L’enquête du consortium créé par Forbidden Stories, avec 16 partenaires dont la cellule investigation de Radio France, a montré que les iPhones étaient vulnérables, en dépit des affirmations rassurantes d’Apple.

Un iPhone devant le siège du groupe NSO, à l'origine de Pegasus
Un iPhone devant le siège du groupe NSO, à l'origine de Pegasus © AFP / JACK GUEZ

Une enquête d'Elodie Guéguen, avec Craig Timberg et Reed Albergotti.

Le message reçu le 11 juin dernier sur le téléphone de Claude Mangin, l’épouse d’un activiste emprisonné au Maroc, n’a fait aucun bruit. Il ne s’est affiché nulle part. Rien ne lui a permis de comprendre qu’un iMessage malveillant lui était envoyé, dans un appareil dont Apple vante le très haut niveau de sécurité.

Une fois installé, le logiciel espion de la société israélienne NSO s’est activé. Et bien qu’il soit impossible de savoir précisément ce qui a été volé dans son téléphone, il pouvait accéder aux e-mails, aux messages enregistrés, aux posts sur les réseaux sociaux, aux contacts, aux photos, vidéos, aux enregistrements, consulter l’historique des consultations internet. Il pouvait aussi activer le micro, la caméra, et retracer l’itinéraire de son utilisatrice. Savoir si elle était statique ou en mouvement, dans quelle direction elle allait, à quelle vitesse...L’infection a été repérée grâce à une expertise réalisée par le Security Lab d’Amnesty International, dans le cadre de l’enquête initiée par Forbidden Stories avec ses 16 partenaires, dont la cellule investigation de Radio France.

Le piège du "iMessage"

Il apparait donc que l’iPhone, même ses dernières versions 11 et 12, et en dépit de son prix élevé, n’est pas inviolable. Les pirates exploitent les vulnérabilités d’applications comme iMessages, Apple Music, Apple Photo ou le navigateur Safari. Selon plusieurs experts en sécurité, iMessage pose problème particulier car il occupe de plus en plus d’espace, Apple lui ayant ajouté de nouvelles fonctionnalités, comme la lecture de vidéos, ou des jeux. Or chaque nouvelle ligne de code est une possibilité supplémentaire de bugs. Une porte d’entrée que NSO ou d’autres logiciels espions peuvent exploiter. "Google’s Project Zero", qui a pour but d’identifier les vulnérabilités des appareils connectés, avait déjà mis en garde l’an dernier sur la facilité avec laquelle on peut entrer dans "iMessage".

"Votre iPhone, comme de très nombreux appareils d’Apple neufs, utilise un code non sécurisé pour traiter des données qui vous sont envoyées par internet", explique l’expert en sécurité informatique Bill Maczak, du Citizen Lab de l’université de Toronto. "N’importe quel étudiant en sécurité pourrait voir que c’est un problème."  

Une course entre Apple et Pegasus

Apple s’était pourtant positionné comme une marque hyper protectrice de ses utilisateurs, notamment en 2016, en refusant de donner au FBI l’accès à un iPhone 5 qui avait été utilisé par l’un des tireurs du massacre de San Bernadino. La sécurité et la confiance de l’usager était sa priorité numéro un. Mais la marque à la pomme a essuyé un revers, car le FBI a réussi à débloquer le téléphone en faisant appel à une société de cyber sécurité australienne.

Lors de chaque nouvelle génération d’iPhone, Apple propose des mises à jour qui renforcent la sécurité de ses appareils. Elle a récemment introduit "BlastDoor", une fonctionnalité censée empêcher les iMessages d’introduire des logiciels espions. Elle a également créé Watchdog, qui surveille le fonctionnement de l'iPhone pour détecter toute activité suspecte. Malgré cela, certains experts considèrent que la marque ne protège pas suffisamment ses produits. Selon un rapport du Citizen Lab de Toronto, les mises à jour d’iOS 14 ont réussi à bloquer le logiciel de NSO pendant un temps, mais Pegasus a fini par contourner ces défenses.

