Les failles de sécurité zero-click représentent la plus grandes menaces actuelle pour la confidentialité et la sécurité des smartphones. Permettant l'installation totalement discrète de logiciels malveillants comme les redoutables logiciels espions, ces vulnérabilités critiques font l'objet d'une attention toute particulière des experts en cybersécurité offensive. Voici un tour d'horizon complet pour bien comprendre les enjeux de cette menace insidieuse.
Qu'est-ce qu'une faille zero-click ?
Le terme "zero-click" (ou "zéro-clic" en français) désigne une faille de sécurité informatique permettant de compromettre totalement un système sans nécessiter la moindre interaction de la part de l'utilisateur final. Contrairement aux attaques plus classiques qui requièrent d'ouvrir un fichier malveillant ou de cliquer sur un lien piégé, une vulnérabilité zero-click peut être exploitée à distance et à l'insu complet de la victime.
L'appellation "zéro-clic" souligne que l'attaquant n'a besoin d'aucun déclencheur côté utilisateur pour activer sa charge malveillante. Il peut ainsi procéder à l'infection initiale d'un appareil de manière entièrement furtive.
Pour les logiciels espions comme Pegasus ou Predator, ces failles zero-click représentent un vecteur d'attaque idéal. Elles permettent une compromission totale de l'appareil cible dès la première phase d'infection sans éveiller les soupçons, facilitant grandement les opérations d'espionnage et de surveillance secrètes.
Si les failles zero-click peuvent impacter tous les types de systèmes connectés, les appareils mobiles comme les smartphones et tablettes représentent des cibles de choix pour les attaquants cherchant à déployer furtivement des logiciels espions. Plusieurs raisons expliquent cet intérêt particulier :
Applications de messagerie vulnérables
De nombreuses failles zero-click critiques ont été découvertes au sein des applications de messagerie populaires sur iOS et Android comme WhatsApp ou iMessage. Très prisées des pirates informatiques, ces applications représentent une surface d'attaque de choix en raison de leur omniprésence et de leur nécessité à traiter du contenu distant potentiellement malformé (messages, fichiers, appels, etc). En effet, imagineriez vous utiliser Whatsapp ou iMessage sans photos, vidéos, notes vocales ou encore pièces jointes ?
En exploitant judicieusement ces vulnérabilités, il devient possible d'injecter du code malveillant simplement en envoyant un message vide, une image ou encore un appel vocal ou vidéo à la cible. Totalement indétectable, cette technique d'infection initiale ultra-furtive est idéale pour déployer des logiciels espions.
Composants réseaux
Les puces de communication sans fil des smartphones (Wi-Fi, Bluetooth, puce cellulaire) sont également des vecteurs d'attaque privilégiés pour les zero-click exploits. En raison de leur importante surface d'attaque liée au traitement permanent de signaux entrants, ces composants réseaux mobiles peuvent présenter de nombreuses vulnérabilités critiques permettant à un code malveillant de s'exécuter à distance lors de la simple réception d'un paquet réseau malformé.
Pour les attaquants connectés au même réseau Wi-Fi public qu'une cible ou se rapprochant à courte distance, cette faiblesse est un moyen efficace d'infiltrer discrètement un logiciel espion ou de préparer une future opération de surveillance plus poussée.
De nombreuses failles liées au réseau téléphonique sont également exploitées à travers les SMS silencieux ou encore les IMSI Catchers.
Moteurs de navigateurs web
Les moteurs de rendu web façonnant la navigation internet sur les smartphones restent également vulnérables aux attaques zero-click malgré les importants efforts de sécurisation. En exploitant des chaînes de vulnérabilités spécifiques au parsing du code JavaScript ou au traitement multimédia, un site web malveillant peut permettre l'exécution de code hostile lors du simple chargement de contenu piégé et sans intervention de l'utilisateur.
De nombreux groupes de pirates sont ainsi en recherche permanente de telles failles d'exécution de code à distance pour les intégrer à leurs chaînes d'attaque de déploiement de logiciels malveillants sur mobile.
La grande valeur des failles zero-click pour les logiciels espions
Les failles zero-click sont prisées des développeurs de logiciels espions en raison de leur capacité unique à permettre une infection initiale totalement furtive de l'appareil cible. En combinant cette compromission discrète du système d'exploitation à leurs vastes fonctionnalités d'espionnage, ces spywares disposent alors d'un avantage décisif. Le gouvernement américain à d'ailleurs un protocole liée aux failles zero-day et zero-click précisant que les agences de renseignement américaines sont supposées sous l'égide de la NSA déterminer collectivement si elles préfèrent révéler une vulnérabilité pour permettre au développeur du logiciel de la corriger, ou bien si elles préfèrent l'exploiter.
