Blog

Attaques sans clic et ce que vous pouvez faire pour y remédier

Attaques sans clic



Il y a de fortes chances que vous ayez déjà entendu parler d’attaques zero-day. Et ces attaques sont déjà assez graves. Mais il y a encore pire : les attaques sans clic.

Les attaques sans clic sont des cyberattaques qui ne nécessitent pas l’intervention de l’utilisateur comme déclencheur. L'attaque est exécutée automatiquement et généralement de manière invisible dès que le code atteint votre appareil. Les zéro-clics sont des attaques malveillantes dont nous devrions tous être conscients, afin que nous puissions au moins essayer de les éviter.



Cet article examine ce que sont les attaques zéro clic, comment elles fonctionnent et ce que vous pouvez faire pour les atténuer.

Qu'est-ce qu'une attaque zéro clic ?

La plupart des cyberattaques les plus réussies reposent sur le phishing, qui consiste à inciter la victime à divulguer une information sensible, à ouvrir un e-mail ou à cliquer sur un lien. Le fait est que la victime doitfaire quelque chosepour que l'attaquant réussisse la cyberattaque. Mais les attaques sans clic, comme leur nom l’indique, ne nécessitent aucune intervention de l’utilisateur.



En effet, ces types d’attaques n’ont pas besoin de recourir à des tactiques d’ingénierie sociale pour tromper la victime et déclencher l’attaque. Aucun déclencheur n’est requis. Tant que la vulnérabilité zéro clic est présente sur le système cible, les attaquants peuvent entrer directement.

Pour cette raison, les vulnérabilités sans clic sont considérées comme les joyaux de la couronne des vulnérabilités, et les éditeurs de logiciels légitimes et les groupes de pirates informatiques louches sont prêts à payer des millions de dollars pour leur divulgation privée.

Les applications de messagerie et de messagerie ont tendance à être les cibles privilégiées des attaques sans clic. Ces applications doivent constamment analyser les données qu'elles reçoivent pour les authentifier comme étant fiables. Et les vulnérabilités potentiellement trouvées dans ces types de mécanismes d’évaluation sont souvent ce qui rend possibles les attaques sans clic. Et plus l’application est complexe, plus la surface d’attaque des vulnérabilités sans clic est grande.

Les vulnérabilités elles-mêmes peuvent être n’importe quoi : ce qui définit une vulnérabilité/attaque sans clic n’est pas la vulnérabilité exploitée elle-même mais plutôt le fait que l’attaque ne nécessite aucune interaction de l’utilisateur pour réussir.

Comment fonctionnent les attaques zéro clic ?

Voici comment une hypothétique attaque sans clic pourrait fonctionner :

  1. Les mauvais acteurs identifient une vulnérabilité au sein d’une application de messagerie ou de messagerie.
  2. Les mauvais acteurs exploitent la vulnérabilité en envoyant un message méticuleusement conçu à l'appareil cible. Les attaquants utilisent souvent des données spécialement formées, comme un message texte caché ou un pixel, pour injecter du code compromettant sur l'appareil. Mais il peut aussi s’agir d’une demande d’authentification, d’un message vocal, d’une session de visioconférence, ou encore d’un appel téléphonique. N'importe lequel des éléments ci-dessus peut être un vecteur pour exploiter une vulnérabilité dans une application qui traite et évalue des données.
  3. La vulnérabilité permet aux attaquants d'infecter l'appareil à distance avec malware , Spyware, chevaux de Troie , etc. – tout ce qu’ils veulent.
  4. Une fois l’appareil infecté, les attaquants peuvent généralement accéder à son contenu, en prendre le contrôle total ou même usurper l’identité du propriétaire et envoyer des messages en son nom.
  5. Lorsque la victime se rend compte qu’elle a été agressée, il est trop tard. L'attaque a déjà eu lieu. Et il n’y a probablement aucune trace du message compromettant de l’attaquant sur l’appareil à ce stade.

Comme indiqué ci-dessus, les spécificités d’une attaque sans clic sont difficiles à cerner. Ils dépendent de la vulnérabilité exploitée et de ce que recherche l’attaquant. Mais ils tendent toujours à suivre la même structure générale illustrée ci-dessus.

Exemples concrets d'attaques sans clic

Les attaques sans clic sont peut-être plus rares que les autres cyberattaques, mais elles sont loin d’être hypothétiques. Vous trouverez ci-dessous quelques exemples concrets d’attaques sans clic.

