La révélation que le iOS a une faille qui peut être exploitée avec un simple e-mail a inquiété de nombreux utilisateurs d’iPhone ou d’iPad. Mais pour Apple, il n’y a aucune raison de paniquer : l’entreprise a publié une note à l’effet qu’il n’y a aucune preuve que la vulnérabilité a été exploitée.
Selon ZecOps, l’entreprise de sécurité qui a révélé le problème, la vulnérabilité permet au code distant de s’exécuter sur l’iPhone ou l’iPad simplement en recevant un courriel dans l’application Mail. La faille est du type “clic zéro”, c’est-à-dire qu’elle n’exige de l’utilisateur aucune action (comme l’ouverture d’un lien ou d’un fichier joint) pour que le code malveillant soit exécuté.
Ainsi, l’attaquant peut capturer, supprimer ou modifier les courriers électroniques de l’utilisateur. Comme beaucoup de gens ont l’habitude de recevoir et d’envoyer des informations critiques par courrier électronique, imaginez les dégâts que peut causer un échec dans la vie d’un cadre ou d’un politicien, par exemple.
Jusqu’à présent, Apple semble être d’accord avec la société de sécurité. Le conflit entre les deux entreprises commence par la question des victimes possibles : alors que ZecOps affirme que plusieurs personnes ont été touchées par le problème, y compris les employés d’une entreprise américaine qui figure sur la liste Fortune 500, Apple affirme dans une note qu’elle n’a trouvé aucune preuve d’attaques basées sur l’échec.
Nous avons soigneusement étudié le rapport du chercheur [ZecOps] et, sur la base des informations fournies, nous avons conclu que ces problèmes ne représentent pas un risque immédiat pour nos utilisateurs. Le chercheur a identifié trois failles dans le Mail, mais isolément, elles ne peuvent pas contourner les protections de sécurité de l’iPhone et de l’iPad, et nous n’avons trouvé aucune preuve que cela a été utilisé contre les clients.
Bien que cela indique que le problème n’est pas aussi grave qu’il n’y paraît, Apple n’a pas décliné la responsabilité de le résoudre. Comme ZecOps l’a lui-même déclaré, des correctifs sont déjà apparus dans la version bêta d’iOS 13.4.5 et seront probablement disponibles lorsque la version finale de cette mise à jour sera officiellement publiée.
