Cette semaine, l’événement de lancement des produits du printemps d’Apple a été entaché par une attaque de ransomware contre l’un de ses fournisseurs, Quanta Computer. L’incident est remarquable parce qu’il concerne Apple et la diffusion de schémas confidentiels, mais aussi parce qu’il représente une intersection de plusieurs tendances inquiétantes en matière d’extorsion numérique.

Dans d’autres nouvelles de piratage liées à Apple, des chercheurs de Facebook ont découvert qu’un groupe lié à la Palestine avait créé un logiciel malveillant personnalisé pour attaquer iOS, caché dans une application de messagerie fonctionnelle. Les victimes devaient se rendre dans une boutique d’applications tierce pour installer le logiciel malveillant, mais les pirates utilisaient des techniques d’ingénierie sociale pour les inciter à le faire. En parlant de Facebook, le géant des médias sociaux a été impliqué dans une nouvelle exposition de données, cette fois les adresses électroniques de millions d’utilisateurs qui avaient défini ces informations comme « privées » dans leurs paramètres. Cette affaire fait suite à une faille qui a permis de récupérer les numéros de téléphone de 500 millions d’utilisateurs de Facebook, découverte au début du mois.

Nous avons également examiné un bug corrigé depuis dans Clubhouse qui aurait permis à des personnes de s’attarder invisiblement dans des salles comme des fantômes et même de faire du bruit, sans que le modérateur puisse les mettre en sourdine ou les expulser.

La fondatrice de Signal, Moxie Marlinspike, s’en prend aux machines à pirater les téléphones de Cellebrite.

En décembre, la société de criminalistique Cellebrite qui aide les autorités à pénétrer dans les iPhones et les appareils Android et à en extraire des données a affirmé pouvoir accéder aux données de l’application Signal. Il s’agissait d’une petite erreur d’aiguillage ; elle n’avait pas sapé le cryptage réputé solide de Signal, mais avait plutôt ajouté à son outil Physical Analyzer la prise en charge des types de fichiers utilisés par Signal.

La distinction est très importante. Cellebrite pouvait essentiellement accéder aux messages de Signal une fois qu’il avait déjà votre téléphone en main et qu’il l’avait déverrouillé, ce qui constitue un risque avec toute application de messagerie cryptée.

Avance rapide jusqu’à cette semaine, où le fondateur de Signal, Moxie Marlinspike, a publié un billet de blog qui détaille ses efforts apparemment réussis pour pirater le dispositif de piratage du téléphone de Cellebrite. Ce qu’il a trouvé : de nombreuses vulnérabilités, à tel point qu’une application pourrait compromettre une machine Cellebrite simplement en incluant un fichier spécialement formaté sur un téléphone scanné. Marlinspike suggère qu’en corrompant le matériel de Cellebrite, on pourrait manipuler les données sans laisser de traces, ce qui jetterait une ombre sur les rapports médico-légaux de l’entreprise à l’avenir.

C’était déjà la version courte, mais la version encore plus courte, c’est que Signal a trouvé le moyen de s’en prendre à l’une des sociétés de piratage de téléphones les plus utilisées, et a suggéré de façon pas si subtile qu’elle pourrait effectivement le faire. De quoi s’amuser !

L’App Store est un repaire d’escrocs

La sécurité de l’App Store iOS d’Apple a occupé le devant de la scène ces derniers mois, alors que le développeur de jeux vidéo Epic conteste le modèle économique de l’entreprise et que le Congrès continue d’examiner les éventuelles implications antitrust. Une chose pour laquelle il est manifestement moins bon ? Identifier et arrêter les arnaques évidentes. Un développeur du nom de Kosta Eleftheriou a pris sur lui de faire ce travail, en signalant plusieurs arnaques de plusieurs millions de dollars au cours des derniers mois. The Verge a fait sa propre enquête et a découvert que démêler les arnaques était aussi simple que de parcourir les applications les plus lucratives de l’App Store. Les arnaques se cachent à la vue de tous.

LinkedIn est devenu le favori des espions en ingénierie sociale

Il est sain de traiter les demandes sur LinkedIn avec méfiance en général, mais seulement sur le plan personnel. Mais le MI5 a averti cette semaine que les ressortissants britanniques devraient également se méfier des espions étrangers se faisant passer pour des connexions amicales. Le MI5 évoque 10 000 cas au cours des dernières années où de faux profils ont ciblé des personnes au sein du gouvernement et dans des secteurs sensibles, en utilisant des techniques d’ingénierie sociale pour leur soutirer des informations privilégiées. Cette activité ne se limite pas non plus au Royaume-Uni ; les États-Unis, le Canada, l’Australie et la Nouvelle-Zélande ont tous connu une version de ce phénomène. Développez votre réseau, bien sûr, mais avec toute la prudence requise.

Un nouveau projet de loi interdirait certains des pires abus en matière de surveillance policière

La mesure dans laquelle la technologie de reconnaissance faciale comme celle de Clearview AI et les données de localisation fournies par les applications sur votre smartphone ont alimenté les efforts des forces de l’ordre ces dernières années est devenue incontrôlable. Un nouveau projet de loi introduit cette semaine et bénéficiant d’un large soutien bipartisan veut remédier à cette situation. La loi sur le quatrième amendement n’est pas à vendre s’attaquerait à ces deux problèmes, en exigeant une ordonnance du tribunal pour obtenir les données de localisation des courtiers et en interdisant aux agences de passer des contrats avec des entreprises qui ont obtenu leurs données de manière illicite. (Clearview AI, par exemple, a construit sa base de données d’images en raclant les entreprises de médias sociaux, une violation évidente des conditions de service). Et oui, le plus surprenant est peut-être que ces pratiques sont non seulement actuellement légales, mais aussi courantes.

David SCHMIDT