Mise à jour essentielle : La faille Blastpass et la sécurité numérique

• Ewen = Bleu
• Martin = Orange
• Théo = Violet
• Didascalies = Noir

*Jingle de début*

E- Bonjour et bienvenue à tous sur “Un bug dans le système”.

Nous allons aujourd’hui vous parler plus précisément de la faille Blastpass et, à travers cet exemple, essayer de vous sensibiliser à la vigilance informatique et à la cybersécurité.

Je me présente, Ewen Gadonnaud, je suis aujourd’hui accompagné de mes camarades Martin Savigny et Théo Bruneau, étudiants en Réseau et Télécommunication à Châtellerault.

Bonjour Martin, peux-tu nous expliquer précisément de quoi nous allons parler ?

M- Bonjour Ewen pour faire simple, la faille Blastpass est une faille de type “no click” qui était présente sur la version 16.6.1 des appareils iOS. Quant au logiciel Pegasus, c’est un logiciel spyware, qui est un logiciel d’espionnage qui est installé sur un appareil informatique à l’insu d’un utilisateur qui a entre guillemets profité de cette faille pour s’implanter sur les appareils iOS.

T- Pour rebondir sur ce que vient de dire Martin, une faille “no-click” est une faille qui ne nécessite aucune action de l’utilisateur pour que le système en question soit infecté. Dans le cas de Blastpass, le chargement automatique des MMS était utilisé pour infecter un Iphone.

E- Dans le cadre de ce podcast, nous parlerons du fonctionnement de la faille Blastpass et comment Pegasus, un logiciel développé par la société Israélienne NSO Group a réussi à exploiter cette faille pour infiltrer des appareils gouvernementaux. Il aurait également pu s’introduire dans des appareils personnels. Il important de préciser avant toute chose que cette faille touche le grand public, et n’est pas seulement réservée à de rares malchanceux mais bien à n’importe quel utilisateur d’appareils électroniques dit “intelligents”

M- En effet, et pour illustrer ce que vient de dire Ewen, on peut citer Jorge REY, responsable de sécurité informatique chez Kaufman,Rossin & Co qui affirme au journal Le Point qu’au niveau mondial, "il y a 1,5 million de personnes hackées chaque jour". Cela représente quand même une forte proportion de personnes par an, montrant qu’il ne faut surtout pas négliger la maintenance de nos appareils et leurs supervisions pour éviter que ce chiffre ne s’accroît de plus en plus.

T- Alors rassurez-vous, on ne cherche pas à vous inquiéter mais plutôt à vous sensibiliser à la cybervigilance et en particulier à l'importance                                                                                                                                                                                        de tenir son matériel informatique à jour, puisque cette faille Blastpass à justement été patché assez rapidement par une mise à jour, ça montre que si on reste un petit peu assidus sur ce point là, il n’y a pas de soucis à se faire.

E- J’appuierais sur la partie technique et logicielle de la faille Blastpass en précisant que c’est une faille qui provient de l’application Portefeuille des appareils iOS, la faille s’étant déployée à cause d’un problème dans les outils de développement d’applications sous iOS, notamment l’outil Paykit qui permets d’implémenter des fonctions de paiement instantanés.

Concrètement pour un utilisateur lambda, comme l’a dit Théo juste avant, vous recevez un MMS en provenance d’un numéro inconnu, qui se charge automatiquement sur votre téléphone, rendant votre appareil infecté. Vu que l’application Portefeuille est présente sur tous les appareils iOS et qu’elle utilise les outils du framework “défaillant”, on en conclut que cette faille est présente en conséquence sur tous les appareils Apple, même les Macs. Elle ouvre donc la porte à des applications malveillantes, comme Pégasus que l’on prendra ici comme exemple.

