Google dispose d’une équipe appelée Threat Analysis Group (TAG) et c’est elle qui a identifié plusieurs pages qui, par le simple fait d’être consultées, ont exploré les failles du iOS. Les conséquences étaient alarmantes : l’iPhone pouvait être envahi pour le vol de données utilisateur (comme des photos ou des messages WhatsApp) ou l’installation d’outils d’espionnage.
Dans un article sur le blog du Projet Zéro, un programme que Google a créé en 2014 avec la proposition de découvrir des failles de sécurité pour rendre le web plus sûr, les chercheurs de l’entreprise révèlent la découverte de cinq chaînes d’attaques impliquant au moins 14 failles de sécurité qui ont affecté de iOS 10 à iOS 12.
En général, ces chaînes d’attaques donnaient aux attaquants un accès racine au système d’exploitation. Sur les 14 défaillances identifiées, sept étaient liées à Safari, cinq affectaient le noyau et les deux autres concernaient des instances du bac à sable (une “zone protégée” qui limite l’accès des applications à certaines ressources pour des raisons de sécurité).
Avec un accès root, les attaquants pourraient installer des applications (pour surveiller l’utilisateur, par exemple), accéder à des messages de service tels que WhatsApp et iMessage, capturer des photos, obtenir des données de géolocalisation en temps réel, etc.
Le pire, c’est que l’utilisateur n’a pas eu besoin d’effectuer une action spécifique. Le simple accès aux pages malveillantes suffisait déjà pour que les exploiteurs prennent des mesures. S’ils réussissaient, l’iPhone de l’utilisateur pourrait être envahi. Google estime que ces sites ont reçu des milliers de visites.
Comme toujours, Google a signalé des vulnérabilités à Apple. Normalement, le Projet Zéro fixe un délai de 90 jours après la notification pour que l’entreprise responsable fournisse des correctifs, sinon Google déclenche une alerte publique sur le problème.
Mais, compte tenu des défauts très graves, Google a donné un délai de seulement sept jours. Apple a été notifié le 1er février 2019 et a publié les correctifs le 7 février avec la publication de l’iOS 12.1.4.
Bien qu’Apple ait agi rapidement après la notification, il a fallu du temps pour corriger les problèmes. Le TAG estime que les bogues ont été exploités pendant au moins deux ans.
Il n’y a pas d’estimations sur le nombre d’utilisateurs qui auraient été touchés, mais ce qui importe le plus est que les vulnérabilités aient été atténuées, c’est pourquoi Google a conclu que le moment est bien choisi pour en parler.
Il est toutefois recommandé de ne pas baisser la garde. Les experts de la société estiment qu’il existe d’autres défauts du type de ceux qui sont étudiés.
