KeyRaider : Plus de 225 000 comptes Apple sont compromis

Publié le 31 août 2015 par _nicolas @BranchezVous
One Solution">">

Une entreprise spécialisée en sécurité informatique a trouvé ce qu’elle croit être le plus important vol de données d’authentification ciblant les utilisateurs d’iPhone et d’iPad à avoir été causé par un maliciel.

«Nous croyons qu’il s’agit du plus grand vol de données Apple connu à ce jour ayant été causé par un logiciel malveillant», a déclaré Claud Xiao de Palo Alto Networks cette semaine.

«En somme, il semble que cette menace aurait eu un impact dans 18 pays, dont la Chine, la France, la Russie, le Japon, les États-Unis, le Canada, l’Allemagne, l’Australie, Israël, l’Italie, l’Espagne, Singapour, et la Corée du Sud.»

En tirant profit du maliciel nommé KeyRaider, des pirates sont en mesure d’effectuer des achats à l’intérieur de l’App Store à l’insu de l’utilisateur (qui se retrouve ainsi à devoir payer la note). Ils peuvent également prendre en otage l’appareil ciblé en le verrouillant, en demandant bien sûr une rançon.

À noter cependant que KeyRaider ne cible que les appareils iOS ayant été débridés ou jailbreakés. Cette pratique, déconseillée (voire interdite) par Apple, permet à l’utilisateur de retirer les restrictions l’empêchant d’installer des logiciels qui ne proviennent pas de l’App Store.

D’origine chinoise, le maliciel a été téléchargé plus de 20 000 à partir de Cydia, la boutique parallèle qui propose des applications destinées aux iPhone et iPad débridés. Essentiellement, d’après les estimations de Palo Alto Networks, 20 000 pirates auraient ainsi abusé de 225 000 utilisateurs iOS.

«En somme, il semble que cette menace aurait eu un impact dans 18 pays, dont la Chine, la France, la Russie, le Japon, les États-Unis, le Canada, l’Allemagne, l’Australie, Israël, l’Italie, l’Espagne, Singapour, et la Corée du Sud», selon les spécialistes.

«Le maliciel s’accroche à des processus système par le biais de MobileSubstrate, dérobant les noms d’utilisateurs et mots de passe de comptes Apple et le GUID [le numéro d'identification unique] en interceptant les transmissions iTunes de l’appareil. KeyRaider accède aux certificats des notifications directes et les clés privées [de chiffrement], à l’information liée aux transactions de l’App Store, et désactive la fonction permettant de déverrouiller localement ou à distance les iPhone et iPad.»

Comment savoir si vous êtes vulnérables

Bien entendu, si vous n’avez jamais débridé votre iPhone ou iPad (n’ayez crainte, ce n’est pas quelque chose qui se fait accidentellement), vous n’êtes pas ciblée par ce problème.

Même si votre appareil a été modifié pour y installer des applications provenant de Cydia, il vous faut avoir installé l’une des 92 applications récemment découvertes dans l’écosystème parallèle pour être à risque. Les chances demeurent minces, surtout s’il y a longtemps que vous n’avez rien téléchargé de nouveau.

Afin de savoir si votre appareil est affecté, nous vous invitons à lire le long article sur le sujet publié par Palo Alto Networks.

À noter que pour le moment, Apple est restée muette sur l’affaire. Il sera intéressant de voir si l’entreprise choisira d’aider ou d’indemniser les utilisateurs qui n’ont pas respecté les conditions d’utilisation de ses produits.