Sécurité

Apple enquête sur les failles de sécurité présentes depuis l’iOS 6

Imaginez que votre téléphone portable soit envahi grâce à la simple réception d’un courriel. Cette possibilité terrifiante semble peu probable, mais elle existe : la société de sécurité numérique ZecOps a révélé la découverte d’une vulnérabilité dans l’iOS qui ouvre ce type d’attaque. Apple s’efforce déjà de résoudre le problème.

Le rapport ZecOps souligne que l’écart a été exploité au moins depuis janvier 2018. Fondamentalement, la vulnérabilité permet au code distant de s’exécuter sur l’iPhone ou l’iPad en recevant simplement un courriel ou en ouvrant l’application Apple Mail. Les applications de tiers, telles que Gmail, ne sont pas concernées.

Il s’agit d’une attaque de type “click zero”, ce qui signifie que l’utilisateur n’a pas besoin d’effectuer d’actions (telles que l’ouverture d’un lien ou d’un fichier joint) pour que le code malveillant soit exécuté.

Si le code entre en action, l’attaquant peut capturer, modifier et même supprimer les e-mails de l’utilisateur. Sans entrer dans les détails, ZecOps suggère que plusieurs personnes ont déjà été victimes de ce type d’attaque.

  GoDaddy est confronté à des problèmes de serveur et laisse des sites indisponibles

Parmi eux, il y aurait des employés d’une société américaine figurant sur la liste des 500 plus grandes entreprises du monde, un cadre de transporteur au Japon et un journaliste européen. Cela montre que les attaques ne sont pas massives, mais qu’elles visent des cibles spécifiques.

Bien que les premières attaques détectées remontent à janvier 2018, ZecOps pense que d’autres ont pu être exécutées bien avant. Certains éléments indiquent que le problème existe depuis l’iOS 6, lancé en 2012.

Il n’est pas surprenant que des failles de cette gravité soient souvent traitées discrètement par des envahisseurs pour permettre leur utilisation par des groupes de piratage, des agences de renseignement, etc.

Cela montre clairement qu’il s’agit d’un problème du type zéro jour (ou 0 jour), lorsque les vulnérabilités sont exploitées avant que l’entreprise responsable du logiciel ne puisse publier des correctifs.

La bonne nouvelle est qu’Apple a été informé du problème le 19 février. Une solution à ce problème a été mise à disposition sur iOS 13.4.5 beta. Pour cette raison, ZecOps recommande que la version finale d’iOS 13.4.5 soit installée dès sa sortie publique.

  Le message de la pompe provoque le redémarrage de PS4 ; apprenez comment résoudre

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire