Apple a annoncé, lundi, avoir réparé une faille informatique que le logiciel controversé Pegasus, de la société israélienne NSO, était capable d'exploiter pour infecter des appareils de la marque sans même que l'utilisateur n'ait cliqué sur un lien ou bouton piégé.

La faille avait été repérée par des chercheurs de Citizen Lab, qui avaient découvert que l'iPhone d'un militant saoudien avait été infecté via iMessage, la messagerie d'Apple. Selon cette organisation de cybersécurité de l'université de Toronto, Pegasus se sert de cette vulnérabilité «depuis au moins février 2021».

«Cet exploit, que nous avons baptisé FORCEDENTRY, cible la bibliothèque de rendu des images d'Apple, et fonctionnait contre les appareils Apple iOS, MacOS et WatchOS», les systèmes d'exploitation des mobiles, ordinateurs et montres connectées de la marque à la pomme.

Lire aussi: Apple est soupçonnée de négligence après le piratage de ses iPhone par Pegasus

«Après avoir identifié cette faille (...), Apple a rapidement développé et déployé un patch dans iOS 14.8 pour protéger nos utilisateurs», a déclaré Ivan Krstic, directeur des systèmes de sécurité d’Apple, en réponse à une sollicitation de l’AFP. Le groupe californien a félicité Citizen Lab pour son travail et souligné que ce type d’attaques «ultra sophistiquées», «coûtent des millions de dollars, ne durent pas longtemps et sont utilisées pour cibler des personnes précises». Elles ne constituent donc «pas une menace pour la majorité écrasante de nos utilisateurs», a précisé Ivan Krstic. 

Les téléphones attaqués sans aucun clic

La mise à jour effectuée par Apple, qui a fait de la sécurité de ses téléphones et ordinateurs un argument de vente majeur, montre la difficulté croissante des entreprises, y compris les géants de la Silicon Valley, à faire face aux menaces informatiques de plus en plus sophistiquées.

Lire encore: Derrière le scandale Pegasus, la face oubliée de la surveillance de masse

«Dans le passé, les utilisateurs pouvaient être formés à éviter les infections en faisant attention aux textos soupçonneux et en ne cliquant pas sur des liens de numéros qu'ils ne connaissaient pas», souligne Kevin Dunne, le président de Pathlock, une entreprise de cybersécurité. «Mais maintenant des attaquants arrivent, sans aucun clic, à accéder à toutes les données d'un téléphone, à son micro et à sa caméra, en passant par les failles d'applications de tiers ou même présentes par défaut.»

Inquiétudes sur le rôle joué par NSO

Citizen Lab avait joué un rôle clef dans l'exposition au grand jour du scandale d'espionnage de masse via Pegasus en juillet. D'après les associations Amnesty et Forbidden Stories, l'affaire concerne une liste de 50 000 numéros de téléphone dans le monde sélectionnés depuis 2016 par les clients de NSO.

Pegasus permet «de s'acheter sa propre NSA», l'agence américaine de renseignements, avait ironisé en juillet Ron Deibert, le directeur de Citizen Lab.

«Vendre ces technologies à des gouvernements qui vont les utiliser en infraction du droit international et des droits humains facilite au final la découverte de ces logiciels par des organisations de chercheurs, comme nous et d'autres l'ont montré à de multiples occasions. C'était encore le cas cette fois-ci», a indiqué lundi le laboratoire.

Pour aller plus loin: Des experts de l'ONU demandent un moratoire sur les logiciels espions

En mars dernier, le centre de réflexion américain Atlantic Council avait déjà tiré la sonnette d'alarme sur le rôle dangereux joué par NSO et d'autres sociétés spécialisées dans la vente d'outils d'intrusion dans les smartphones et autres systèmes informatiques. Ces experts et des responsables politiques comme la chancelière allemande Angela Merkel ont appelé à plus de restrictions sur la vente de ce type de logiciels, exploités par des Etats mais pas seulement.