Pomme

En 2021, des chercheurs du Citizen Lab ont découvert un exploit zero-day utilisé contre un militant des droits humains bahreïnien. L'iPhone du militant avait été piraté par des logiciels espions au niveau des États-nations. L’exploit a neutralisé la sécurité généralement solide d’Apple.

Lorsque Citizen Lab, un organisme de surveillance Internet de premier plan basé à Toronto, a analysé l’iPhone 12 Pro de l’activiste, ils ont découvert qu’une vulnérabilité sans clic avait permis le piratage. L’attaque sans clic s’appuie sur une vulnérabilité de sécurité jusqu’alors inconnue dans le service de messagerie d’Apple, iMessage. En exploitant cette vulnérabilité, les attaquants pourraient introduire le logiciel espion Pegasus, développé par la société israélienne NGO Group, sur le téléphone du militant.

Ce piratage a été un gros problème, comme en témoigne l’importante couverture médiatique dont il a fait l’objet. Il a réussi à renverser les dernières versions iOS d’Apple (iOS 14.x) qui n’étaient sorties que peu de temps auparavant. L’attaque a réussi à vaincre « BlastDoor » – l’une des fonctionnalités de sécurité d’Apple intégrées à iOS pour filtrer les données malveillantes envoyées via la plateforme iMessage et, du moins en théorie, empêcher ce type d’attaques. L’attaque a été surnommée « ForcedEntry » en raison de sa capacité à pénétrer dans la « BlastDoor ». Apple a corrigé la vulnérabilité dans une mise à jour logicielle ultérieure peu de temps après la découverte.

WhatsApp

En 2019, WhatsApp s'est avéré vulnérable à une attaque sans clic. L’attaque a été déclenchée par un appel manqué, qui pourrait exploiter une faille dans le code source de WhatsApp. L'utilisation d'un exploit zero-day (une vulnérabilité jusqu'alors inconnue et non corrigée) en conjonction avec la vulnérabilité zéro clic a permis à l'attaquant d'inclure un logiciel espion dans l'échange de données entre les deux appareils, grâce à l'appel manqué. Une fois chargé, le logiciel espion s’est déguisé en ressource d’arrière-plan légitime, permettant à l’attaquant d’accéder aux données stockées sur le téléphone de la victime.

Cette attaque a été attribuée à la société israélienne NSO Group, comme dans l’exemple Apple ci-dessus.

Jeff Bezos

En 2018, le PDG d'Amazon Jeff Bezos Ses messages texte, ses messages instantanés et potentiellement même ses enregistrements vocaux ont été capturés avec le microphone de l'iPhone après avoir reçu un message WhatsApp du prince héritier Mohammed ben Salmane d'Arabie saoudite. De toute évidence, vous devez vous assurer de faire confiance à vos amis avant de leur donner votre identifiant WhatsApp. Le message WhatsApp comprenait une vidéo contenant un code malveillant permettant à l’expéditeur de récupérer des informations depuis le téléphone de la victime. L’iPhone de Bezos a été ainsi compromis pendant plusieurs mois.

Pouvez-vous savoir si vous avez reçu un « zéro clic » ?

Tout d’abord, je dois mentionner que les zéro-clics sont des vulnérabilités de très grande valeur. Ils ont tendance à être utilisés dans des attaques ciblées contre des cibles de premier plan. Les chances qu’un « utilisateur régulier » soit attaqué de cette manière sont assez faibles.

Néanmoins, si vous êtes victime d’une attaque sans clic, elle sera très difficile à détecter. Ces exploits sont furtifs et silencieux. N’oubliez pas qu’ils ne nécessitent aucune intervention de l’utilisateur pour réussir. Et comme les attaquants contrôlent tous les processus exécutés sur le téléphone, ils suppriment souvent simplement le message qui a initialement infecté les appareils, supprimant ainsi toute trace de leur présence.

Vous pourrez peut-être le comprendre en parcourant les journaux réseau de votre téléphone et en recherchant des adresses IP ou des domaines périphériques. Mais ce n’est pas une entreprise anodine ; la plupart des gens n’ont pas le savoir-faire ou les ressources pour le faire. Une fois que votre téléphone est infecté par un exploit sans clic, vous ne pouvez pas faire grand-chose à part effacer l’appareil et en acheter un nouveau.

Que pouvez-vous faire pour atténuer les attaques sans clic ?