M-Après ce que vient de vous dire Ewen sur la faille Blastpass, nous pouvons essayer de faire un petit focus sur le logiciel spyware Pégasus. Il faut tout d’abord bien distinguer ce logiciel de la faille dont nous vous parlons, ce sont deux choses à ne pas confondre. Pour revenir au logiciel Pégasus, il faut savoir qu’il a été très utilisé par les gouvernements de différents pays à des fins d’espionnage. Il a en effet été mis sur le marché en 2013, comme Ewen le disait plus haut, par l’entreprise israélienne NSO Group, mais n’est pas détecté avant 2016.

T- En effet, pour illustrer ce que vient de dire Martin, on peut citer comme exemple une brève liste de personnes touchées par ce logiciel espion : nous y retrouvons El Chapo, un baron de la drogue, Javier Valdez Cardenas qui terminera assassiné par le gouvernement mexicain qui l’espionnait via ce logiciel, Roger Torrent (président du parlement de Catalogne), et la liste est quasi-infinie.  Ces quelques exemples nous permettent d’avoir un bref aperçu de l’impact que peut avoir un logiciel espion à l'international et les dégâts qu’il peut causer. Il faut aussi préciser que d’après le site Citizen Lab, Pegasus était un logiciel qui ciblait certes les chefs gouvernementaux, les députés etc.. Mais pas seulement, également le grand public qui pouvait donc y être exposé via la faille Blastpass comme l’a expliqué Ewen.

*INTERLUDE ?*

E- Heureusement, des mesures de protections sont possibles pour remédier à cette faille. Il en existe deux principales, une qui agit en tant que mesure “préventive” et une autre qui agit en tant que mesure “effective”. La première intervient dans le cas ou votre appareil est exposé à cette faille, donc quand il n’est pas mit à jour et dans le cas ou vous souhaitez limiter un maximum les risques d’exposition à la réception d’un MMS infecté.

M- Cette première mesure dont Ewen parle correspond à l’activation du mode “Lockdown” sur les appareils iPhones. Ce mode lockdown est une option activable dans les paramètres du téléphone qui désactive principalement le chargement automatique des MMS et toute prévisualisation de contenu dans le téléphone, refuse les appels Facetime entrants et coupe globalement beaucoup de portes d’entrées à de potentiels attaquants. C’est un mode qui est destiné pour les journalistes ou autres personnels profitant d’un statut qui pourrait leur être préjudiciable (tels que des chefs de gouvernements, des députés etc…)

T- La seconde et dernière solution est la plus évidente mais néanmoins reste la moins assidûment respectée par tout le monde, il s’agit tout simplement de mettre à jour régulièrement son appareil intelligent. En effet, les mises à jours automatiques ne sont pas activées pour rien sur nos appareils, de nos jours, le simple fait que cette option soit activée par défaut indique bien son importance. Il ne faut alors sous aucun prétexte la désactiver. Pour illustrer mes propos, Apple à corrigé la faille Blastpass en moins de 2 semaines, ce qui constitue un temps de réaction considérablement court. Il ne faut alors surtout pas désactiver l’option de mise à jour automatique pour le bien de votre vie privée et de celle des autres.

Si votre appareil ne propose pas cette option, il faut penser régulièrement à effectuer les mises à jours de sécurité proposées par votre constructeur, c’est une habitude primordiale à prendre.

E- Donc pour résumer, la faille Blastpass, c’est  une faille informatique qui illustre parfaitement un problème majeur dans l’usage qu’ont les gens de leurs smartphones à ce jour, le fait que la mise à jour de tout appareil connecté à internet ne soit pas toujours assidûment respectée. Il faut changer ses habitudes afin d’être sûr d’éviter qu’un drame arrive. Si il n’y avait qu’une chose à retenir de ce podcast, ce serait que les piratages informatiques n’arrivent pas qu’aux autres et que de simples bonnes habitudes suffisent à en contrer une bonne partie, que vous soyez utilisateur d’appareil iOS ou Android, cette habitude s’applique à tout le monde !

Bon, nous allons donc pouvoir mettre fin à ce podcast, je vous remercie Martin et Théo pour ce petit temps d’échange, et je vous remercie tous, auditeurs, de nous avoir écoutés !

*Musique de générique de fin*