Qu’est-ce qu’un logiciel espion Hermit et comment s’en protéger ?
C’est plutôt mauvais, mais il y a des choses que vous pouvez faire pour vous protéger.
Il y a quelques jours, des articles (dont le nôtre) sur le logiciel espion Hermit ont semblé piquer l’intérêt des lecteurs.
Décrit en détail par le Threat Analysis Group (TAG) de Googlele logiciel espion Hermit (il a été surnommé Hermit par la société de sécurité Lookout, qui a signalé sa découverte pour la première fois) fait partie d’une attaque de malware dangereuse et sophistiquée qui est activement utilisée dans la nature. Les attaquants utilisent des vulnérabilités zero-day (c’est-à-dire celles qui n’ont pas encore été corrigées) et d’autres exploits dangereux dans le code Android et iOS pour déployer des logiciels malveillants qui peuvent prendre le contrôle de l’appareil iOS ou Android de quelqu’un.
La plupart des organes de presse se sont concentrés sur la partie « actualités » de l’histoire. Mais comme nous l’avons vu dans ce fil Redditce que les utilisateurs veulent vraiment savoir (et à juste titre), c’est comment, exactement, vous pouvez vous protéger de cette menace, comment savoir si votre appareil a été infecté et, le cas échéant, comment vous débarrasser du logiciel espion.
Nous avons de bonnes et de mauvaises nouvelles.
L’attaque
La mauvaise nouvelle est que, lorsqu’elle est exécutée correctement, il s’agit d’une attaque hautement sophistiquée qui pourrait tromper presque tout le monde. Une tactique que les attaquants ont employée, par TAG, consiste à travailler avec le FAI de la cible pour désactiver la connectivité des données mobiles de la cible et lui envoyer un lien malveillant par SMS pour récupérer la connectivité et installer le logiciel malveillant.
On ne sait pas si les attaquants ont réellement fait participer les FAI à l’attaque, ou s’ils avaient un initié qui pourrait effectuer ces actions pour eux, mais le résultat est terriblement dangereux. Imaginez que votre téléphone perde la connectivité des données mobiles et reçoive immédiatement un message de votre fournisseur disant : « Oui, nous savons que la connectivité des données de votre téléphone ne fonctionne pas, voici un lien pour le réparer. » À moins que vous ne soyez au courant de cette attaque particulière, vous cliqueriez probablement dessus sans trop d’hésitation.
Une autre tactique consistait à envoyer des liens vers des versions convaincantes et frauduleuses d’applications populaires telles que Facebook et Instagram, ce qui, encore une fois, a entraîné l’infection du téléphone de la cible.
Sur les appareils Apple, les attaquants ont utilisé des failles dans les protocoles de l’entreprise pour distribuer des applications qui peuvent contourner l’App Store mais être soumises aux mêmes mécanismes d’application de la sécurité. En d’autres termes, ces applications malveillantes ont pu s’exécuter sur des appareils iOS sans que le système ne voie quoi que ce soit d’inhabituel à leur sujet. L’une de ces applications, selon l’analyse de TAG, contenait des failles de sécurité pouvant être utilisées par six exploits différents, et ils ont pu envoyer des fichiers intéressants depuis l’appareil, comme une base de données WhatsApp, à un tiers.
TAG ne fournit pas beaucoup d’informations sur ce qui se passe lorsque l’appareil d’une cible est infecté. Mais voici une autre mauvaise nouvelle : si un attaquant a accès aux ressources nécessaires pour effectuer ce type d’attaque, il peut probablement déployer des logiciels malveillants difficiles, voire impossibles, à détecter ou à supprimer. Et cela pourrait être (presque) n’importe quoi : un logiciel qui écoute vos conversations téléphoniques, lit vos messages, accède à votre appareil photo, etc. Un logiciel anti-malware peut être en mesure de détecter certains d’entre eux ou au moins de vous avertir que quelque chose ne va pas, mais vous devez avant tout vous préoccuper de protéger votre appareil contre l’infection.
Mais pourquoi les attentats ont-ils eu lieu ?