Bien que ce qui précède puisse paraître décourageant, cela signifie simplement qu’une fois que vous êtes infecté par un exploit sans clic, vous êtes pratiquement cuit. Mais cela ne veut pas dire qu'il y aabsolument rienvous pouvez faire pour éviter de telles attaques. Vous pouvez faire plusieurs choses, mais elles ne sont pas spécifiquement adaptées aux attaques sans clic – la plupart sont des mesures plus logiques que vous devriez de toute façon prendre.

  • Assurez-vous que votre système d'exploitation, votre micrologiciel et vos applications sur tous vos appareils sont à jour . Et installez toujours les mises à jour de sécurité dès qu’elles sont disponibles.
  • Sauf si vous savez vraiment ce que vous faites, téléchargez uniquement les applications des magasins officiels . Leur processus de vérification des applications peut certainement assurer la sécurité des utilisateurs quotidiens.
  • Désinstallez toutes les applications que vous n'utilisez pas depuis tous vos appareils, en particulier les applications de messagerie.
  • Tu devrais aussi évitez de « jailbreaker » ou de « rooter » votre téléphone . Il désactive de nombreuses mesures de sécurité intégrées à iOS et Android.
  • Activez la protection par mot de passe/la reconnaissance faciale/le scanner d'empreintes digitales de votre appareil pour une meilleure sécurité.
  • Utiliser l'authentification multifacteur pour accéder à vos comptes.
  • Ensemble mots de passe robustes pour vos connexions (mots de passe longs, aléatoires et uniques).
  • Au cas où ce qui précède ne le rendrait pas évident, ne réutilisez jamais le même mot de passe pour plusieurs comptes.
  • Faites des sauvegardes régulières de tous vos appareils . Si l’un de vos appareils est compromis, vous serez heureux de savoir que vous pouvez le restaurer dans un état non compromis.
  • Bloquer les pop-ups du navigateur Web . Et s’ils apparaissent malgré cela, ne cliquez pas dessus. Jamais. Les mauvais acteurs utilisent souvent des pop-ups pour propager des logiciels malveillants.
  • Utiliser un pare-feu . Tous les principaux systèmes d'exploitation ont un système entrant intégré. pare-feu , et tous les routeurs commerciaux disponibles dans le commerce fournissent un Pare-feu NAT . Assurez-vous qu'ils sont activés. Ils pourraient faire toute la différence si jamais vous cliquez sur un lien malveillant.
  • Utilisez un programme antivirus . Et assurez-vous d’acheter uniquement des logiciels antivirus authentiques, connus et évalués auprès de fournisseurs légitimes. Gardez toujours votre application antivirus à jour et configurez-la pour exécuter régulièrement des analyses fréquentes.
  • N'ouvrez pas les pièces jointes dans les e-mails sauf si vous savez qui est l'expéditeur et que vous avez confirmé auprès de lui qu'il vous a envoyé l'e-mail en question et que vous connaissez la pièce jointe (et de quoi il s'agit).
  • Ne cliquez pas sur les liens (URL) dans les e-mails sauf si vous savez qui a envoyé l'URL, quelle est sa destination et que l'identité de l'expéditeur n'est pas usurpée. Même dans ce cas, examinez attentivement le lien. Vérifiez le lien pour une orthographe incorrecte (c'est-à-dire Facebook au lieu de Facebook ou Goggle au lieu de Google). Si vous pouvez atteindre la destination sans utiliser le lien, faites-le plutôt.
  • Un autre bon conseil, surtout si vous travaillez dans un domaine sensible qui pourrait augmenter vos chances d'être une cible, est de utiliser deux smartphones – un pour le travail et l’autre pour votre vie personnelle. Segmenter votre identité de cette manière peut fournir une certaine atténuation par rapport aux attaques sans clic.

Conclure

C’était donc une vue d’ensemble des attaques sans clic. La mauvaise nouvelle est que nous disposons de défenses limitées contre ces attaques. Mais la bonne nouvelle est que les chances d’en être victime sont en réalité assez faibles, étant donné que ces exploits de grande valeur ont tendance à être réservés à des cibles de grande valeur (c’est-à-dire les politiciens, les militants, les PDG, etc.).

Néanmoins, vous devez suivre les conseils ci-dessus et faire attention à l’endroit où vous vous retrouvez sur Internet. Je l’ai déjà dit et je le répète : Internet est un endroit hostile. Traitez-le comme tel.

Comme toujours, restez en sécurité.

^