Google révèle une entreprise qui a exploité 5 échecs secrets dans Chrome et Android

Google a conclu qu’une seule et même entreprise trouvera l’exploitation de cinq caches défaillants dans Chrome et Android, répétés en 2021. Et l’entreprise a décidé de publier le nom.

C’est en quelque sorte l’équivalent de « Name and shame », mais appliqué au numérique. Dans un billet de blog publié le 19 mai, Google a publié l’utilisation de cinq failles de sécurité dans une famille et une même entreprise : Cytrox. Ils sont nommés encore très confidentiels, mais elle a été au centre de l’actualité, après une affaire d’espionnage informatique.

C’était en décembre 2021. Après le logiciel d’espionnage Pegasus, on découvre un autre outil maléfique, surnommé Predator. Le malware s’avère redoutable, car il est en mesure d’infecter des smartphones Android et des iPhone en utilisant un simple lien transmis via WhatsApp. Derrière Predator est trouvé par Cytrox, une nouvelle société en Macédoine du Nord.

Cytrox est associé à une alliance d’entreprises désireuses de concurrencer NSO Group (qui est à l’origine de Pegasus) dans le secteur de l’espionnage numérique. Le nom de ce collectif ? Intellexa. Il y aurait huit entreprises partenaires, dont Cytrox. Selon Gizmodo, Cytrox est une filiale de WiSpear, une société décrite comme experte en interception sans fil (plus précisément, Wi-Fi).

L’une de ces failles se trouve dans Android. // Source : Louise Audry pour Numerama — photo retouchée

C’est l’équipe TAG (Threat Analysis Group) que s’est chargée, au nom de la firme de Mountain View, de procéder à cette attribution, qu’a été faite avec un haut niveau de confiance, selon Clement Lecigne et Christian Resell , membres du TAG. Le rôle du TAG est de contrer les menaces d’attaques secrètes des États, dans le cadre d’actions d’espionnage ou de depirage.

Ce travail a d’ailleurs été mené en coopération avec un autre groupe spécialisé, le Projet Zéro, dont la mission est de décélérer des failles critiques dites 0-day, car les ne sont pas documentées ou inconnues. Le Projet Zéro a fourni un appui technique au TAG, car les cinq vulnérabilités en cause sont justement des brèches de type 0-day.

Cinq failles secrètes utilisées dans trois campagnes offensives

En particulier, cinq failles de sécurité sont relevées dans Google Chrome pour quatre d’entre eux et dans le système d’exploitation Android pour la première fois. Ils sont exploités à travers trois campagnes distinctes. Toutes ces fragilités ont été éprouvées par les équipes chargées du développement de l’OS mobile et du navigateur.

La première campagne, détectée en août 2021, est passée par Chrome sur un Samsung Galaxy S21. Les assaillants forçaient l’utilisation du navigateur de Samsung, qui reposait sur une version plus ancienne et vulnérable de Chromium, faute de pouvoir attaquer Chrome directement. La technique passe par les redirections d’URL, sans qu’Internet sache rire.

La deuxième campagne a utiliser deux brèches afin de sortir du « bac à sable » de Chrome, c’est-à-dire d’un espace compartimenté pour éviter justement des soucis débordant hors du navigateur. La technique pour mobiliser un Samsung Galaxy S10 et, hors de la sandbox, l’utile malveillant allait en chercher un autre sur le net afin d’élever les droits d’utilisation sur le terminal.

Quant à la dernière campagne, il a utilisé plusieurs failles secrètes après un mobile Samsung exécutant la dernière version de Chrome. Il a profité d’une ancienne faille du noyau Linux, qui sera certainement corrigée, mais la résolution n’a pas été rétrospectivement déployée de la part du noyaux Android. Au moment de l’exploit, tous les nouveaux Samsung étaient vulnérables.

Leave a Comment