En exploitant une vulnérabilité zero-click critique via l'un des vecteurs d'attaque présentés plus haut, un logiciel comme Pegasus peut s'implanter durablement et profondément dans un smartphone sans que son propriétaire n'en ait la moindre idée. Dès lors, l'espion dispose de capacités redoutables pour :
- Accéder à toutes les données de l'appareil : messages, photos, vidéos, enregistrements audio, historique de navigation, mots de passe, etc.
- Activer à distance les différents capteurs : caméra, micro, GPS, puces de communications sans fil
- Déchiffrer et accéder aux communications supposées sécurisées par le chiffrement de bout-en-bout
- Servir de relais pour une surveillance plus poussée du réseau local ou du terminal professionnel de la victime
Sans aucun signe d'alerte ou de compromission visible, la cible se retrouve ainsi espionnée à son insu avec toutes les répercussions que cela peut avoir en termes de violation de la vie privée, de sécurité nationale ou encore d'activités malveillantes.
C'est cette combinaison unique de discrétion totale et de capacités intrusives redoutables qui fait des vulnérabilités zero-click un outil essentiel et particulièrement prisé des développeurs des logiciels espions les plus avancés au monde.
Exemples marquants d'abus de failles zero-click
Bien que leur existence soit de plus en plus médiatisée, les failles zero-click restent très difficiles à détecter, corriger et leur exploitation se fait généralement dans l'ombre. Cependant, quelques abus majeurs de ces vulnérabilités critiques par des logiciels espions ont récemment défrayé la chronique :
L'affaire Pegasus (Sources : Amnesty International, Rapports techniques Citizen Lab)
Le plus grand scandale de ces dernières années impliquant l'exploitation de failles zero-click concerne sans aucun doute le logiciel espion Pegasus, développé par la société israélienne NSO Group pour le compte d'agences gouvernementales.
En 2021, une enquête menée par un consortium international de médias a révélé comment Pegasus a pu être déployé contre des milliers de victimes à travers le monde grâce à l'exploitation d'une vulnérabilité zero-click critique dans le système de messagerie iMessage sur iOS.
En envoyant un simple message vide apparemment anodin, les opérateurs de Pegasus pouvaient prendre le contrôle total et furtif d'iPhones et les transformer en relais d'espionnage contre leurs propriétaires, qu'il s'agisse de militants des droits de l'homme, de journalistes ou même de chefs d'État.
Selon Amnesty International et le laboratoire Citizen Lab de l'université de Toronto, cette exploitation massive des failles zero-click d'iMessage constitue une violation gravissime des droits humains et de la vie privée, facilitée par la prolifération incontrôlée de ces technologies intrusives.
WhatsApp victime d'une faille zero-click en 2019 (Sources : Rapports Facebook)
En 2019, c'est l'application de messagerie WhatsApp qui a été la cible d'une faille zero-click permettant d'injecter un code malveillant sans interaction aucune de la part des utilisateurs.
Baptisée CVE-2019-3568, cette vulnérabilité critique présente dans les versions de WhatsApp avant le 13 mai 2019 offrait la possibilité d'exécuter un code hostile lors de la simple réception d'un appel VoIP entrant avant que celui-ci ne soit décroché.
Meta (anciennement Facebook), qui possède WhatsApp, a rapidement publié un correctif pour combler la faille, mais s'est refusé à commenter sur les potentielles exploitations malveillantes pendant la période d'exposition. Certaines sources indiquent cependant que le logiciel espion israélien Pegasus aurait tiré parti de cette vulnérabilité zero-click pour déployer sa charge malveillante sur des milliers d'appareils.
Ces quelques cas illustrent à quel point les failles zero-click représentent une menace sérieuse en offrant un vecteur d'attaque furtif pour les logiciels malveillants les plus intrusifs, en particulier les logiciels espions destinés à la surveillance de masse.
Une faille zero-click en 2021 pour infiltrer Whatsapp sur les appareils Android était commercialisée 8 millions de dollars. Aujourd'hui des sociétés spécialisée notamment Russes offrent jusqu'à 20 millions de dollars pour une faille Whatsapp multi-OS (iOS et Android).
