skip to content

Qu’est-ce qu’un malware « Zéro clic » et comment fonctionne une attaque « Zero-Click » ?

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Découvrez comment les attaques « zero-click » fonctionnent et apprenez comment les éviter pour rester en sécurité.

Alors que les attaques “zero-day” sont particulièrement graves - elles ont été appelées ainsi parce que les développeurs n’ont pas eu plusieurs jours pour s’occuper de la vulnérabilité avant qu’elle ne devienne publique - les attaques de type « zéro-click » sont encore plus redoutables.

Les attaques « zero-click » peuvent être particulièrement dangereuses car elles sont utilisées pour infecter silencieusement l’appareil d’une victime avec un logiciel malveillant ou pour voler des informations sensibles à l’insu de la victime. Dans certains cas, les attaques par « zero-click » peuvent même être utilisées pour prendre le contrôle à distance de l’appareil de la victime.

En outre, comme son nom l’indique, contrairement à d’autres méthodes d’attaque telles que le smishing et le phishing, une attaque par clic zéro ne nécessite aucune action de la part de ses propriétaires, comme un clic de souris, une pression sur une touche ou toute autre interaction de l’utilisateur. Au lieu de cela, un attaquant doit simplement envoyer le fichier dangereux à un appareil et laisser l’exploit fonctionner sans aucune action de la part de l’utilisateur.

Bien qu’il soit difficile de se défendre contre ces attaques, les utilisateurs peuvent prendre certaines mesures pour réduire les risques. Et c’est que nous allons voir ensemble.

Comment fonctionnent les attaques “zero-click” ?

De nombreuses cyberattaques courantes, comme le phishing, exigent que l’utilisateur fasse quelque chose. Dans ces scénarios, un logiciel malveillant peut arriver sur votre appareil lorsque vous ouvrez un courriel, téléchargez une pièce jointe ou cliquez sur un lien.

En revanche, une attaque “zéro clic” est un type de cyberattaque qui ne nécessite aucune interaction de l’utilisateur pour réussir. Cela signifie que l’attaquant peut exploiter une vulnérabilité sans que la victime ne sache jamais qu’elle a été ciblée.

Les attaques de type “zéro clic” sont de plus en plus courantes, car les attaquants cherchent à contourner les mesures de sécurité traditionnelles. Par exemple, de nombreuses applications de courrier électronique et de messagerie utilisent désormais l’authentification à deux facteurs (2FA) pour protéger les comptes des utilisateurs. Cependant, les attaquants ont trouvé des moyens de contourner l’authentification à deux facteurs en utilisant des attaques par zéro-clic.

Ces attaques n’ont pas besoin de recourir à l‘“ingénierie sociale”, qui est la tactique psychologique utilisée par les attaquants pour vous faire cliquer sur leurs logiciels malveillants. Au lieu de cela, ils se contentent de se glisser dans votre appareil. Cela rend les cyber-attaquants plus difficiles à repérer et, s’ils échouent, ils peuvent continuer à essayer jusqu’à ce qu’ils l’obtiennent, car vous ne savez pas que vous êtes attaqué. Les vulnérabilités “zero-click” sont particulièrement redoutées, et ce, même jusqu’au niveau des États.

La plupart des attaques de type “clic zéro” sont menées via des applications de messagerie ou d’appel vocal telles que WhatsApp, Facebook Messager, Apple iMessage et Telegram, car elles reçoivent et interprètent des données provenant de sources non fiables. Les attaques “zero-click” fonctionnent parce qu’elles exploitent des failles dans la validation ou le traitement des données sur l’appareil, puis utilisent des failles dans la vérification des données pour s’infiltrer. Les attaques se font par le biais de messages texte cachés, d’e-mails, de messages vocaux ou d’un fichier image transmis par Wi-Fi, NFC ou Bluetooth. Une fois installée, l’attaque “zero-click” active une faille inconnue qui va rapidement chercher le matériel ou le logiciel - à l’insu de son propriétaire.

“On peut s’introduire dans des téléphones qui appartiennent à des gens qui ont une bonne conscience de la sécurité. La cible est hors de la boucle. Tu n’as pas besoin de les convaincre de faire quoi que ce soit. Cela signifie que même les cibles les plus sceptiques et les plus consciencieuses peuvent être espionnées”.  — Bill Marczak, chercheur principal au Citizen Lab,

Comment se protéger des exploits de type “zero-click” ?

