Une nouvelle analyse technique vient de détailler la manière dont Predator s’insère au cœur du système pour contourner les indicateurs d’utilisation du micro et de la caméra sans perturber le fonctionnement apparent de l’iPhone.
Depuis iOS 14, Apple affiche des indicateurs visuels lorsqu’une application accède à la caméra (point vert) ou au microphone (point orange). Ces signaux reposent sur un choix d’architecture précis, leur gestion étant assurée par des composants internes de bas niveau, chargés de relayer l’activité des capteurs jusqu’à l’interface afin que cette utilisation ne puisse pas passer inaperçue. Du moins dans le cadre prévu par le système. Après de premières analyses révélant que le spyware Predator pouvait désactiver ces alertes, les chercheurs de Jamf détaillent désormais le procédé employé pour court-circuiter ce dispositif.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Bloquer l’information à la source pour empêcher la donnée d’exister
L’examen des échantillons iOS de Predator a conduit les chercheurs à se concentrer sur SpringBoard, le processus qui pilote l’interface du système et reçoit notamment les informations liées à l’activation du micro ou de la caméra. Le spyware s’y insère afin d’intercepter l’appel émis par iOS lorsqu’un capteur change d’état (actif / inactif), appel qui constitue un passage obligé avant de déclencher l’affichage de l’indicateur lumineux.
Pour y parvenir, Predator s’appuie sur une propriété du langage Objective-C, toujours utilisé dans les composants bas niveau d’iOS. Par conception, un appel qui n’est rattaché à aucun composant actif est ignoré sans produire d’erreur. Le code malveillant injecté modifie donc cet appel au moment où il est transmis, de manière à le rediriger vers une cible non reconnue par le système et à empêcher son traitement par le module chargé d’enregistrer l’état du capteur.
Plutôt que de manipuler l’interface ou de chercher à masquer visuellement les repères de confidentialité, le spyware agit donc en amont du processus d’affichage. L’information n’est ainsi pas prise en compte par le système et aucun indicateur n’apparaît, non parce qu’il aurait été dissimulé, mais parce que l’étape qui devait en provoquer l’affichage n’a pas lieu.
Un cas emblématique du marché des logiciels espions mercenaires
Predator est déjà connu pour avoir été utilisé dans des opérations de surveillance ciblée attribuées à des acteurs étatiques. Développé par la société Intellexa, le spyware a été documenté ces dernières années par plusieurs enquêtes menées par des ONG et des consortiums de médias, qui ont mis en évidence son déploiement contre des profils précis, journalistes, responsables politiques ou opposants.
Ces travaux ont également décrit ses modes d’infection. Certaines campagnes reposaient sur des liens piégés exploitant des vulnérabilités du navigateur. D’autres ont montré une évolution vers des vecteurs plus discrets, capables d’utiliser des canaux ordinaires comme l’écosystème publicitaire mobile pour déclencher l’installation de certains modules malveillants sans interaction visible.
Les autorités françaises alertaient elles aussi fin 2025 sur la multiplication de compromissions de téléphones à des fins d’espionnage, Predator s’inscrivant dans un ensemble plus large d’outils commerciaux comparables, aux côtés d’autres solutions comme Pegasus ou Graphite. Les investigations évoquent des implants capables d’opérer en mémoire, de disparaître après redémarrage ou d’exploiter des vulnérabilités dites zero-click, autant de techniques destinées à réduire au minimum les traces détectables. Des outils a priori conçus pour viser des profils bien identifiés, certes, mais qui ne dispensent pas de rester attentif aux mises à jour de sécurité et aux vecteurs d’attaque les plus courants.
Source : Jamf
