A partir d'iOS 14, Apple a ajouté deux signaux visuels simples mais très utiles à la barre d'état : un point vert lorsque l'appareil est utilisé et un point orange lorsque le microphone est enregistré. L'idée était de fournir à l'utilisateur une confirmation immédiate qu'un capteur est actif, une forme de protection de base contre l'accès indésirable à la caméra et l'audio du téléphone. Ces petites lumières sont conçues pour être un avertissement clair et difficile à ignorer. Mais les chercheurs ont montré qu'ils ne sont pas infaillibles aux menaces avancées.
Le fabricant de logiciels espions commerciaux Intellexa, connu pour son produit Predator et pour avoir été lié à des attaques qui ont profité des défaillances de zéro jour dans différents écosystèmes, a développé un mécanisme pour que cet indicateur ne soit pas activé même si la caméra ou le microphone est utilisé. Il est important de noter que, selon l'analyse technique la plus récente, Predator n'exploite pas directement une vulnérabilité d'iOS pour annuler la lumière; au contraire, il fonctionne à partir accès préalable au niveau du noyau, qui vous permet de modifier les composants système qui contrôlent l'interface.
L'analyse publiée par les chercheurs Jamf fournit la description technique la plus claire à ce jour de la façon dont cette tromperie est exécutée. Selon Jamf, Predator insère un "trou" - une interception de l'exécution - dans SpringBoard, le processus qui gère l'écran de démarrage et la plupart des éléments visuels du système. Plus précisément, les logiciels malveillants interceptent l'appel que fait iOS lors du changement d'état du capteur (par exemple lorsque la caméra ou le microphone est activé) et empêchent ces informations d'atteindre le sous-système chargé de dessiner les indicateurs sur la barre d'état. Le message Jamf détaille ce comportement et sert de référence technique: Analyse Jamf de l'indicateur d'enregistrement contour.
La technique profite de la façon dont Object-C est implémenté dans iOS : l'une des fonctions interceptées laisse tomber l'instance qui fournit les données d'activité des capteurs (l'objet SBSensorActivityDataProvider). Dans Objectif-C, l'envoi d'un message à une référence nulle est discrètement ignoré, de sorte que SpringBoard ne traite jamais la notification que la caméra ou le microphone a été activé et donc le point vert ou orange n'apparaît pas. Il s'agit d'une intervention "au-dessus" dans la chaîne de notification d'état: lors de la coupe du signal à son origine, il est interdit que le système montre une trace visuelle. Pour ceux qui veulent revoir la documentation de messagerie Objet-C, Apple maintient des informations techniques sur la façon dont les messages sont envoyés à zéro: comportement du message dans Objectif-C.
Le travail de Jamf a également trouvé un code inactif qui semblait essayer d'une autre manière : relier directement le gestionnaire d'indicateurs (SBRecordingIndicatorManager). Ce chemin a apparemment été rejeté par les développeurs de logiciels espions en faveur de l'approche qui agit plus "en amont" et qui couvre tous les capteurs plus fiable. Un autre élément intéressant est que le module d'enregistrement VoIP n'intègre pas son propre mécanisme de suppression d'indicateur, donc il dépend de la même fonction interceptive pour garder le secret.
Pour accéder à l'appareil photo, Predator ne se limite pas à utiliser des API publiques : il utilise des modules qui cherchent des fonctions internes de l'appareil en fonction des modèles de commande ARM64 et redirige les exécutions en tirant parti de mesures telles que le Code d'authentification Pointer (PAC). Ces techniques avancées vous permettent d'éviter les contrôles d'autorisation conventionnels Apple s'applique aux applications. L'utilisation de l'instruction pointeur et des modèles de redirection est un mécanisme sophistiqué qui nécessite une connaissance du matériel et du binaire iOS.
Même si éviter la lumière de l'activité est peut-être la partie la plus frappante, l'analyse médico-légale révèle d'autres signes d'engagement que les équipes de sécurité peuvent détecter : cartographie de la mémoire inattendue dans des processus critiques tels que SpringBoard et Mediaserverd, ports d'urgence inhabituels, crochets point de rupture et fichiers audio écrits par des processus système sur des routes atypiques. Jamf décrit ces traces et offre des indices de détection dans des environnements gérés.
La diffusion a atteint la presse technique et les sites spécialisés qui ont résumé les implications pratiques. BleepingComputer, par exemple, a recueilli la recherche et a communiqué avec Apple pour obtenir des commentaires sur les résultats : Couverture dans BleepingComputer. Apple, pour sa part, a introduit dans iOS 14 les signaux d'enregistrement dans le cadre d'un paquet de nouvelles visant à protéger la vie privée et la sécurité des utilisateurs ; la société a décrit ces améliorations en annonçant iOS 14 : iOS 14 et nouvelles fonctionnalités de confidentialité.
Quelles conclusions pratiques en sont tirées pour l'utilisateur moyen? Premièrement, les lumières dans la barre d'état sont une barrière utile mais pas infaillible pour les acteurs avec des capacités avancées et un accès profond à l'appareil. Le risque le plus réel vient quand un attaquant a déjà des privilèges de bas niveau (kernel) sur l'équipe, parce qu'à partir de là il peut modifier le comportement du système de manière qu'une mise à jour d'apparence simple ne peut pas corriger si la persistance n'est pas éliminée. Deuxièmement, les signaux d'engagement laissent souvent des traces techniques que les outils de gestion et de défense peuvent et doivent rechercher; par conséquent, les sociétés de gestion d'appareils mobiles (MDM) et les équipes d'intervention en cas d'incident lisent et analysent des symptômes tels que des processus de mémoire inhabituellement cartographiés ou des modifications critiques du service.
Pour ce qui est de la prévention, il est nécessaire de tenir le système à jour et d'appliquer des correctifs, mais cela peut ne pas suffire si une explosion de privilège a déjà été mise en œuvre. Par conséquent, les meilleures pratiques passent en combinant les mises à jour régulières, les politiques de gestion et la surveillance active de l'appareil, et la prudence contre les liens ou fichiers inconnus. Pour les organisations et les utilisateurs à haut risque, l'utilisation de solutions de détection gérées et d'analyses médico-légales professionnelles en cas de suspicion est une mesure raisonnable.
Le cas de Predator est un rappel fort de la complexité de l'écosystème de surveillance commerciale. Alors que les plateformes introduisent des améliorations visibles et utiles de la confidentialité, les acteurs capables de fonctionner au niveau du noyau et de gérer les composants internes du système peuvent trouver des moyens de surmonter ces protections. La réponse nécessite à la fois des mesures techniques par les concepteurs de systèmes d'exploitation et des politiques publiques qui réglementent la vente et l'utilisation d'outils d'intrusion.
Si vous voulez entrer dans le rapport technique original, la publication de Jamf est le meilleur point de départ: analyse détaillée de Jamf. Pour une lecture plus générale de l'actualité et de son contexte, la note dans BleepingComputer contient les points clés: résumé dans BleepingComputer. Enfin, l'explication d'Apple sur les améliorations de confidentialité dans iOS 14 se trouve dans sa version officielle: iOS 14 : confidentialité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...