Apple conteste l’exactitude du rapport de cette semaine selon lequel les attaquants ont exploité un bogue iOS non corrigé qui leur permettait de prendre le contrôle total des iPhones.

La société de sécurité basée à San Francisco, ZecOps, a déclaré mercredi que les attaquants avaient utilisé l’exploit du jour zéro contre au moins six cibles sur une période d’au moins deux ans. Dans le rapport maintenant contesté, ZecOps avait déclaré que la faille critique se trouvait dans l’application Mail et pouvait être déclenchée par l’envoi d’e-mails spécialement manipulés qui ne nécessitaient aucune interaction de la part des utilisateurs.

Apple a refusé de commenter le rapport à l’époque. Tard jeudi soir, cependant, Apple a repoussé les conclusions de ZecOps selon lesquelles (a) le bogue constituait une menace pour les utilisateurs d’iPhone et d’iPad et (b) il y avait eu un exploit actif. Dans un communiqué, les responsables ont écrit:

Apple prend au sérieux tous les rapports de menaces à la sécurité. Nous avons étudié en profondeur le rapport du chercheur et, sur la base des informations fournies, nous avons conclu que ces problèmes ne posaient pas de risque immédiat pour nos utilisateurs. Le chercheur a identifié trois problèmes dans Mail, mais à eux seuls, ils sont insuffisants pour contourner les protections de sécurité de l’iPhone et de l’iPad, et nous n’avons trouvé aucune preuve qu’ils ont été utilisés contre des clients. Ces problèmes potentiels seront bientôt traités dans une mise à jour logicielle. Nous apprécions notre collaboration avec les chercheurs en sécurité pour aider à assurer la sécurité de nos utilisateurs et nous remercions le chercheur pour son aide.

Un bon nombre de chercheurs indépendants ont également remis en question la conclusion de ZecOps. De manière générale, les critiques ont déclaré que les preuves sur lesquelles ZecOps fondait ses conclusions n’étaient pas convaincantes. Les conclusions contestées étaient fondées sur des preuves que les e-mails malveillants avaient été supprimés, probablement pour cacher des attaques, mais que les données restées dans les journaux indiquaient que les suppressions et les plantages étaient le résultat d’un exploit.

Les critiques ont déclaré que si l’exploit avait pu supprimer les e-mails, il aurait également pu supprimer les données du journal des plantages. Les critiques ont déclaré que l’échec et certains détails techniques contenus dans le rapport ZecOps suggéraient fortement que la faille était un bug plus bénin qui était déclenché par certains types d’e-mails. Les critiques ont également déclaré sceptiques qu’un exploit avancé provoquerait un crash. Depuis, ces doutes persistent.

HD Moore, vice-président de la recherche et du développement chez Atredis Partners et expert en exploitation de logiciels, m’a dit vendredi:

Il semble que ZecOps ait identifié un rapport d’incident, trouvé un moyen de reproduire les accidents et, sur la base de preuves circonstancielles, a supposé que celui-ci était utilisé à des fins malveillantes. On dirait qu’après l’avoir signalé à Apple, Apple a enquêté, découvert qu’il ne s’agissait que de bugs de plantage, ce qui ferme la porte à l’exploitation en cours d’un nouveau jour zéro iOS.

Il se pourrait qu’Apple se trompe, mais étant donné leur sensibilité à ce genre de choses, ils ont probablement fait un travail décent pour enquêter sur cela. À travers la vigne, j’ai entendu que l’équipe de sécurité interne qui a mené cette enquête chez Apple était énervée à ce sujet, car ZecOps est allé directement sous presse avant d’avoir eu la possibilité de passer en revue.

D’autres critiques ont livré leurs critiques sur Twitter.

« On dirait que vous avez un vrai vuln mais les preuves d’exploitation semblent faibles … et aucune information dans votre article sur le chaînage post-exploitation pour conduire à la divulgation d’informations ou à l’exécution de code », a expliqué le chercheur Rich Mogul. a écrit. « Toute mise à jour que vous pouvez partager? Assez grande prétention d’un mail sans clic 0 jour utilisé. « 

On dirait que vous avez un vrai vuln mais les preuves d’exploitation semblent faibles… et aucune information dans votre article sur le chaînage post-exploitation pour conduire à la divulgation d’informations ou à l’exécution de code. Une mise à jour que vous pouvez partager? Assez grande prétention d’un mail sans clic 0 jour utilisé. https://t.co/xrWbXTPndQ

– Rich Mogull (@rmogull) 22 avril 2020

Bien que Mogul ait laissé ouverte la possibilité d’une exploitation réelle d’une vulnérabilité, il a déclaré que ZecOps n’avait pas fourni de preuve suffisante pour exclure un crash intentionnel de bogue. Une autre critique est ici.

ZecOps, quant à lui, a semblé s’en tenir à son rapport, déclarant sur Twitter:

Selon les données de ZecOps, il y avait des déclencheurs dans la nature pour cette vulnérabilité sur quelques organisations. Nous tenons à remercier Apple d’avoir travaillé sur un correctif, et nous sommes impatients de mettre à jour nos appareils une fois qu’il sera disponible. ZecOps publiera plus d’informations et de POC dès qu’un patch sera disponible.

ZecOps a déclaré que sur la base des données collectées sur les iPhones qui, selon lui, étaient exploitées, les chercheurs de l’entreprise ont pu écrire un exploit de preuve de concept qui a pris le contrôle total des appareils entièrement mis à jour. ZecOps a refusé de publier l’exploit ou d’autres données jusqu’à ce qu’Apple publie un correctif pour le bogue. Apple a déjà publié le correctif pour une version bêta de la prochaine version 13.4.5, et comme l’a indiqué la déclaration de jeudi soir, la société prévoit de le rendre généralement disponible bientôt.

La controverse, le déni d’Apple et la rareté des vulnérabilités zéro-clic dans iOS sont certainement des raisons de scepticisme. Il vaudra la peine d’examiner les informations supplémentaires que ZecOps s’est engagé à publier une fois qu’Apple aura publié un correctif.

Mise à jour 25/04/2020, 17h45 heure de Californie: Le fondateur et PDG de ZecOps, Zuk Avraham, m’a dit samedi qu’il restait fidèle à ses conclusions et aimerait qu’Apple fournisse plus de détails. Les questions spécifiques qu’il a sont (1) combien de déclencheurs y avait-il pour cette vulnérabilité (malveillante et non malveillante) depuis iOS 6 et (2) comment Apple a-t-il confirmé que tous ces déclencheurs ne sont pas malveillants? J’ai envoyé ces questions à Apple et je mettrai à jour si Apple fournit des réponses.