’Operation Triangulation, permettent à des acteurs malveillants d’accéder à des informations sensibles sans interaction de la part de l’utilisateur.

Les entreprises, en particulier celles gérant des données sensibles ou confidentielles, pourraient voir leurs informations critiques compromises, ce qui pourrait entraîner des pertes financières et de réputation considérables.

Les individus sont également à risque, car leurs données personnelles, y compris les photos, messages, et informations de localisation, pourraient être exploitées à des fins malveillantes.

Comment se protéger contre ces menaces invisibles

Pour se prémunir contre ce type de menaces, il est essentiel de maintenir à jour tous les dispositifs mobiles et les applications en installant les correctifs de sécurité dès leur publication.

La sensibilisation des utilisateurs aux risques de cybersécurité et aux comportements sûrs, tels que l’évitement de réseaux Wi-Fi non sécurisés, peut aussi réduire l’exposition aux attaques.

Les entreprises doivent investir dans des solutions de sécurité avancées et effectuer des audits de sécurité réguliers pour détecter et corriger les vulnérabilités potentielles.

Enfin, encourager la participation à des programmes de bug bounty crédibles peut aider à découvrir et à réparer les failles avant qu’elles ne soient exploitées par des cybercriminels.

« `