Une grave faille de sécurité touche les iPhone et iPad depuis 2012 via l’appli Mail


Une importante faille de sécurité touche l'application Mail des iPhone et iPad sous iOS version 6 et jusqu'à 13. (Shutterstock / Cristian Dina)

L’importante faille de sécurité concerne tous les appareils qui abritent iOS depuis au moins sa version 6 parue en 2012. Elle a été exploitée depuis au moins janvier 2018 contre des personnalités notamment, et probablement depuis beaucoup plus longtemps que cela.

C’est ce que l’on appelle une faille « 0 Day » (Zero Day), particulièrement rare, car elle était totalement inconnue des équipes d’ingénieurs du fabricant avant d’être dévoilée par un service tiers. Cette importante faille de sécurité est d’autant plus grave qu’elle est présente dans le système d’exploitation iOS, qui équipe des centaines de millions d’iPhone et d’iPad, depuis au moins 2012.

D’après les chercheurs de l’entreprise de cybersécurité californienne ZecOps, qui l’ont dévoilée ce mercredi, la faille est présente sur les smartphones et tablettes supportant les versions iOS 6 et ultérieures.

L’application « Mail » comme porte d’entrée pour les pirates

La firme américaine Apple a officiellement reconnu la présence de cette faille retentissante et a indiqué qu’elle serait corrigée dès l’installation de la mise à jour d’iOS 13.4.5.

Les chercheurs de ZecOps ont précisé que cette gravissime vulnérabilité permet aux pirates d’installer un logiciel malicieux en toute discrétion, et sans la moindre action de la part de l’utilisateur. Le processus est quasi indétectable, puisqu’il n’est même pas nécessaire de cliquer sur un lien ou de télécharger un fichier infecté.


Un e-mail au contenu malicieux peut parfois apparaître comme étant vide lors d’une attaque ratée. En cas d’attaque réussie, aucun message ne s’affiche. (ZecOps)

Dans les faits, la victime reçoit un e-mail apparemment vide qui fait ralentir ou parfois planter l’application « Mail ». En arrière-plan est créée une porte dérobée qui permet à l’assaillant d’accéder aux données du smartphone ou de la tablette : notamment les photos et les contacts enregistrés dans l’application « Mail ».

Plusieurs victimes identifiées

La vulnérabilité était passée inaperçue durant toutes ces années, jusqu’à ce que les chercheurs procèdent à l’autopsie d’une attaque qui avait visé un de leurs clients.

Dans sa publication, ZecOps affirme que des personnalités ont été victimes de cette attaque depuis au moins le mois de janvier 2018, et en cite une liste en exemple, sans possibilité de vérifier l’information : des dirigeants de grandes entreprises américaines, un cadre d’un opérateur japonais, un VIP allemand, un journaliste européen, notamment.

La faille a sans doute été exploitée des années durant par des Etats disposant d’importants moyens et des pirates hautement qualifiés. En attendant la sortie d’une mise à jour d’iOS, il est conseillé de ne plus utiliser l’application native dédiée aux e-mails.