L'espion policier exploitait une faille iTunes

Le mois dernier, le groupe de hackers Chaos Computer Club ( CCC ) a analysé un cheval de Troie conçu à l'intention des autorités allemandes. R2D2 est doté de fonctionnalités de porte dérobée et d'enregistrement de frappe au clavier. Il cible sous Windows des applications comme MSN Messenger, ICQ, des navigateurs Web ou encore le logiciel de VoIP Skype pour espionner des conversations, navigations et appels ( captures d'écran, enregistrements audio ).

Le CCC a contesté la légalité d'un tel espion policier. Des allégations contestées par les autorités allemandes pour qui son utilisation et son fonctionnement respectent la législation d'outre-Rhin. R2D2 a notamment servi dans le cadre d'enquêtes criminelles.

D'après le Spiegel Online, une variante d'une application de surveillance dénommée FinFisher a été développée en Allemagne et conçue pour exploiter une vulnérabilité dans iTunes afin d'infecter des ordinateurs. La solution FinFisher est commercialisée par la société Gamma International.

Sur le site consacré à FinFisher et traduit dans plusieurs langues dont le français, on peut lire :

" Les solutions d'écoute et d'infection à distance sont utilisées pour accéder aux systèmes cibles et donner un accès complet aux informations stockées. Elles permettent également de prendre le contrôle des fonctions des systèmes cibles, jusqu'à la collecte des données et des communications cryptées. Conjointement avec des méthodes sophistiquées d'infection, l'agence gouvernementale sera capable d'infecter à distance les systèmes cibles. "

La variante de FinFisher évoquée par le Spiegel Online exploitait plus exactement une faille dans le système de mise à jour d'iTunes. Le site spécialisé ZATAZ explique qu'iTunes utilisait une demande HTTP non chiffrée pour interroger les serveurs Apple et mettre à jour iTunes, ce qui était exploité pour une attaque de type man-in-the-middle afin de parvenir à une infection via une URL sous contrôle.

The Register précise que pour la redirection, une machine doit au préalable être déjà infectée par un malware de type DNSChanger ( changement de DNS ) ou dans le cas des forces de l'ordre le recours à une technologie FinFly ISP proposée par Gamma International et qui nécessite la collaboration des fournisseurs d'accès à Internet.

Ce type d'attaque à base de fausse mise à jour de logiciel n'est plus possible depuis la toute récente version 10.5.1 d'iTunes avec laquelle HTTPS est utilisé lors d'une requête de mise à jour.

Gamma International est soupçonné d'avoir offert ses services à l'ancien régime d'Hosni Moubarak pour espionner les internautes égyptiens, ce que la société réfute.