Sécurité

Mettez à jour votre iDevice : une simple image peut mettre vos données en danger

Une faille de sécurité découverte par Cisco montre que des millions de Mac et d’appareils équipés d’iOS sont en danger s’ils ne disposent pas de la dernière version du système d’exploitation. L’exposition affecte les fichiers qui sont principalement utilisés par les concepteurs, tels que TIFF, OpenEXR (.exr), COLLADA (.dae) et BMP.

Le plus vulnérable, et aussi l’un des plus utilisés, est le TIFF. Le format, contrôlé par Adobe, peut être infecté pour exécuter un code à distance sur l’appareil, ce qui peut compromettre la sécurité et les données de l’utilisateur. La vulnérabilité se trouve dans l’API de rendu des entrées/sorties d’images, qui lit essentiellement les données d’une image et les écrit vers une destination spécifique.

Selon Cisco, il s’agit d’une faille très inquiétante car elle peut être exploitée par toute application qui utilise cette API, qu’il s’agisse d’un message dans iMessage, d’une page web malveillante ou d’un MMS. dans certains cas, l’utilisateur n’aurait même pas besoin de faire quoi que ce soit, puisque iMessage, par exemple, rend l’image automatiquement. Avec l’échec de l’API, il serait facile pour le pirate d’accéder à distance à un appareil.

  Les routeurs MikroTik détournent le trafic ; la France est l'un des pays les plus touchés

Dans d’autres formats, la vulnérabilité est très similaire, mais il n’y a aucun risque d’être rendu sans action de l’utilisateur. Dans les formats OpenEXR et COLLADA, qui sont utilisés pour créer certains contenus spécifiques, il est nécessaire de cliquer pour que le code malveillant soit activé. Il en va de même avec le BMP, mais il peut être ouvert dans Apple Preview comme n’importe quelle autre image ou PDF. La défaillance se situe dans la manière dont les informations sur la taille de l’image sont écrites, ce qui peut être le déclencheur d’un accès à distance.

Bien qu’il s’agisse de fichiers étranges pour la plupart des utilisateurs, Cisco considère ces formats d’images comme une excellente source d’attaque, car ils peuvent être facilement distribués par courrier électronique et sur le web. La connaissance des fichiers peut amener les professionnels à exploiter les images sans se méfier de ce qui se passe. Le défaut affecte également l’API graphique de base et le kit Apple Scene, qui, avec les E/S d’images, sont largement utilisés principalement dans OS X.

  Canon modernise sa gamme d'appareils photo reflex numériques la plus abordable, mais sans le 4K

Avec le pouvoir de faire tourner n’importe quoi sur l’ordinateur de l’utilisateur, le pirate peut accéder à des images, des photos, des vidéos et même à des mots de passe non cryptés. Il est impossible de ne pas remarquer une ressemblance avec l’une des plus grandes failles de sécurité d’Android, le Stagefright. La différence est que dans le cas d’Android, il a été beaucoup plus difficile de corriger la vulnérabilité de chaque appareil de la plateforme. Dans le cas d’Apple, une mise à niveau vers OS X et iOS a déjà permis de résoudre l’affaire.

Si vous utilisez OS X El Capitan 10.11.5, iOS 9.3.2, watchOS 2.2.1 et/ou tvOS 9.2.1 ou inférieur, votre dispositif est vulnérable. Exécutez et mettez à jour la dernière version de chaque plateforme, qui est OS X El Capitan 10.11.6, iOS 9.3.3, watchOS 2.2.2 et tvOS 9.2.2. Ces nouvelles versions, qu’Apple a publiées il y a quelques jours seulement, ne sont plus vulnérables.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire