Le mercredi 22 avril 2020 à 23:42
L'importante faille de sécurité concerne tous les appareils qui abritent iOS depuis au moins sa version 6 parue en 2012. Elle a été exploitée depuis au moins janvier 2018 contre des personnalités notamment, et probablement depuis beaucoup plus longtemps que cela.
C'est ce que l'on appelle une faille "0 Day" (Zero Day), particulièrement rare, car elle était totalement inconnue des équipes d'ingénieurs du fabricant avant d'être dévoilée par un service tiers. Cette importante faille de sécurité est d'autant plus grave qu'elle est présente dans le système d'exploitation iOS, qui équipe des centaines de millions d'iPhone et d'iPad, depuis au moins 2012.
D'après les chercheurs de l'entreprise de cybersécurité californienne ZecOps, qui l'ont dévoilée ce mercredi, la faille est présente sur les smartphones et tablettes supportant les versions iOS 6 et ultérieures.
L'application « Mail » comme porte d'entrée pour les pirates
La firme américaine Apple a officiellement reconnu la présence de cette faille retentissante et a indiqué qu'elle serait corrigée dès l'installation de la mise à jour d'iOS 13.4.5.
Les chercheurs de ZecOps ont précisé que cette gravissime vulnérabilité permet aux pirates d’installer un logiciel malicieux en toute discrétion, et sans la moindre action de la part de l’utilisateur. Le processus est quasi indétectable, puisqu'il n'est même pas nécessaire de cliquer sur un lien ou de télécharger un fichier infecté.
Dans les faits, la victime reçoit un e-mail apparemment vide qui fait ralentir ou parfois planter l'application « Mail ». En arrière-plan est créée une porte dérobée qui permet à l'assaillant d'accéder aux données du smartphone ou de la tablette : notamment les photos et les contacts enregistrés dans l'application « Mail ».
Plusieurs victimes identifiées
La vulnérabilité était passée inaperçue durant toutes ces années, jusqu'à ce que les chercheurs procèdent à l'autopsie d'une attaque qui avait visé un de leurs clients.
These 0 click vulnerabilities that had in the wild triggers exists on iOS since (hold your breath)... iOS 6!! This is one of the deepest vulnerabilities ever discovered on mobile (including Android). https://t.co/4mjXsPfrKM
— Zuk (@ihackbanme) April 22, 2020
Dans sa publication, ZecOps affirme que des personnalités ont été victimes de cette attaque depuis au moins le mois de janvier 2018, et en cite une liste en exemple, sans possibilité de vérifier l'information : des dirigeants de grandes entreprises américaines, un cadre d'un opérateur japonais, un VIP allemand, un journaliste européen, notamment.
La faille a sans doute été exploitée des années durant par des Etats disposant d'importants moyens et des pirates hautement qualifiés. En attendant la sortie d'une mise à jour d'iOS, il est conseillé de ne plus utiliser l'application native dédiée aux e-mails.
The technical details are available at: https://t.co/z3rHHifbTi
We will release the POCs soon— Zuk (@ihackbanme) April 22, 2020