En août, des pirates ont exploité des failles dans macOS et iOS pour installer des logiciels malveillants. Leur objectif : collecter les données des utilisateurs se connectant aux médias ou aux sites prodémocratie hongkongais.

Comme l'a prouvé l'affaire Pegasus, les iPhone et les Mac ne sont pas immunisés contre les attaques et comportent des failles qui permettent d'accéder à leurs données à distance. Aujourd'hui, c'est encore une fois une histoire d'espionnage d'État qui vient d'être révélée par le groupe d'analyse des menaces de GoogleGoogle (TAG). Depuis au moins la fin du mois d'août, des pirates ont justement exploité des vulnérabilités zero-day, autrement dit des brèches inconnues jusqu'à présent, sur des appareils Apple qui se sont connectés à des sites prodémocratie et des médias basés à Hong Kong. Compromis, ces sites permettaient d'installer une porteporte dérobée (backdoor) sur les iPhone et les Mac.

Contrairement à d'autres affaires d'espionnage, l'attaque n'était pas ciblée. Les pirates ont atteint sans discernement toutes les personnes qui se sont connectées à ces sites. Ce type de campagne porte le nom d'attaque par « point d'eau ». Il s'agit de piéger le ou les sites Web d'un secteur particulier présentant un point d'intérêt pour de nombreuses personnes. Celles qui vont se connecter au site vont infecter leur appareil. 

L’État chinois à la manœuvre ?

Une fois installé, le malwaremalware permettait d'exfiltrer des données, de réaliser des captures d'écrancaptures d'écran et d'enregistrer les saisies au clavierclavier et même de lancer des enregistrements audio. D'après le rapport de TAG, la vulnérabilité la plus importante concernait le navigateur Safari. Pour macOS, c'est la bibliothèque Webkit du navigateur qui présentait une brèche, mais les pirates ont aussi utilisé un bugbug situé dans le noyau.

Pour ce qui est de l'attribution, étant donné la complexité de l'attaque et l'universunivers visé, les auteurs sont certainement soutenus par l'État chinois. Même si les preuves manquent encore pour l'affirmer, le mode opératoire est identique à bon nombre d'attaques du même type et notamment celles qui avaient visé la minorité Ouïghour. De son côté, Apple a corrigé ces vulnérabilités tout au long de l'année. Encore faut-il que les utilisateurs appliquent les mises à jour.