Une attaque en deux temps sur iOS et Android
Sur Android, les pirates ont distribué un logiciel espion baptisé ProSpy, dissimulé dans de fausses versions d'applications grand public : Signal, WhatsApp, Zoom, mais aussi ToTok et Botim, très populaires au Moyen-Orient. Une fois installé, ce malware prenait le contrôle total de l'appareil. Selon Lookout, "ProSpy dispose de nombreuses fonctionnalités d'espionnage classiques permettant d'exfiltrer des données sensibles telles que les contacts, les SMS, les informations matérielles et logicielles de l'appareil, ainsi que des fichiers locaux d'intérêt".
Sur iPhone, la méthode est différente mais tout aussi efficace. Les hackers ont mené des campagnes de phishing ciblées pour voler les identifiants Apple de leurs victimes. Une fois ces codes dérobés, ils ont accédé librement aux sauvegardes iCloud, contenant l'intégralité des données professionnelles et personnelles stockées dans le cloud.
BITTER APT et la société Appin dans le viseur
Les investigations de Lookout ont permis de relier cette opération au groupe BITTER APT, une entité identifiée comme proche du gouvernement indien. Les chercheurs pointent notamment la société Appin, déjà impliquée par le passé dans le piratage de dirigeants d'entreprises, de politiciens et de militaires à travers le monde.
Parmi les victimes identifiées figurent deux journalistes égyptiens et un journaliste libanais. Des cibles ont également été repérées au sein des gouvernements bahreïni et égyptien, ainsi qu'aux Émirats arabes unis, en Arabie saoudite, au Royaume-Uni et potentiellement aux États-Unis.
Cette affaire s'inscrit dans une tendance lourde : les infrastructures cloud, qu'il s'agisse de solutions grand public comme iCloud ou de solutions professionnelles comme la téléphonie cloud pour entreprises, sont désormais des vecteurs d'attaque majeurs. La Commission européenne elle-même avait récemment subi une cyberattaque ciblant son infrastructure cloud, avec 350 Go de données compromises.
Des entreprises exposées, des réflexes à adopter
Les données visées ne sont pas anodines : carnets d'adresses professionnels, documents internes, historiques de communications, accès aux applications métier synchronisées via iCloud. Pour les PME qui utilisent des appareils Apple dans un environnement de PABX cloud ou de standard téléphonique dématérialisé, la compromission d'un identifiant Apple peut ouvrir une brèche dans l'ensemble du système d'information.
Les experts recommandent d'activer systématiquement l'authentification à deux facteurs sur les comptes Apple, de ne jamais cliquer sur un lien reçu par SMS ou e-mail demandant une vérification de compte, et de vérifier régulièrement les appareils connectés à son espace iCloud. La vigilance reste la première ligne de défense face à des mercenaires numériques dont le modèle économique repose sur la discrétion et la sophistication de leurs méthodes.