Selon TAG, ces attaques et malwares sont utilisés par RCS Labune entreprise italienne qui déclare travailler avec les gouvernements (son slogan est qu’ils « fournissent des solutions technologiques et apportent un soutien technique aux agences d’application de la loi dans le monde entier »). Dans une déclaration à TechCrunchla société a déclaré qu’elle « exporte ses produits dans le respect des règles et réglementations nationales et européennes » et que « toute vente ou mise en œuvre de produits n’est effectuée qu’après avoir reçu une autorisation officielle des autorités compétentes ».
Ces types d’attaques devraient, en théorie, être assez limités à des cibles très précises, comme les journalistes, les militants et les politiciens. TAG ne les a vus en action que dans deux pays, l’Italie et le Kazakhstan (Lookout ajoute également la Syrie à cette liste). De toute évidence, c’est assez horrible – les gouvernements achètent des logiciels espions à des vendeurs louches, puis les déploient pour cibler quelqu’un qu’ils considèrent comme leur ennemi – mais c’est le monde dans lequel nous vivons.
Le tweet a peut-être été supprimé
Il n’y a pas que RCS Lab et Hermit. TAG dit qu’il suit plus de 30 fournisseurs qui vendent « des exploits ou des capacités de surveillance à des acteurs soutenus par le gouvernement ». Ces fournisseurs incluent des sociétés telles que Cytrox de Macédoine du Nord et son logiciel espion ALIEN/PREDATOR.et le groupe NSO d’Israëlconnu pour son logiciel espion Pegasus.
La bonne nouvelle, si vous pouvez l’appeler ainsi, est que ces types d’attaques ne sont pas susceptibles de se propager massivement sur les appareils de centaines de millions d’utilisateurs. Les personnes qui utilisent ces outils ne construisent pas un réseau de spambots, ils ciblent des individus spécifiques. Mais il est toujours important que tout le monde sache comment se protéger contre des attaques sophistiquées comme celles-ci, car vous ne savez jamais quand vous pourriez devenir la « personne spécifique » sur la liste de certains « organismes d’application de la loi ».
Comment vous protégez-vous des attaques de logiciels malveillants comme celles-ci ?
Une ligne typique que vous obtiendrez des experts en sécurité est de ne jamais, jamais installer quoi que ce soit d’une partie à laquelle vous ne faites pas confiance, ou de cliquer sur un lien provenant de quelqu’un que vous ne connaissez pas. C’est un peu plus difficile à mettre en œuvre lorsque votre FAI est impliqué dans l’arnaque et qu’il vous envoie des liens pour « réparer » votre connectivité de données. La règle empirique s’applique toujours : si quelque chose ne va pas, vérifiez-le. Si vous ne savez pas si un lien ou une application est légitime, ne cliquez pas dessus, même s’il provient de Google, Facebook, Apple, de votre FAI, voire d’un parent. Et gardez toujours le logiciel de votre appareil à jour.
TAG souligne également un fait important : aucune des applications malveillantes utilisées pour déployer Hermit n’était disponible dans l’App Store d’Apple ou le Play Store de Google (les pirates ont utilisé diverses tactiques pour écarter les magasins officiels). Bien que l’installation d’applications uniquement à partir de magasins d’applications officiels n’offre pas une protection à 100 % contre les logiciels malveillants, c’est certainement une bonne pratique de sécurité.
En outre, TAG indique que Google a pris des mesures pour protéger les utilisateurs qui ont été directement touchés par Hermit, notamment en avertissant toutes les victimes d’Android et en mettant en œuvre des correctifs pour contrecarrer les attaques. Apple a déclaré à TechCrunch il a révoqué tous les comptes et certificats connus associés à Hermit.
Si vous souhaitez aller plus loin, la société de sécurité Kaspersky a une liste d’actions que vous pouvez entreprendre pour vous protéger contre les logiciels espions sophistiqués, et cela inclut des redémarrages quotidiens, la désactivation d’iMessage et de FaceTime, et l’utilisation d’un navigateur alternatif pour naviguer sur Internet, au lieu des populaires Chrome ou Safari.
