Adepte des tribunaux, Corellium -la société de virtualisation d’iOS- fait à nouveau parler d'elle ce matin. Elle est en effet accusée d'avoir vendu ses programmes à des structures distribuant de logiciels espions ou malveillants. Parmi les noms cités, on retrouve d'ailleurs la tristement connue NSO.
NSO a-t-elle utilisé les programmes de Corellium pour pirater les iPhone ?
Précédemment, Apple avait fait appel d’un jugement rendu en faveur de Corellium en 2021. La justice avait en effet donné raison à cette dernière, déclarant qu’elle a démontré avec succès un mode de fonctionnement selon des conditions d'utilisation équitables. Les deux opposants avaient par ailleurs transigé la même année pour un autre litige portant sur le Digital Millennium Copyright Act.
Dans le cadre de ce procès, un des documents communiqués par Apple tend à montrer que les outils de Corellium n'étaient pas toujours utilisés à bon escient. En effet, la firme se targue d'une mission honorable, à savoir permettre aux entreprises de sécurité et aux chercheurs de repérer les bogues et les faiblesses (et ainsi renforcer la sécurité des systèmes d'Apple).
Des partenaires de mauvais augure
Au cours de ces 507 pages, sont en effet nommés des entités, considérées comme une menace pour la vie privée et la sécurité. Outre NSO Group, on retrouve également Dark Matter, une société de cybersécurité désormais fermée, en lien avec le gouvernement des Émirats arabes unis. Ou encore Pwnzen Infotech, qui a été fondé par une partie du groupe chinois de piratage Pangu Team.
Pour rappel, la firme israélienne NSO avait développé le logiciel Pegasus, qui permettait de traquer les utilisateurs via leur smarpthone -y compris l'iPhone ! D’après une enquête publiée par 17 médias internationaux, le spyware aurait permis d'espionner les numéros d'au moins 180 journalistes, 600 hommes et femmes politiques, 85 militants des droits humains ou encore 65 chefs d'entreprise de différents pays. En pratique, Pegasus profitait d'une faille de sécurité de l'app Messages, pour accéder au smartphone à la Pomme via une attaque zero-click (ne nécessitant pas que l'utilisateur clique sur un lien malveillant).
