Quand des hackers utilisent des sites compromis pour infecter des appareils iOS

Il faut le reconnaître, les hackers savent souvent faire preuve de beaucoup d’imagination. Et nous en avons une nouvelle fois la preuve. Comme le rapportent nos confrères du site Ars Technica, des hackers particulièrement doués ont utilisé des sites vulnérables pour infecter des appareils fonctionnant sous iOS, Android ou Windows. Explications.

D’après les informations recensées par Ars Technica, ces hackers ont exploité un total de 11 vulnérabilités zero-day dans une campagne qui a duré pas moins de neuf mois pour infecter des terminaux propulsés par des plateformes comme iOS, Android ou même Windows.

Une femme tapant sur un clavier
Photo de Kaitlyn Baker – Unsplash

Si l’on en croit l’équipe du Project Zero et du Threat Analysis Group de Google, cette attaque a été savamment orchestrée. Elle a même été qualifiée de “hautement sophistiquée”.

Une attaque menée sur plusieurs mois

Maddie Stone, une chercheuse de Project Zero, a ainsi expliqué que l’attaque a commencé en février 2020 avec l’exploitation de quatre failles. Elle s’est ensuite poursuivie pendant les huit mois suivants, avec l’aide de sept autres vulnérabilités critiques.

Le mode opératoire était à chaque fois le même. Les hackers ont compromis des sites internet populaires et ils leur ont ajouté du code afin de pouvoir installer des logiciels malveillants sur les appareils de leurs visiteurs.

A lire aussi : Quand les hackers s’en prennent à un géant de la bière

Des sites infectés pour pouvoir hacker des appareils sous iOS, Android ou Windows 10

Très sophistiqué, le code en question ne se limitait pas aux ordinateurs et il a également permis aux hackers d’infecter des appareils sous iOS ou Android, ce qui de l’aveu même de Maddie Stone témoigne du savoir-faire du groupe. Hacker autant de plateformes relève en effet de l’exploit, et encore plus lorsqu’il est question d’une plateforme sécurisée comme iOS.

Pour le moment, le groupe responsable de cette attaque n’a pas identifié. Nous ignorons également tout de ses motivations. Le pire, dans l’histoire, c’est que mettre à jour le navigateur ou la plateforme n’aurait absolument rien changé.

L’article complet publié par le Project Zero est accessible par le biais de ce lien.