Vous pouvez prendre des mesures pour mieux vous protéger contre différents types de cyberattaques, y compris les attaques de type “zéro clic”. Mais malheureusement, il n’y a pas de moyen sûr de se protéger dans ce domaine.

Tout le monde s’accorde que la première chose à faire est de s’assurer que les logiciels de votre appareil sont à jour, y compris les systèmes d’exploitation et les applications. Soyez particulièrement attentif aux mises à jour critiques des logiciels et faites-les installer immédiatement. Vous devriez également éviter de cliquer sur des liens provenant de sources inconnues, éventuellement reçus par e-mail ou par message. En cas de doute, supprimez le message et ne révélez jamais d’informations personnelles.

Pour l’accès au compte, utilisez une authentification forte comme l’authentification à deux facteurs. Ce niveau de sécurité supplémentaire peut rendre plus difficile pour quelqu’un d’accéder à des informations personnelles. La création de mots de passe longs, uniques et sûrs est également indispensable. Attention : Toujours privilégier les doubles facteurs qui n’utilisent pas les SMS.

Étant donné que certaines attaques de type “zero-click” sont des ransomwares, il est conseillé de sauvegarder régulièrement son appareil. Avec des sauvegardes, il est beaucoup plus facile de se reconnecter après une attaque. Vous devriez également désactiver les fenêtres pop-up des navigateurs web, qui contiennent parfois des failles de sécurité.

Une autre solution consiste à supprimer les applications de messagerie inutiles sur votre appareil. Avez-vous vraiment besoin de Facebook Messenger ? À quelle fréquence utilisez-vous WhatsApp ? Si vous ne les utilisez pas, supprimez-les de votre appareil.

Même après qu’un utilisateur final a effectué chacune des étapes ci-dessus, des vulnérabilités peuvent malheureusement subsister si les fabricants et les développeurs de logiciels ne sont pas à jour. Par conséquent, la meilleure solution pour résoudre les attaques “zero-click” est que ces personnes examinent le code en profondeur et fassent le nécessaire pour limiter la possibilité de bugs exploitables.

Tout cela étant dit, la pratique d’une cyberhygiène de base vous aidera à maximiser votre sécurité. Voici quelques précautions que l’on peut ajouter à la liste ci-dessus que vous pouvez prendre :

  • Ne téléchargez que des applications provenant de magasins officiels.
  • Supprimez toutes les applications que vous n’utilisez plus.
  • Évitez de “jailbreaker” ou de “rooter” votre téléphone, car cela supprime la protection fournie par Apple et Google.
  • Utilisez la protection par mot de passe de votre appareil.
  • Utilisez des mots de passe forts, c’est-à-dire des mots de passe longs et uniques.
  • Activez les bloqueurs de pop-ups ou empêchez leur apparition en modifiant les paramètres de votre navigateur. Les escrocs utilisent régulièrement les fenêtres pop-up pour diffuser des logiciels malveillants.

Exemples d’attaques “zero-click” dans le monde réel

Il existe de nombreux exemples d’attaques par « clic zéro » , dont beaucoup ont été traités par les médias spécialisés au cours des dernières années.

En avril 2022, par exemple, un exploit zero-click pour l’iPhone a été découvert dans le programme iMessage d’Apple. Il était utilisé par le redoutable logiciel espion Pegasus du groupe NSO. L’exploit a été installé sur des points finaux appartenant à des membres du Parlement européen, à tous les présidents catalans depuis 2010 ainsi qu’à des “législateurs, juristes, journalistes et membres d’organisations de la société civile catalans et à leurs familles”.

Un autre exploit pour iPhone a été découvert en août 2021. Baptisée BlastDoor, l’attaque exploitait une faille de sécurité non documentée dans l’iMessage d’Apple. Il s’agissait également d’un logiciel espion Pegasus.

Il y a trois ans, WhatsApp a été touché par une attaque de type “clic zéro” déclenchée par un appel manqué. Elle permettait aux attaquants de charger des logiciels espions dans les données échangées entre deux appareils.

Les carottes sont cuites ! ?

À ce stade de la lecture, c’est-ce que l’on pourrait se dire, mais l’implication d’experts en cybersécurité et l’offre de récompenses pour les corrections de bugs peuvent grandement contribuer à améliorer la sécurité.

Devez-vous craindre pour votre sécurité informatique pour autant ? En règle générale, non. Les attaques “zero-click” sont généralement utilisées contre des cibles d’espionnage et financières de haut niveau. Tant que vous prenez toutes les mesures possibles pour vous protéger, vous devriez bien faire les choses.