Autre grief fait à Apple : s’être fermé aux collaborations extérieures qui pourraient l’aider à mieux protéger ses appareils. Officiellement, tout va bien, et selon d’anciens employés, parler de bugs en interne serait quasiment un tabou. "Sur ce sujet, on nous donne un tas de réponses toutes faites qu’on répète en boucle", nous a-t-on raconté. Certains détracteurs reprochent aussi à Apple de ne pas s’attaquer aux pirates les plus importants, qui disposent de gros moyens et ont recours à des technologies très sophistiquées, du type NSO. "Il y a des journalistes qui travaillent sur la corruption, et des candidats menacés par des gangs criminels. Si on ne leur fournit pas des outils sûrs pour faire un métier aussi dangereux, nos sociétés ne se porteront pas mieux", déplore Adrizan Shahbaz, qui dirige le département technologie et démocratie à la maison de la liberté de Washington. "Les attaques du type NSO coûtent des millions à mettre au point et ont souvent une durée de vie limitée, car on les identifie et on trouve des parades", nous a assuré Apple de son côté. "Nous avons considérablement renforcé la sécurité de notre système d’exploitation iOS15, et nous allons continuer de le faire."

Une prolifération de bugs

Le business modèle d’Apple repose sur la sortie régulière de nouveaux modèles d’iPhone, son produit phare qui génère 50% de ses revenus. Chaque nouvelle version est équipée d’un système d’exploitation amélioré d’une douzaine de nouvelles fonctionnalités. Mais selon certains employés, le calendrier de sortie de ces modèles se rétrécit. On dispose donc peu de temps pour vérifier les défauts des nouveaux appareils, d’où une prolifération de bugs que des pirates peuvent exploiter.

Contrairement  à d’autres concurrents, Apple a aussi tardé à faire à appel à des hackers éthiques rémunérés pour identifier des failles de sécurité. Le responsable de la sécurité d’Apple, Ivan Krstic, y a finalement eu recours en 2016, mais, selon certains chercheurs, ce programme a été interrompu car Apple rémunérait trop faiblement des personnes qui étaient censées travailler pendant des mois, voire des années. Depuis 2019, la situation aurait changé : "Nous versons les primes parmi les plus importantes de l’industrie", nous a assuré la marque, "on a multiplié notre budget par quatre depuis 2019, et nous avons déjà payé des millions de dollars cette année".

Code rouge

Lorsqu’un bug est repéré, on lui donne un nom de code, raconte encore d’anciens employés. "Rouge" signifie que la vulnérabilité est déjà exploitée par des hackers. Et "orange", qu’elle ne l’a pas encore été. Dans ce dernier cas, on doit parfois attendre des mois avant qu’une mise à jour ne soit proposée. Et pendant ce temps, des téléphones peuvent être attaqués. Selon un ex-employé, il est plus efficace de rendre public un bug, plutôt que d’en informer Apple. Certains regrettent aussi un manque de communication de la part de la marque sur ses bugs. Les équipes de sécurité d’Apple ne s’expriment pas lors des grands salons comme le Black Hat Event de Las Vegas qui a lieu chaque été, alors que d’autres sociétés concurrentes viennent y présenter l’état de leurs recherches. "Nous identifions et réparons la grande majorité des vulnérabilités potentielles avant même que nos produits soient en fonction", se défend Apple. "Aucune société ne fait mieux."

"Je pense qu’on ne voit que le sommet de l’iceberg", estime pour sa part Costin Rau, le directeur du centre global de recherche et d’analyse de la société de cyber sécurité Kaspersky Labs. "Si vous donnez aux gens les outils et la possibilité de regarder ce qui se passe dans les téléphones, alors préparez-vous à avoir des mauvaises surprises."