« Préparez-vous, chers lecteurs, car le monde de la cybersécurité ne manque jamais de nous faire rire avec des intrigues digne d’un film d’espionnage bon marché. »
Cette semaine, les fabricants d’un portefeuille crypto, Trust Wallet, se sont transformés en héros malgré eux en annonçant avec grande pompe sur X (anciennement Twitter) qu’un exploit zero-day pouvait terroriser les utilisateurs d’iMessage, plongeant le monde dans une psychose digne d’une histoire d’espionnage… mais sans les espions, ni le script. Ces messieurs-dames prétendent avoir déniché cette info sur le Dark Web, un lieu où même votre GPS ne veut pas aller.
Ils nous conseillent de désactiver iMessage « jusqu’à ce qu’Apple résolve le problème », comme si notre vie digitale en dépendait. Sauf que, petit hic dans le plan pour sauver l’humanité : aucune preuve que ce fameux « exploit zero-day » existe vraiment. Autant chercher une aiguille dans une botte de foin, mais sans le foin.
« Au royaume des aveugles, les borgnes sont rois, et sur Internet, les vendeurs de peur sont couronnés. »
Le tweet annonçant cette trouvaille est devenu viral, preuve que la peur se partage plus vite que la lumière. Plus de 3,6 millions de vues plus tard, Trust Wallet continue de se draper dans sa cape de super-héros du web, pendant que le reste du monde attend toujours une preuve concrète de cette menace fantôme. Apple et Binance, propriétaire de Trust Wallet, se contentent d’un majestueux silence sur la question.
Et si je vous disais que cette « information crédible » vient d’une publicité sur CodeBreach Lab, un site du dark web où quelqu’un essaie de vendre ce prétendu exploit pour deux millions en bitcoins? L’annonce prétend que l’exploit nécessite zéro interaction de la part de la victime et fonctionne sur la dernière version d’iOS. Le plus gros twist de l’affaire ? Il semble que tout cela n’était qu’un beau mirage.
Récemment, un site vendant des zero-days a proposé entre 3 et 5 millions de dollars pour des exploits zero-click. Cela démontre combien ils sont rares et précieux. Mais alors, Trust Wallet aurait-il succombé aux charmes d’un escroc du dark web, en diffusant ce qu’on appelle dans le jargon FUD (fear, uncertainty and doubt) ?
La réalité est que les zero-days, bien qu’existent, sont rares et surtout utilisés par des unités de cyberespionnage gouvernementales. Pour le commun des mortels, inutile de désactiver iMessage. Peut-être serait-il plus judicieux d’activer le « Mode Confinement » d’Apple, conseillé par de nombreux experts en cybersécurité et jusqu’ici infaillible.
Quant à CodeBreach Lab, prétendu vendeur de ce fameux exploit, le web en parle peu. Avec son anglais approximatif, le site se décrit comme « le nexus de la perturbation cybernétique ». Mais au vu de l’absence de preuves… Disons plutôt qu’il s’agit du nexus de la vantardise et de la naïveté.
TechCrunch, en enquêteur audacieux, a tenté d’acheter l’exploit, mais tout ce que le site demandait, c’était un nom, un email, et un petit virement de 2 millions en bitcoin. Curieusement, personne n’a encore mordu à l’hameçon.
Ainsi, avant de vous précipiter pour désactiver iMessage ou transférer vos bitcoins, rappelons-nous qu’il est toujours préférable de vérifier deux fois les informations, surtout lorsqu’elles viennent du monde obscur et nébuleux du Dark Web. Après tout, on ne sait jamais quels lapins peuvent sortir de ces chapeaux très, très sombres.
Source : Techcrunch