Un hackathon chinois aurait révélé une violation d’iOS, l’exploitant pour espionner les Ouïghours
Français
Quand Apple a annoncé dans un 2019 article de blog qu’elle avait corrigé une faille de sécurité dans son système d’exploitation iOS, la société a cherché à rassurer ses clients. L’attaque qui avait exploité la vulnérabilité, a déclaré Apple, était «étroitement concentrée» sur les sites Web présentant du contenu lié à la communauté ouïghoure.
Il a depuis émergé que la vulnérabilité en question a été découverte lors de la principale compétition de piratage en Chine, la Tianfu Cup, où un hacker professionnel a remporté un prix pour son travail de découverte. Le protocole normal serait d’informer Apple de la vulnérabilité. Mais il est allégué qu’au lieu de cela, la brèche a été gardée secrète, le gouvernement chinois l’acquérant pour espionner la minorité musulmane du pays.
Les concours de piratage sont un moyen établi pour les entreprises technologiques comme Apple de localiser et de remédier aux faiblesses de la cybersécurité de leurs logiciels. Mais avec hacks soutenus par l’État à la hausse, la suggestion selon laquelle la Tianfu Cup nourrirait Pékin de nouvelles façons d’effectuer la surveillance est préoccupante – d’autant plus que les concurrents chinois ont dominé les compétitions internationales de piratage pendant des années.
Compétitions de piratage
Lorsqu’un logiciel est piraté, c’est souvent parce que des attaquants ont découvert et exploité une vulnérabilité de cybersécurité dont l’éditeur de logiciel ignorait l’existence. Trouver ces vulnérabilités avant qu’elles ne soient repérées par cybercriminels ou hackers soutenus par l’État peut faire économiser aux fournisseurs de technologie une énorme quantité d’argent, de temps et de lutte contre les incendies de relations publiques.
C’est pourquoi il existe des compétitions de piratage. Les entreprises technologiques fournissent le prix en argent et les chercheurs en cybersécurité – ou les pirates professionnels – rivalisent pour le gagner en découvrant les faiblesses de sécurité cachées dans les logiciels les plus utilisés au monde. Les goûts de Zoom et Microsoft Teams étaient piraté avec succès lors de l’événement Pwn2Own d’avril, par exemple, qui est considéré comme la principale compétition de piratage informatique en Amérique du Nord.
Jusqu’en 2017, les hackers chinois sont repartis avec un forte proportion de prix offert à Pwn2Own. Mais après un milliardaire chinois argumenté que les hackers chinois devraient «rester en Chine» en raison de la valeur stratégique de leur travail, a répondu Pékin en interdire les citoyens chinois de participer à des compétitions de piratage à l’étranger. La Coupe Tianfu de Chine a été mise en place peu de temps après, en 2018.
Au cours de sa première année, un hacker participant à la Tianfu Cup a produit un hack primé qu’il a appelé “le chaos». Le piratage pourrait être utilisé pour accéder à distance même aux derniers iPhones – le type de violation qui pourrait facilement être utilisé à des fins de surveillance. Google et Pomme tous deux ont repéré le piratage «dans la nature» deux mois plus tard, après avoir été utilisé de manière ciblée contre les utilisateurs d’iPhone ouïghours.
Bien qu’Apple ait atténué le piratage en deux mois, cette affaire montre que les compétitions nationales de piratage exclusives sont dangereuses – en particulier lorsqu’elles ont lieu dans des pays qui exiger des citoyens qu’ils coopèrent avec les demandes du gouvernement.
Les compétitions de piratage sont conçues pour exposer les vulnérabilités «zero-day» – des faiblesses de sécurité que les éditeurs de logiciels n’ont pas localisées ou prévues. Les hackers primés sont censés partager les techniques qu’ils ont utilisées afin que les vendeurs puissent trouver des moyens de les réparer. Mais garder les exploits zero-day privés ou les transmettre aux institutions gouvernementales augmente considérablement les chances qu’ils soient utilisés dans des attaques zero-day soutenues par l’État.
Attaques zero-day
Nous avons déjà vu des exemples de telles attaques. Début 2021, quatre vulnérabilités zero-day du serveur Microsoft Exchange ont été utilisées pour lancer des attaques généralisées contre des dizaines de milliers d’organisations. L’attaque a été lié à Hanium, un groupe de piratage informatique soutenu par le gouvernement chinois.
Un an plus tôt, le piratage de SolarWinds compromettait la sécurité de plusieurs agences fédérales américaines, y compris Département Trésorerie et Commerce et le Département de l’énergie, qui est en charge du stock nucléaire du pays. Le piratage a été lié à APT29, aussi connu sous le nom “Ours douillet», Qui est le bras de piratage du service de renseignement étranger de la Russie, le SVR. Le même groupe aurait été impliqué dans la tentative de piratage des organisations détenant des informations sur les vaccins COVID-19 en juillet 2020.
En Russie et en Chine au moins, les preuves suggèrent que les gangs de cybercriminels travaillent en étroite collaboration, et parfois de manière interchangeable, avec des groupes de piratage financés par l’État. Avec l’avènement de la Coupe Tianfu, la Chine semble avoir accès à un nouveau vivier de talents de pirates informatiques experts, motivés par les prix de la compétition pour produire des hacks potentiellement nuisibles que Pékin pourrait être disposé à utiliser à la fois dans son pays et à l’étranger.
Cet article de Chaminda Hewage, Lecteur en sécurité des données, Université métropolitaine de Cardiff et Elochukwu Ukwandu, Maître de conférences en sécurité informatique, Département d’informatique, Université métropolitaine de Cardiff est republié à partir de La conversation sous une licence Creative Commons. Lis le article original.
(No Ratings Yet)
Loading...
