Opération Triangulation
Kaspersky a découvert un implant iOS sans clic sur les iPhone de ses propres employés. La chaîne d’exploits reposait sur un registre matériel non documenté caché dans le SoC d’Apple.
En juin 2023, Kaspersky révèle une campagne d’espionnage qu’elle nomme Opération Triangulation. La campagne compromettait silencieusement des iPhone — y compris ceux d’employés de Kaspersky — au moyen d’une pièce jointe iMessage malveillante avec laquelle l’utilisateur n’avait jamais besoin d’interagir.
Quatre zero-days et un registre secret
La chaîne d’exploits déballée par les chercheurs de Kaspersky est inhabituellement élégante, même pour le standard des spywares mobiles étatiques. Elle enchaîne quatre vulnérabilités zero-day, dont un contournement de la protection mémoire du noyau qui dépend de l’écriture de valeurs précises dans des registres MMIO non documentés du système-sur-puce d’Apple. Ces registres ne figurent dans aucune documentation publique d’Apple ; leur existence semblait connue uniquement de personnes disposant d’une vue profonde du silicium.
L’implant récupéré par Kaspersky, nommé TriangleDB, ne tourne qu’en mémoire et se réinfecte au redémarrage via l’iMessage malveillant suivant. Il exfiltre l’audio du microphone, les entrées du trousseau, la géolocalisation et certains fichiers. Apple a livré des correctifs pour les CVE concernés sur plusieurs versions d’iOS au second semestre 2023.
Qui et pourquoi
Kaspersky a refusé toute attribution publique, même si les autorités russes ont qualifié la campagne d’opération du renseignement américain visant des diplomates russes et des employés de Kaspersky. Les spécificités techniques — en particulier la connaissance au niveau silicium requise — réduisent le champ des auteurs plausibles à un très petit nombre d’acteurs richement dotés.
Ce que la chronique retient
Triangulation est la démonstration publique la plus nette de la profondeur que peut atteindre aujourd’hui une chaîne d’exploits mobile sans clic. Elle a aussi offert aux chercheurs un regard rare sur le code réel d’un implant haut de gamme — habituellement visible uniquement par ses empreintes comportementales — et changé les hypothèses sur la surface d’attaque matérielle en 2023.