Si les attaques de type « jour zéro » sont déjà assez graves – elles sont appelées ainsi parce que les développeurs n’ont eu aucun jour pour s’attaquer à la vulnérabilité avant qu’elle ne soit révélée au grand jour – les attaques de type « zéro-clic » sont préoccupantes à un autre titre.
Définition des attaques par zéro clic
De nombreuses cyberattaques courantes, comme le hameçonnage, exigent que l’utilisateur effectue une action quelconque. Dans ces cas, ouvrir un courriel, télécharger une pièce jointe ou cliquer sur un lien permet à un logiciel malveillant d’accéder à votre appareil. Mais les attaques sans clic ne nécessitent aucune interaction de la part de l’utilisateur pour fonctionner.
Ces attaques n’ont pas besoin de recourir à l' »ingénierie sociale », c’est-à-dire aux tactiques psychologiques utilisées par les mauvais acteurs pour vous inciter à cliquer sur leur logiciel malveillant. Au lieu de cela, elles s’introduisent directement dans votre machine. Les cyberattaquants sont donc beaucoup plus difficiles à repérer et, s’ils échouent, ils peuvent continuer à essayer jusqu’à ce qu’ils réussissent, car vous ne savez pas que vous êtes attaqué.
Les vulnérabilités « zéro clic » sont très prisées, jusqu’au niveau des États. Des entreprises comme Zerodium, qui achètent et vendent des vulnérabilités sur le marché noir, offrent des millions à quiconque peut les trouver.
Tout système qui analyse les données qu’il reçoit pour déterminer si elles sont dignes de confiance est vulnérable à une attaque de type « zéro clic ». C’est ce qui fait du courrier électronique et des applications de messagerie des cibles si attrayantes. De plus, le cryptage de bout en bout présent dans des applications telles que iMessage d’Apple rend difficile de savoir si une attaque par clic zéro est envoyée, car le contenu du paquet de données ne peut être vu que par l’expéditeur et le destinataire.
De plus, ces attaques ne laissent souvent pas beaucoup de traces derrière elles. Une attaque par courrier électronique sans clic, par exemple, pourrait copier l’intégralité du contenu de votre boîte aux lettres électronique avant de s’effacer. Et plus l’application est complexe, plus il y a de place pour les exploits de type « zero-click ».
Attaques de type « zéro clic » dans la nature
En septembre, le Citizen Lab a découvert un exploit de type « zéro clic » qui permet aux attaquants d’installer le malware Pegasus sur le téléphone d’une cible à l’aide d’un PDF conçu pour exécuter automatiquement du code. Ce logiciel malveillant transforme effectivement le smartphone de toute personne infectée en un dispositif d’écoute. Apple a depuis développé un correctif pour cette vulnérabilité.
En avril, la société de cybersécurité ZecOps a publié un article sur plusieurs attaques de type « zéro clic » qu’elle a découvertes dans l’application Mail d’Apple. Les cyberattaquants envoyaient des courriels spécialement conçus aux utilisateurs de Mail, qui leur permettaient d’accéder à l’appareil sans aucune action de l’utilisateur. Et bien que le rapport de ZecOps indique qu’ils ne pensent pas que ces risques de sécurité particuliers constituent une menace pour les utilisateurs d’Apple, des exploits comme celui-ci pourraient être utilisés pour créer une chaîne de vulnérabilités qui permettent finalement à un cyberattaquant de prendre le contrôle.
En 2019, un exploit dans WhatsApp a été utilisé par des attaquants pour installer des logiciels espions sur les téléphones des gens simplement en les appelant. Facebook a depuis poursuivi en justice le fournisseur de logiciels espions jugé responsable, affirmant qu’il utilisait ce logiciel espion pour cibler des dissidents et des militants politiques.
Comment se protéger
Malheureusement, comme ces attaques sont difficiles à détecter et ne nécessitent aucune action de l’utilisateur pour être exécutées, il est difficile de s’en protéger. Mais une bonne hygiène numérique peut néanmoins vous rendre moins vulnérable.