Qu’est-ce qu’une attaque Zero-Click ?
Bien que les «attaques zéro jour» soient déjà assez graves – elles sont nommées ainsi parce que les développeurs n’ont eu aucun jour pour gérer la vulnérabilité avant qu’elle ne soit dévoilée – les attaques zéro clic sont préoccupantes d’une manière différente.
Sommaire
Attaques Zero-Click définies
De nombreuses cyberattaques courantes, telles que le phishing, obligent l’utilisateur à prendre des mesures. Dans ces schémas, ouvrir un e-mail, télécharger une pièce jointe ou cliquer sur un lien permet à un logiciel malveillant d’accéder à votre appareil. Mais les attaques sans clic nécessitent, eh bien, aucune interaction avec l’utilisateur pour fonctionner.
Ces attaques n’ont pas besoin d’utiliser l’« ingénierie sociale », les tactiques psychologiques utilisées par les mauvais acteurs pour vous amener à cliquer sur leur malware. Au lieu de cela, ils valsent juste dans votre machine. Cela rend les cyberattaquants beaucoup plus difficiles à suivre, et s’ils échouent, ils peuvent simplement continuer d’essayer jusqu’à ce qu’ils l’obtiennent, car vous ne savez pas que vous êtes attaqué.
Les vulnérabilités sans clic sont très prisées jusqu’au niveau de l’État-nation. Des entreprises comme Zerodium qui achètent et vendent des vulnérabilités sur le marché noir offrent des millions à quiconque peut les trouver.
Tout système qui analyse les données qu’il reçoit pour déterminer si ces données sont fiables est vulnérable à une attaque sans clic. C’est ce qui rend les applications de messagerie et de messagerie si attrayantes. De plus, le cryptage de bout en bout présent dans des applications comme iMessage d’Apple rend difficile de savoir si une attaque sans clic est envoyée, car le contenu du paquet de données ne peut être vu que par l’expéditeur et le destinataire.
Ces attaques ne laissent souvent pas non plus de traces. Une attaque par e-mail sans clic, par exemple, pourrait copier l’intégralité du contenu de votre boîte de réception avant de se supprimer. Et plus l’application est complexe, plus il y a de place pour les exploits sans clic.
Que faire si vous recevez un e-mail d’hameçonnage ?
Attaques Zero-Click dans la nature
En septembre, The Citizen Lab a découvert un exploit sans clic qui permettait aux attaquants d’installer le malware Pegasus sur le téléphone d’une cible à l’aide d’un PDF conçu pour exécuter automatiquement du code. Le malware transforme efficacement le smartphone de toute personne infectée en un appareil d’écoute. Apple a depuis développé un correctif pour la vulnérabilité.
En avril, la société de cybersécurité ZecOps a publié un article sur plusieurs attaques sans clic trouvées dans l’application Mail d’Apple. Les cyber-attaquants ont envoyé des e-mails spécialement conçus aux utilisateurs de Mail qui leur ont permis d’accéder à l’appareil sans aucune action de l’utilisateur. Et bien que le rapport ZecOps indique qu’ils ne pensent pas que ces risques de sécurité particuliers constituent une menace pour les utilisateurs d’Apple, des exploits comme celui-ci pourraient être utilisés pour créer une chaîne de vulnérabilités qui permettront finalement à un cyberattaquant de prendre le contrôle.
En 2019, un exploit dans WhatsApp a été utilisé par des attaquants pour installer des logiciels espions sur les téléphones des gens simplement en les appelant. Facebook a depuis poursuivi le fournisseur de logiciels espions jugé responsable, affirmant qu’il utilisait ce logiciel espion pour cibler des dissidents et des militants politiques.
Comment se protéger
Malheureusement, étant donné que ces attaques sont difficiles à détecter et ne nécessitent aucune action de l’utilisateur pour être exécutées, il est difficile de s’en prémunir. Mais une bonne hygiène numérique peut encore faire de vous une cible moins importante.
Mettez souvent à jour vos appareils et applications, y compris le navigateur que vous utilisez. Ces mises à jour contiennent souvent des correctifs pour les exploits que les mauvais acteurs peuvent utiliser contre vous si vous ne les installez pas. De nombreuses victimes des attaques de ransomware WannaCry, par exemple, auraient pu les éviter avec une simple mise à jour. Nous avons des guides pour mettre à jour les applications iPhone et iPad, mettre à jour votre Mac et ses applications installées et maintenir votre appareil Android à jour.
Procurez-vous un bon programme anti-spyware et anti-malware et utilisez-le régulièrement. Utilisez un VPN dans les lieux publics si vous le pouvez et n’entrez pas d’informations sensibles comme des données bancaires sur une connexion publique non fiable.
Les développeurs d’applications peuvent aider de leur côté en testant rigoureusement leurs produits pour les exploits avant de les rendre publics. Faire appel à des experts professionnels en cybersécurité et offrir des primes pour les corrections de bogues peut grandement contribuer à rendre les choses plus sûres.
Alors, faut-il perdre le sommeil à cause de ça ? Probablement pas. Les attaques sans clic sont principalement utilisées contre des cibles d’espionnage et financières de premier plan. Tant que vous prenez toutes les mesures possibles pour vous protéger, vous devriez vous en sortir.
Sécurité informatique de base : comment vous protéger des virus, des pirates et des voleurs