Faille de sécurité Apple activement exploitée par les pirates pour contrôler entièrement les appareils
Les utilisateurs d’Apple ont été invités à mettre à jour immédiatement leurs iPhones, iPads et Mac pour se protéger contre une paire de vulnérabilités de sécurité qui peuvent permettre aux attaquants de prendre le contrôle total de leurs appareils.
Dans les deux cas, a déclaré Apple, il existe des rapports crédibles selon lesquels les pirates abusent déjà des vulnérabilités pour attaquer les utilisateurs.
L’une des faiblesses du logiciel affecte le noyau, la couche la plus profonde du système d’exploitation que tous les appareils ont en commun, a déclaré Apple. L’autre concerne WebKit, la technologie sous-jacente du navigateur Web Safari.
Pour chacun des bogues, la société a déclaré qu’elle était au courant d’un rapport selon lequel ce problème aurait pu être activement exploité, bien qu’elle n’ait fourni aucun autre détail. Il a crédité un chercheur ou des chercheurs anonymes pour avoir divulgué les deux.
Toute personne possédant un iPhone sorti depuis 2015, un iPad sorti depuis 2014 ou un Mac exécutant macOS Monterey peut télécharger la mise à jour en ouvrant le menu des paramètres sur son appareil mobile ou en choisissant la mise à jour logicielle dans le menu À propos de ce Mac sur son ordinateur.
Rachel Tobac, PDG de SocialProof Security, a déclaré que l’explication d’Apple sur la vulnérabilité signifiait qu’un pirate pouvait obtenir un accès administrateur complet à l’appareil afin qu’il puisse exécuter n’importe quel code comme s’il était vous, l’utilisateur.
Ceux qui devraient être particulièrement attentifs à la mise à jour de leur logiciel sont les personnes qui sont dans l’œil du public, comme les militants ou les journalistes qui pourraient être la cible d’espionnage sophistiqué des États-nations, a déclaré Tobac.
Jusqu’à ce que le correctif soit publié mercredi, les vulnérabilités auront été classées comme des bogues du jour zéro, car un correctif est disponible pour eux depuis le jour zéro. De telles faiblesses sont extrêmement précieuses sur le marché libre, où les courtiers en cyberarmes les achèteront pour des centaines de milliers, voire des millions de dollars.
Le courtier Zerodium, par exemple, paiera jusqu’à 500 000 $ pour une faille de sécurité qui peut être utilisée pour pirater un utilisateur via Safari, et jusqu’à 2 millions de dollars pour un logiciel malveillant entièrement développé qui peut pirater un iPhone sans qu’un utilisateur ait besoin de cliquer sur n’importe quoi. La société affirme que ses clients pour de telles faiblesses sont des institutions gouvernementales (principalement d’Europe et d’Amérique du Nord).
Les sociétés commerciales de logiciels espions telles que le groupe israélien NSO sont connues pour identifier et exploiter ces failles, les exploitant dans des logiciels malveillants qui infectent subrepticement les smartphones cibles, siphonnent leur contenu et surveillent les cibles en temps réel.
Le groupe NSO a été mis sur liste noire par le département américain du commerce. Son logiciel espion est connu pour avoir été utilisé en Europe, au Moyen-Orient, en Afrique et en Amérique latine contre des journalistes, des dissidents et des militants des droits de l’homme.
Will Strafach, chercheur en sécurité, a déclaré n’avoir vu aucune analyse technique des vulnérabilités qu’Apple vient de corriger. La société a déjà reconnu des failles tout aussi graves et, à ce que Strafach a estimé être peut-être une douzaine d’occasions, a noté qu’elle était au courant de rapports selon lesquels de telles failles de sécurité avaient été exploitées.