23/12/2024

Actu Cybersécurité

Avec iShutdown, vérifiez si votre iPhone est infecté par un logiciel espion tel que Pegasus !

Votre iPhone est-il infecté par un logiciel espion tel que Pegasus, Reign ou Predator ? Même si ce n'est pas à la portée de tout le monde, vous pouvez le vérifier à l'aide d'un outil créé par Kaspersky et qui va analyser les journaux de votre appareil ! Voici ce qu'il faut savoir.

Kaspersky a fait une découverte intéressante : il est possible de savoir si un iPhone est infecté par Pegasus, Reign ou Predator, trois spywares utilisés pour espionner les utilisateurs d'iPhone à leur insu, en analysant le fichier journal "Shutdown.log".

Ce fichier est utilisé par le système pour enregistrer les événements liés au redémarrage de l'appareil. Par exemple, ce fichier va permettre de connaître le temps nécessaire à l'arrêt de chaque processus, en précisant à chaque fois son PID (identifiant). Pour les chercheurs en sécurité, ce fichier contient des traces très intéressantes et plus faciles à analyser que du trafic réseau ou une sauvegarde chiffrée d'iOS.

iShutdown, un ensemble de 3 scripts Python

Le spécialiste de la cybersécurité Kaspersky a mis en ligne un ensemble de 3 scripts Python nommés iShutdown qui vont permettre d'extraire et d'analyser les journaux d'iOS. Voici les trois scripts en question :

  • iShutdown_detect.py : analyse l'archive tar de Sysdiagnose à la recherche d'entrées suspectes et qui pourraient indiquer la présence d'un malware.
  • iShutdown_parse.py : extraire les artefacts de Shutdown.log à partir de l'archive tar de Sysdiagnose afin d'en faire l'analyse
  • iShutdown_stats.py : obtenir les statistiques liés au redémarrage à partir du fichier journal Shutdown.log (dernier redémarrage, nombre de redémarrages par mois, etc.)

Ces scripts s'adressent plutôt à des utilisateurs avertis et à l'aise avec le terminal ainsi que l'analyse de résultats. Pour accéder au dépôt GitHub d'iShutdown, vous pouvez utiliser ce lien :

Les scripts iShutdown mis à disposition par Kaspersky sont un véritable outil de forensic et ils vont permettre d'analyser le fichier Shutdown.log qui peut conserver les entrées sur plusieurs années, ce qui en fait un fichier précieux pour de l'analyse.

Dans son rapport, Kaspersky explique qu'à la suite de l'infection, le smartphone doit être redémarré pour qu'il y ait des traces disponibles dans le fichier journal Shutdown.log. Sans préciser la fréquence recommandée, Kaspersky précise que "cette méthode repose sur le fait que l'utilisateur doit redémarrer son téléphone aussi souvent que possible."

Par ailleurs, les chercheurs en sécurité expliquent que si l'appareil est très long à redémarrer, c'est également un signe d'infection et ce retard pourra être détecté par l'analyse du fichier de log : "Bien que nous ayons observé des cas de téléphones non infectés avec deux ou trois notifications de retard de redémarrage, nous considérons les retards excessifs (plus de quatre) comme une autre anomalie du journal qui doit être examinée."

Cet outil devrait faire plaisir à certains d'entre vous !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.