Détecter et corriger les failles zero-click, un défi de taille
Compte tenu de leur nature discrète et de leur exploitation généralement ciblée, les vulnérabilités zero-click représentent un redoutable défi pour les experts en cybersécurité chargés de les débusquer et d'y remédier avant qu'elles ne soient découvertes et exploitées par des acteurs malveillants.
Chez les principaux éditeurs de systèmes d'exploitation et logiciels mobiles comme Apple, Google ou Microsoft, des équipes dédiées travaillent en permanence sur l'identification proactive de ces failles critiques. Mais leurs efforts se heurtent à plusieurs obstacles de taille :
- Surfaces d'attaques immenses
Les environnements logiciels modernes sont aujourd'hui constitués de millions, voire de milliards de lignes de code avec une complexité architecturale croissante. Pire encore, ces énormes surfaces d'attaque sont interconnectées à de multiples composants réseaux, frameworks et bibliothèques tierces qui multiplient les potentielles zones d'ombres et de vulnérabilités.
Auditer systématiquement ces gigantesques quantités de code pour y débusquer les moindres failles zero-click représente un défi, même pour les plus grands experts et les meilleurs outils d'analyse. L'intelligence artificielle, va dans ce domaine, apporter d'importantes améliorations.
- Sécurité réactive
La plupart des éditeurs de logiciels fonctionnent encore selon un modèle dit de "sécurité réactive". Ils n'investissent massivement des ressources pour corriger une vulnérabilité qu'une fois celle-ci découverte et activement exploitée par des attaquants dans la nature.
Or les failles zero-click sont justement conçues pour se propager sous le radar et passer totalement inaperçues tant qu'elles ne sont pas corrigées. Les éditeurs sont donc souvent les derniers au courant, laissant aux logiciels malveillants une longueur d'avance précieuse.
- Manque d'incitations économiques
Enfin, la plupart des entreprises technologiques grand public accordent encore trop peu de ressources et d'attention à la sécurisation de leurs produits contre les menaces de rupture comme les failles zero-click. Tant que ces vulnérabilités critiques n'entraînent pas pour elles de lourdes pertes financières directes, leurs incitations économiques à les traquer restent trop faibles.
Face à ces défis structurels, les experts en cybersécurité n'ont d'autre choix que d'intensifier leurs efforts de recherche offensive, en nouant des collaborations transverses et en favorisant l'adoption de cycles de développement logiciel nativement sécurisés "Security by Design". Un combat de longue haleine contre cette menace insidieuse des failles zero-click.
Se protéger au mieux des failles zero-click
Compte tenu de leur nature furtive, il est extrêmement difficile pour les utilisateurs et entreprises lambda de se prémunir totalement contre le risque posé par les failles zero-click sur leurs appareils mobiles. Néanmoins, quelques bonnes pratiques de cybersécurité permettent de réduire considérablement la surface d'exposition :
- Mises à jour logicielles régulières
La première ligne de défense reste d'appliquer systématiquement les mises à jour de sécurité proposées par les éditeurs de systèmes d'exploitation mobile (Apple, Google, etc.) et d'applications. Ces correctifs visent à combler spécifiquement les vulnérabilités critiques découvertes, y compris les failles zero-click avant qu'elles ne soient exploitées à grande échelle.
- N'utilisez que les sources officielles
Afin de limiter les risques d'infection par des logiciels malveillants potentiellement vecteurs de failles zero-click, il est conseillé de n'installer que des applications provenant des stores officiels comme l'App Store ou le Google Play Store. Ceux-ci, bien qu'imparfaits, intègrent des mécanismes de vérification des logiciels pour filtrer les programmes malveillants.
- Opter pour des solutions de cyberdéfense dédiées
Pour une protection renforcée, en particulier pour les utilisateurs très exposés aux cybermenaces, il existe des solutions de cybersécurité spécifiquement conçues pour contrer les failles zero-click et empêcher l'infiltration de logiciels espions.
C'est notamment le cas du pare-feu Pacem X développé par des sociétés comme Pacem. La technologie Pacem X agit comme un sur-moniteur au cœur du système d'exploitation dans nos smartphones sécurisés pour détecter en temps réel toute activité suspecte liée à l'exploitation d'une vulnérabilité zero-click ou zéro-day et la bloquer sur-le-champ.
Il est également possible d'opter pour des appareils durcis dès la conception comme Phantom, notre smartphone ultra-sécurisé.